[Video Tutorial] Microsoft Detours 1.5 New Video

Page 4 of 5

09/30/2011 23:23 freehuntx#46

Quote:

Originally Posted by MrSm!th

Um genau zu sein, wird sie einmal gehookt und danach wird der Hook immer aufgerufen, anstatt der originalen :p

Dann musst du entweder die Parameter pr�fen und so darauf schlie�en, ob es die gew�nschte ist oder du hookst nicht die MessageBoxW, sondern platzierst direkt einen Jump an der entsprechenden Stelle im Programm zu einer Codecave von dir (das geht nat�rlich nur, wenn sie bekannt ist).

F�r letzteres brauchst du keinen Hook o.� Musst einfach nur die Funktion callen, wo ist das Problem?

Danke f�r den Vorschlag, ja, kann ich machen.

Ja das muss man aber �ber asm machen, dachte da gibts nen geschmeidigeren weg mittels hooks.

Tats�chlich weis ich garnicht wie mann denn einfach funktionen eines prozesses callen kann o_O

09/30/2011 23:52 MrSm!th#47

Muss man nicht.

Und Hooks sind eher ungeschickter.

Kleiner Tipp:

Du tust es doch in einem Hook o.�
Was machst du denn beim Aufruf des Trampolins?

10/01/2011 02:12 freehuntx#48

Quote:

Originally Posted by MrSm!th

Muss man nicht.

Und Hooks sind eher ungeschickter.

Kleiner Tipp:

Du tust es doch in einem Hook o.�
Was machst du denn beim Aufruf des Trampolins?

Ich verstehe dir Frage nicht ganz.

Bin wahrscheinlich zu m�de.

Du meinst wahrscheinlich dass beim aufruf des trampolins, eine function mitsamt parameter �bergeben wird oder?
Und ich dar�ber auch eine function callen k�nnte.

10/01/2011 23:04 chillakilla123#49

Quote:

Danke f�r den Vorschlag, ja, kann ich machen.

Thx, das w�r echt geil :D:D

12/27/2011 16:41 Mi4uric3#50

Die Frage l�sst mich wahrscheinlich wie einen Idioten darstehen, aber ich scheine beim Importieren der detours.h irgendwo einen Fehler gemacht zu haben. (Entwicklungsumgebung: Embarcadero RAD Studio XE2)

Meine Imports sehen so aus:

Spoiler

Das hier ist mein Code (MainWindow.cpp):

Spoiler

Beim Builden der .DLL zeigt mir der Compiler folgenden Fehler an:

Quote:

Originally Posted by Compiler

[ILINK32 Fehler] Error: Nicht aufl�sbares externes 'DetourFunction' referenziert.

Ich bitte um Hilfe (:

12/27/2011 18:19 MoepMeep#51

An die detour.lib gedacht? ;)

edit: blind ._. hast du :x

12/27/2011 18:26 HardCore.1337#52

hatte mal so ein �hnliches Problem. Probier mal Projekt -> Optionen -> C++Linker -> Mit der Delphi Laufzeit linken auf false zu stellen.

Das hat bei mir oft Probleme gemacht

12/27/2011 18:42 Trollface-#53

Quote:
Originally Posted by Mi4uric3
Die Frage l�sst mich wahrscheinlich wie einen Idioten darstehen, aber ich scheine beim Importieren der detours.h irgendwo einen Fehler gemacht zu haben. (Entwicklungsumgebung: Embarcadero RAD Studio XE2)

Meine Imports sehen so aus:

Spoiler

[Only registered and activated users can see links. Click Here To Register...]

Das hier ist mein Code (MainWindow.cpp):
Spoiler
Code:
#include <vcl.h>
#pragma hdrstop

#include "detours.h"
#pragma comment(lib,"detours.lib")

#include "MainWindow.h"

#pragma package(smart_init)
#pragma resource "*.dfm"
TFormMain *FormMain;

typedef int (WINAPI *MessageBoxType)(HWND, LPCTSTR, LPCTSTR, UINT);
MessageBoxType MessageBox_Original = NULL;

int WINAPI MessageBox_Detour(HWND hwWindow, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType)
{
	String NewLog = "MessageBoxW(";
	NewLog += lpText;
	NewLog += ", ";
	NewLog += lpCaption;
	NewLog += ")\n";
	FormMain->Memo1->Lines->Add(NewLog);
	return MessageBox_Original(hwWindow, lpText, lpCaption, uType);
}

void __fastcall TFormMain::FormCreate(TObject *Sender)
{
   MessageBox_Original = (MessageBoxType)DetourFunction((PBYTE)MessageBoxW, (PBYTE)MessageBox_Detour);
}
Beim Builden der .DLL zeigt mir der Compiler folgenden Fehler an:

Ich bitte um Hilfe (:

Detours 1.5 und Embarcadero C++ Builder wird nichts soweit ich wei�, nimm 2.1 diese funktioniert ganz sicher, hab dir mal die Detours 2.1 hochgeladen sind f�r Embarcadero C++ Builder extra angepasst.

lg

12/27/2011 21:45 Mi4uric3#54

Quote:

Originally Posted by Trollface-

Detours 1.5 und Embarcadero C++ Builder wird nichts soweit ich wei�, nimm 2.1 diese funktioniert ganz sicher, hab dir mal die Detours 2.1 hochgeladen sind f�r Embarcadero C++ Builder extra angepasst.

lg

Vielen Dank, das werde ich mal ausprobieren!
Der gr��te Unterschied (was ich so gelesen habe) ist nur, dass manchmal Doppelpointer benutzt werden, oder?
Naja ich probiers einfach mal ^-^

Okay, also angepasst.. ([ILINK32 Fehler] Error: 'DETOURS.LIB' enth�lt einen ung�ltigen OMF-Record, Typ 0x21 (m�glicherweise COFF))

12/27/2011 21:51 MrSm!th#55

Man setzt den Detour v�llig anders und dazu geh�rt es auch, einen Doppelpointer zu verwenden, ja.

Soweit ich wei� hat 2.1 aber einige Vorteile, zb. Threadsicherheit.

12/27/2011 22:05 Mi4uric3#56

So ich hab jetzt die neue detours.h & detours.lib (konvertiert) benutzt
Es kommt genau der selbe Fehler.. :/

Ich habe eine weitere Frage:
Es geht mir nicht darum, eine MessageBox zu hooken (das ist nur ein Test), sondern eine Funktion in einem Programm (logisch.).
Aber ich m�chte nicht den Start der Funktion hooken, sondern mitten drin.
Wie mach ich das dann mit dem Trampolin?
Muss ich irgendwelche Argumente �bergeben, wenn ich die Funktion mitten drin hooke?

12/30/2011 05:28 Nerran#57

Angenommen ich m�chte eine Funktion detouren, die folgenden Aufbau hat:

Code:

__declspec(dllexport) int func_type (struct, const char *);

Wie m�sste ich da mit dem __declspec und der struct umgehen? Reicht eine "nachgebaute" struct der selben gr��e oder muss ich 1:1 die Originale verwenden.

12/30/2011 13:48 yihaaa#58

@Mi4uric3: Das mit dem Trampolin d�rfe schwierig werden, mach doch einfach eine CodeCave, dass d�rfte der einfachste Weg sein. Wenn du mittendrin hookst, dann ist ja dein Funktionpointer nur auf die halbe Funktion.

MfG

12/30/2011 14:43 Akorn#59

Quote:
Originally Posted by Nerran
Angenommen ich m�chte eine Funktion detouren, die folgenden Aufbau hat:
Code:
__declspec(dllexport) int func_type (struct, const char *);
Wie m�sste ich da mit dem __declspec und der struct umgehen? Reicht eine "nachgebaute" struct der selben gr��e oder muss ich 1:1 die Originale verwenden.

Als Parameter wird ja nicht die structur selber sondern nur ein Pointer zur Structur �bergeben. Wen du aber mit den elementen der structur arbeiten willst Dann solltest du schon wissen wie die structur aufgebaut ist bzw wissen an welchen offset sich das element befindet das du brauchst. Wen du die structur aber nicht brauchst dan kannst du im Detour damit umgehen wie mit einer normalen variable.

Quote:

Originally Posted by Mi4uric3

Ich habe eine weitere Frage:
Es geht mir nicht darum, eine MessageBox zu hooken (das ist nur ein Test), sondern eine Funktion in einem Programm (logisch.).
Aber ich m�chte nicht den Start der Funktion hooken, sondern mitten drin.
Wie mach ich das dann mit dem Trampolin?
Muss ich irgendwelche Argumente �bergeben, wenn ich die Funktion mitten drin hooke?

Wen du ein hook setzten willst musst du ja 5bytes (jmp+sprungweite) �berschreiben. Nun musst du aber darauf achten das wen der Maschinenbefehl der an der addresse ist an der du hooken willst nun keine 5bytes gro� ist sondern z.b. 6 bytes das du nicht nur 5 bytes ins trampolin sicherts sondern 6bytes. Andererseits wen der Maschienenbefehl nur 4bytes gro� ist dan must du den n�chsten Maschinenbefehl der z.b. 3bytes gro� ist mit sichern also im trampolin platz f�r 7 bytes machen.
Ansonsten m�sstest du beim hooken in der mitte einer funktion darauf achten das sich die Stack Pointer ver�ndern k�nnen was man beim ansprechen von Parametern und lokalen variablen ber�cksichtigen sollte.

12/30/2011 21:23 MrSm!th#60

@yihaaa: Bl�dsinn. Ein Detour ist im Grunde eine Codecave.

Da MS Detours automatisch die zu sichernde Menge an Bytes erkennt brauchst du nichts weiter beim Detour selbst beachten.
Du setzt den Detour einfach auf AdresseDerFunktion+OffsetAnDemDuDenJumpHabenM�chte st.

Was du aber beachten musst, sind eventuelle Stackzugriffe und Register.
Du musst dann auf jeden Fall deine Funktion als naked definieren, damit sie keinen Stackframe erstellt! Au�erdem darfst du keine lokalen Variablen verwenden!
Und wenn du die Register brauchst (da man normalerweise mit einem Detour etwas ver�ndern m�chte und das Rechnungen/Speicherzugriffe/Funktionsaufrufe hervorruft, braucht man die fast immer) musst du die vorher alle auf dem Stack sichern! (pushad und pushfd)
Wenn du inline ASM nutzt, kannst du auch manuell die Register sichern, die du nutzt und sparst so etwas Rechnerei.
Ach ja und nat�rlich musst du auf die Parameter auch per inline ASM zugreifen, da du keine Parameter deklarieren solltest (denn der Compiler geht bei der Codegenerierung davon aus, dass die Parameter beim Aufruf an der Stelle sind, an der er sie erwartet, was bei eine Detour mitten in der Funktion aber nicht der Fall sein wird).
Au�erdem wei� ich nichtmal, ob das �berhaupt ginge, da afaik daf�r ein Stackframe ben�tigt wird, der ja nicht erstellt wird.

Bei __stdcall Funktionen ist das einfach, da greifst du auf eventuelle Parameter mit dem EBP Register zu.
Bei __cdecl Funktionen wirst du, da man mit esp arbeitet, selbst das richtige Offset f�r die Parameter berechnen m�ssen (welches durch jedes PUSHen und POPen (auch durch das Sichern der Register) beeinfusst wird).

Quote:

Wen du ein hook setzten willst musst du ja 5bytes (jmp+sprungweite) �berschreiben. Nun musst du aber darauf achten das wen der Maschinenbefehl der an der addresse ist an der du hooken willst nun keine 5bytes gro� ist sondern z.b. 6 bytes das du nicht nur 5 bytes ins trampolin sicherts sondern 6bytes. Andererseits wen der Maschienenbefehl nur 4bytes gro� ist dan must du den n�chsten Maschinenbefehl der z.b. 3bytes gro� ist mit sichern also im trampolin platz f�r 7 bytes machen.

Das gilt auch f�r den Funktionsanfang und ist bei MS Detours belanglos.

Page 4 of 5

« First