How to let a Sniffer fail !

07/22/2011 13:16 buFFy!#1

Hello ! In this tutorial i'm gonna show you how to let sniffers like "WPE Pro" or "Cain and Abel" fail.

What we know if we inform us a a bit about Sniffers is, that they Hook the ws2_32.dll function "send" to log outgoing packets. We also know that

Code:

int send(
  __in  SOCKET s,
  __in  const char *buf,
  __in  int len,
  __in  int flags
);

has the argument 'SOCKET s'. The usual way to retrieve the IP Address / Port from this socket is

Code:

int getpeername(
  __in     SOCKET s,
  __out    struct sockaddr *name,
  __inout  int *namelen
);

Since we know that, we gotta find a opportunity to let 'getpeername' fail. The answer is: Hooking !
There are several methods to hook a function. I'll keep it as simple as possible and use the 0xE9-jmp-method.

Now open up a new Project in VS (i use 08) and select DLL->empty project.

Since we also want to see the original Packets, we have to use the ws2_32.dll functions.
Create a Main.h and add:

Code:

#include <windows.h>
#include <stdio.h>
#pragma comment(lib, "ws2_32.lib")

should be clear.

We also know what we want to hook:
-"send" to see the original packets

Code:

typedef int (__stdcall * send_t)(SOCKET sock, const char* buffer, int len,int flags);
send_t pSend;

-"getpeername" (of course ;))

Code:

typedef int (__stdcall * getpeername_t)(SOCKET sock, struct sockaddr* name, int* namelen);
getpeername_t pGetPeerName;

Code:

void* detourFunc(BYTE *src, const BYTE *dst, const int len) //gamedeception. i rather use windows detours, but however :P
{
	BYTE *jmp = (BYTE*)malloc(len+5);
	DWORD dwback;

	VirtualProtect(src, len, PAGE_READWRITE, &dwback);

	memcpy(jmp, src, len);   jmp += len;

	jmp[0] = 0xE9;
	*(DWORD*)(jmp+1) = (DWORD)(src+len - jmp) - 5;

	src[0] = 0xE9;
	*(DWORD*)(src+1) = (DWORD)(dst - src) - 5;

	VirtualProtect(src, len, dwback, &dwback);

	return (jmp-len);
}

It writes a jump (0xe9) to our function to the given address.

We also want to add a console to print our logged original packets !

Code:

void GetConsole(LPCSTR sTitle) {
	FILE *fh;
	AllocConsole();
	freopen_s(&fh, "CONOUT$", "wb", stdout);
	SetConsoleTitleA(sTitle);
}

Thats all for the Main.h (for the functions, you can also add a Functions-header or smth.)
Now open up the Main.cpp:

Code:

#include "Main.h"

And the usual DLLMain:

Code:

int __stdcall DllMain(HANDLE _HDllHandle, DWORD _Reason, LPVOID _Reserved)
{
	if(_Reason == DLL_PROCESS_ATTACH)
	{
		CreateThread(0, 0, (LPTHREAD_START_ROUTINE)SetupHook, 0, 0, 0);
		return 1;
	}
	return 0;
}

As you see it contains a CreateThread for "SetupHook". Should be self-explaining.

Code:

void SetupHook()
{
	GetConsole("Sendlog");
}

Now we want to get the Address of our first function (send).
We do that as following:

Code:

	DWORD dwSend = (DWORD)GetProcAddress(GetModuleHandleA("ws2_32.dll"), "send");

You can add some error handling if you want - this works for me.

Now we have our address and can install the Hook itself:

Code:

	if( GetLastError() == 0)
	{
		pSend = (send_t)detourFunc((byte*)dwSend, (byte*)hkSend, 5);
	}

and the same for getpeername:

Code:

	DWORD dwGetPeerName = (DWORD)GetProcAddress(GetModuleHandleA("ws2_32.dll"), "getpeername");
	if( GetLastError() == 0)
	{
		pGetPeerName = (getpeername_t)detourFunc((byte*)dwGetPeerName, (byte*)hkGetPeerName, 5);
	}

Alright. Now the hooked functions containing our own code:

Code:

int WINAPI hkSend(SOCKET sock, const char* buffer, int len,int flags)
{
	sockaddr_in ip;
	int length;

	getpeername(sock, (struct sockaddr*)&ip, &length);
	printf("ip: %s\n", inet_ntoa(ip.sin_addr));
	printf("buffer: %p\n", buffer);
	printf("length: %i\n", len);
	printf("flags: %i\n", flags);
	printf("---------------------\n");
	
	return pSend(sock, buffer, len, flags);
}

As you can see, we retrieve the Address from the Socket using "getpeername". inet_ntoa(ip.sin_addr) formats it to the usual ip format (e.g. 127.0.0.1)

Afer that we simply print the single parameters to the console we allocated below.

Now lets come to getpeername:

Code:

int WINAPI hkGetPeerName(SOCKET sock, struct sockaddr* name, int* namelen)
{
	
}

If we check out MSDN link of getpeername ([Only registered and activated users can see links. Click Here To Register...]) we will see:

Quote:

If no error occurs, getpeername returns zero. Otherwise, a value of SOCKET_ERROR is returned, and a specific error code can be retrieved by calling WSAGetLastError.

That means, we will simply return out of getpeername without doing anything !

Code:

int WINAPI hkGetPeerName(SOCKET sock, struct sockaddr* name, int* namelen)
{
	return 0;
}

Now compile it and inject it to ur exe (i took gw.exe from Guild Wars)
[Only registered and activated users can see links. Click Here To Register...]

As you can see, the destination is always zero. Some networksniffers dont even display the packet if they dont have the destination (e.g. Cane and Abel).

I hope this tutorial helped you in some way.
It's not meant to fully hide your connection.
However, it will probably prevent the kidz from sniffing your data.
Though its not hard to bypass.

08/04/2011 01:28 MrSm!th#2

Quote:

CreateThread(0, 0, (LPTHREAD_START_ROUTINE)SetupHook, 0, 0, 0);

|
v

void SetupHook()

ლ(ಠ益ಠლ) Wieso schreibt wirklich jeder normale void Funktionen als Thread Entries?
Wei�t du nicht, dass das ganz fatal enden kann, besonders, wenn die Standard-Calling-Convention in deinem Projekt __cdecl ist?

Finde den Schluss nicht ganz schl�ssig (lol meine Wortwahl um diese Zeit), wie du von send zu getpeername kommst.
Erst sprichst du davon, einen Sniffer failen zu lassen.
Das k�nnte zb. auch das Entfernen eines Hooks sein. Und dann redest du pl�tzlich was von getpeername und der IP, zumal die IP doch gar nicht zwingend notwendig f�r einen Sniffer ist o.�

08/04/2011 09:17 buFFy!#3

Quote:

Originally Posted by MrSm!th

ლ(ಠ益ಠლ) Wieso schreibt wirklich jeder normale void Funktionen als Thread Entries?
Wei�t du nicht, dass das ganz fatal enden kann, besonders, wenn die Standard-Calling-Convention in deinem Projekt __cdecl ist?

Finde den Schluss nicht ganz schl�ssig (lol meine Wortwahl um diese Zeit), wie du von send zu getpeername kommst.
Erst sprichst du davon, einen Sniffer failen zu lassen.
Das k�nnte zb. auch das Entfernen eines Hooks sein. Und dann redest du pl�tzlich was von getpeername und der IP, zumal die IP doch gar nicht zwingend notwendig f�r einen Sniffer ist o.�

liegt wohl daran, das ich kein Buch gelesen habe ! :rolleyes: was kann denn da schief gehen?

das ganze tutorial war eher etwas spezieller in relation zu einem alten projekt von mir, jedoch in einem anderen forum. darum kommt das ganze hier nicht klar r�ber. es ging eben darum, das man die destination im sniffer nicht angezeigt bekommt.

send wird nur gehookt, um das korrekte packet anzuzeigen.

08/04/2011 14:48 link#4

"Wei�t du nicht, dass das ganz fatal enden kann, besonders, wenn die Standard-Calling-Convention in deinem Projekt __cdecl ist?"
Soweit ich wei� kann dabei nichts passieren. Nach einem Thread kommt nichts au�er ExitThread, da auch der Context des Threads gel�scht wird, kann sowohl der Stack upgefuckt, als auch ebx, esi und edi �berschrieben sein. Trotz cdecl findet retn ja noch die R�cksprungadresse und mehr ist nicht wichtig.

"Wieso schreibt wirklich jeder normale void Funktionen als Thread Entries?"
Abh�nging davon, in welchem Thread die Dll geladen wird, blockierst du evtl. den Mainthread bzw. andere wichtige Threads, daher erstellt man normalerweise einen Thread.

08/04/2011 18:06 MrSm!th#5

Quote:

Originally Posted by link

"Wei�t du nicht, dass das ganz fatal enden kann, besonders, wenn die Standard-Calling-Convention in deinem Projekt __cdecl ist?"
Soweit ich wei� kann dabei nichts passieren. Nach einem Thread kommt nichts au�er ExitThread, da auch der Context des Threads gel�scht wird, kann sowohl der Stack upgefuckt, als auch ebx, esi und edi �berschrieben sein. Trotz cdecl findet retn ja noch die R�cksprungadresse und mehr ist nicht wichtig.

Stimmt und da es nur einen Parameter gibt, kann eine andere Parameterreihenfolge auch keine Folgen haben (bei cdecl ist die doch umgekehrt oder?), hab ich vergessen, mein Fehler :o
�ndert trotzdem nichts dran, es ist ein verdammt schlechter Stil es so zu schreiben, das ist nunmal nicht die korrekte Definition eines Threads.

Und Folgen kann zumindest der R�ckgabewert haben, zwar keine fatalen, aber es gibt welche. N�mlich dass EAX einen zuf�lligen Wert haben kann und demnach sonst was f�r ein Error Code zur�ckgegeben wird.

Quote:

"Wieso schreibt wirklich jeder normale void Funktionen als Thread Entries?"
Abh�nging davon, in welchem Thread die Dll geladen wird, blockierst du evtl. den Mainthread bzw. andere wichtige Threads, daher erstellt man normalerweise einen Thread.

Darum ging es nicht, es ging mir eher um diese Erstellung eines Threads, die auch so gut wie in jedem C&P Warrock Hack falsch gemacht wird.
Es ist wirklich eine Epidemie.

Au�erdem wird idr. ein neuer Thread mit CreateRemoteThread gestartet, demnach wird allerh�chstens der Injector blockiert.

08/04/2011 18:54 link#6

"Do not declare this callback function with a void return type and cast the function pointer to LPTHREAD_START_ROUTINE when creating the thread. Code that does this is common, but it can crash on 64-bit Windows."
Ach, deswegen hast du das mit void als Thread angesprochen?
Hm, ich w�sste jetzt gar nicht was da schief gehen k�nnte, da void ja letztlich keinen Unterschied macht, au�er halt 'xor eax,eax'/'mov eax,x'..
Hei�t der R�ckgabewert w�re nicht definiert und h�tte einen zuf�lligen Wert.
Aber wenn du nicht mit arbeitest, wen k�mmert's dann?
"but it can crash on 64-bit Windows"
Das ist jetzt aber auch irgendwie ein wenig ungenau...
Leider kenne ich mich mit x64 gar nicht aus und wei� auch nicht, was der Compiler dort aus void macht..

"da es nur einen Parameter gibt"
Selbst mehrere w�ren egal :P
Der Stack sieht ja so aus:
esp+0 R�cksprungadresse
esp+4 Param1
esp+8 Param2
retn funzt also immer und wie der Stack danach aussieht ist ExitThread egal

"Au�erdem wird idr. ein neuer Thread mit CreateRemoteThread gestartet, demnach wird allerh�chstens der Injector blockiert."
Wieso das? Es gibt doch auch unz�hlige Dlls, die �ber Imports oder manuell geladen werden und z.B. ihre Daten oder Sonstiges in DllMain initialisieren m�ssen. Es gibt auch Injectors, die mit SuspendThread und Context.Eip arbeiten, sprich dem Mainthread.
Das so zu pauschalisieren w�re doch auch ein schlechter Stil, da es halt nicht universell ist bzw. ist's generell schlechter Stil, da es halt unsch�n ist, den Thread unn�tigerweise zu blockieren

08/04/2011 19:17 MrSm!th#7

Quote:

Originally Posted by link

"Do not declare this callback function with a void return type and cast the function pointer to LPTHREAD_START_ROUTINE when creating the thread. Code that does this is common, but it can crash on 64-bit Windows."
Ach, deswegen hast du das mit void als Thread angesprochen?

Um ehrlich zu sein, nein, diese Tatsache war mir nichtmal bekannt :D
Ich habe es angesprochen, weile es eben mit dem R�ckgabewert Komplikationen geben kann, weil es einfach schlechter Stil ist und weil ich mir das schon �fters sagen lassen habe (und dann direkt erstmal auf die Calling Convention geschlossen habe).

Quote:

Hm, ich w�sste jetzt gar nicht was da schief gehen k�nnte, da void ja letztlich keinen Unterschied macht, au�er halt 'xor eax,eax'/'mov eax,x'..
Hei�t der R�ckgabewert w�re nicht definiert und h�tte einen zuf�lligen Wert.

Genau das habe ich doch gesagt, der Wert ist eben zuf�llig, dementsprechend irgendein zuf�lliger ExitCode.

Quote:

Aber wenn du nicht mit arbeitest, wen k�mmert's dann?

Es ist ja nicht immer gesagt, dass man nicht damit arbeitet.
Au�erdem (achtung, nun wirds sehr hypothetisch :P), wenn man zb. in einem Plugin oder einfach f�r irgendeine externe Funktion einen Thread anbieten muss und die mit dem ExitCode arbeitet, sieht das ganze schon wieder anders aus.
Zumal ein Error Code bei solchen Dingen wie Threads das Debugging ungemein erleichtern kann.

Quote:

"but it can crash on 64-bit Windows"
Das ist jetzt aber auch irgendwie ein wenig ungenau...
Leider kenne ich mich mit x64 gar nicht aus und wei� auch nicht, was der Compiler dort aus void macht..

Ich wei� auch nichts genaueres �ber die 64bit Architektur, ich denke weniger, es hat etwas mit void zutun, als mit der Calling Convention.
Die ist ja standardm��ig __cdecl. Eventuell macht die WOW64 VM noch etwas nachdem ein Thread beendet ist.
Sollte es wirklich am void liegen, kann ich mir da auch nichts zusammenreimen.

Quote:

"da es nur einen Parameter gibt"
Selbst mehrere w�ren egal :P
Der Stack sieht ja so aus:
esp+0 R�cksprungadresse
esp+4 Param1
esp+8 Param2
retn funzt also immer und wie der Stack danach aussieht ist ExitThread egal

So meinte ich das nicht ganz. Ich war mir nicht mehr sicher �ber die Reihenfolge der Parameter. Es gibt doch irgendeine Calling Convention bei der die Parameter in umgekehrter Reihenfolge (sprich erster zuerst, letzter zuletzt) gepusht werden, wenn ich mich da richtig entsinne, wei� nun aber nicht mehr, welche es war.
Und da __cdecl und __stdcall so viele Unterschiede haben, habe ich mal darauf geschlossen, __cdecl sei diese. Und das w�rde sich ja bei mehreren bemerkbar machen, ist aber bei einem Parameter ohnehin bedeutungslos.

Quote:

"Au�erdem wird idr. ein neuer Thread mit CreateRemoteThread gestartet, demnach wird allerh�chstens der Injector blockiert."
Wieso das? Es gibt doch auch unz�hlige Dlls, die �ber Imports oder manuell geladen werden und z.B. ihre Daten oder Sonstiges in DllMain initialisieren m�ssen. Es gibt auch Injectors, die mit SuspendThread und Context.Eip arbeiten, sprich dem Mainthread.
Das so zu pauschalisieren w�re doch auch ein schlechter Stil, da es halt nicht universell ist bzw. ist's generell schlechter Stil, da es halt unsch�n ist, den Thread unn�tigerweise zu blockieren

So war das auch nicht gemeint, ich sprach generell erstmal von Dlls die f�r die Injection gedacht sind.
Nat�rlich gibt es auch die Variante, die Dlls in den Main Thread zu injizieren, aber es ist doch definitiv nicht die Regel.
Ich wollte es auch keinesfalls pauschalisieren, ich wollte nur sagen, dass es in den meisten F�llen nur den Injector blockieren wird, der normalerweise auf den Return der DllMain wartet.

08/04/2011 20:16 link#8

"ich denke weniger, es hat etwas mit void zutun, als mit der Calling Convention."
jo, aber da steht es doch:
"Do not declare this callback function with a void return type [...]. Code that does this is common, but it can crash on 64-bit Windows."
Vllt. hat es auch was mit dem Stack Alignment zu tun.. kA, MSDN scheint ja auch nichts dazu zu sagen..

"Und das w�rde sich ja bei mehreren bemerkbar machen, ist aber bei einem Parameter ohnehin bedeutungslos."
Aber damit w�rde der Compiler doch automatisch arbeiten :P
Pascal ist die Calling Convention, die du meinst, da sieht's dann so aus:
esp+0 R�cksprungadresse
esp+4 Param3
esp+8 Param2
esp+12 Param1
Bei cdecl m�sste der Caller den Stack bereinigen, was bei der ThreadProc-Stub, da das ThreadProc-Callback eigentlich stdcall ist, nicht passiert.
Das hei�t, der Stack w�rde dadurch upgefuckt werden, was aber wegen ExitThread nicht weiter von Bedeutung ist (wei�t du sicher auch, wollt's nur noch mal der Vollst�ndigkeit halber wiederholen)

"ich wollte nur sagen, dass es in den meisten F�llen nur den Injector blockieren wird, der normalerweise auf den Return der DllMain wartet."
Klar, selbst wenn du den Mainthread blockierst, ist es nicht schlimm, hei�t aber nicht, dass es nicht auch unsch�n ist :P

08/05/2011 01:57 MrSm!th#9

Quote:

Originally Posted by link

"Und das w�rde sich ja bei mehreren bemerkbar machen, ist aber bei einem Parameter ohnehin bedeutungslos."
Aber damit w�rde der Compiler doch automatisch arbeiten :P
Pascal ist die Calling Convention, die du meinst, da sieht's dann so aus:
esp+0 R�cksprungadresse
esp+4 Param3
esp+8 Param2
esp+12 Param1

Aber das Problem w�re ja, der Compiler generiert Funktionscode, der so damit arbeitet, aber das System wei� doch nix davon :P
Gehen wir mal davon aus, ein Thread h�tte 2 Parameter, wovon einer ein Pointer ist und der andere nicht, demnach w�re eine Verwechselung kritisch.
Nun pusht das System die Parameter in der Reihenfolge wie es f�r __stdcall Funktionen �blich ist und deine Funktion greift auf sie zu, wie es f�r Pascal Funktionen �blich ist, du kannst dir denken, was dann passiert ;O
Darum ging es mir im groben eigentlich.

Quote:

"ich wollte nur sagen, dass es in den meisten F�llen nur den Injector blockieren wird, der normalerweise auf den Return der DllMain wartet."
Klar, selbst wenn du den Mainthread blockierst, ist es nicht schlimm, hei�t aber nicht, dass es nicht auch unsch�n ist :P

Wenn du den Main Thread blockierst, ist das idr. schon schlimm, da es hier ja um ein Programm geht, das vor einem Sniffer gesch�tzt werden soll und es w�rde den Zweck verfehlen, wenn das Programm dadurch einfrieren w�rde ;O
Und bei jedem anderen Fall einer Dll Injection w�re es genau so, zb. bei Game Hacks.
Aber die meisten Injectoren injizieren ja sowieso mit CreateRemoteThread, von daher...

Wie gesagt, es ist nicht egal, ich mache ja auch keine Endlosschleife in der DllMain, zumal die afaik f�r jeden weiteren erstellten Thread nach der Injection aufgerufen wird ;O Aber es blockiert zumindest nicht immer den Main Thread, darauf wollte ich hinaus.

08/05/2011 04:03 link#10

Ich wei�, was du meinst, nur wird standardm��ig bei C++-Compilern entweder cdecl verwendet oder du benutzt stdcall wegen der WinAPI.
Alles andere als cdecl muss halt explizit angegeben werden und da w�re es schon sch�n doof, wenn man sowas wie Pascal extra angibt, obwohl es falsch ist (wobei VC++ Pascal afaik nicht mal unterst�tzt)

08/05/2011 12:42 MrSm!th#11

Das war ja auch ein Irrtum meinerseits, weil ich dachte, __cdecl handhabt das genau so mit den Parametern wie Pascal ;O