Winsock Hook

03/03/2015 13:26 Lee Ki-Hwan#1
Hey Leute,
ich wollte mich mal dran wagen selber versuchen die Winsock "connect" funktion zu hooken, und nunja es hat geklappt.
Aber natürlich ist es damit nicht getan weil mich nach Ca 30 Sekunden XTRAP rauswirft. (Also meine Hook funktioniert Perfekt, MS - Detours wurde benutzt.)
Nun hab ich glaub ich schon 2 Stunden lang etliche Tutorials angeguckt und hab dann versucht es per "Mid Function Hooking" zu lösen, ich hab zwar irgendwas falsch gemacht, und der Client crashte aber dennoch hat Xtrap es detected.

Nun weiss ich überhaupt nicht, wie ich die Funktion richtig hooken soll, bin auch ehrlich gesagt ein wenig verwirrft von dem ganzen Googlen.

Ich hätte daran gedacht einfach die Parameter zu ändern sobald sie geladen werden, aber bin echt verwirrft von den ganzen Tutorials und brauche mal paar ratschläge und ggf. ein Beispiel wie ich die Parameter vom stack bekomme.

MfG B.I.G
03/03/2015 14:38 XxharCs#2
Du musst die XTrap detections bypassen
03/03/2015 14:54 Lee Ki-Hwan#3
Quote:
Originally Posted by XxharCs View Post
Du musst die XTrap detections bypassen
Ja ich suche grade nach einem weg.
Dazu muss man erstmal verstehen wie es eben funktioniert, grade bei WINAPI's frage ich mich was da geprüft wird.
Überall steht nur das man es per Mid-Function hooking machen soll, aber ich peil einfach nicht wie.
Ich hatte mir ne alte Engine genommen von dem Game und dort konnte ja ganz leicht gucken und dann verändern, aber bei der neueren Version keine chance, olly attachen kannst vergessen. (höhö reim)
03/31/2015 13:06 _asm#4
Quote:
Originally Posted by The Notorious B.I.G View Post
Ja ich suche grade nach einem weg.
Dazu muss man erstmal verstehen wie es eben funktioniert, grade bei WINAPI's frage ich mich was da geprüft wird.
Überall steht nur das man es per Mid-Function hooking machen soll, aber ich peil einfach nicht wie.
Ich hatte mir ne alte Engine genommen von dem Game und dort konnte ja ganz leicht gucken und dann verändern, aber bei der neueren Version keine chance, olly attachen kannst vergessen. (höhö reim)
An Mid-Function Hooking wird es nicht liegen, da wird genauso ein JMP zu deiner Funktion gesetzt -> Memory modification -> xTrap flippt aus :p

An deinem MS-Detour liegt es denke ich nicht, sondern an dem JMP. Was du machen könntest, ist die API's unhooken die xTrap hookt, wobei ich jetzt nicht weiß ob xtrap einen Kernelmode Treiber mitlädt, aber kannste ja mal versuchen ;).
Sonst empfehle ich dir einfach einen Vectored Exception Handler zu erzeugen.

Edit: Und Olly kannst du ohne Probleme attachen, trotz kernelmode treiber (was ich mal denke).
Da musst du wie gesagt die API's unhooken und z.B. bei NtSetInformationThread eine Flag einer Enum ändern, glaube das war ThreadHideFromDebugger. Dann solltest du Olly attachen können.