NtQueryVirtualMemoryHook-Keine Calls m�glich

Page 1 of 3

03/17/2010 19:13 MrSm!th#1

Hallo liebe Mitcoder,

Falls ihr sehr wenig bis 0 Ahnung vom Hooken und/oder der Native Api habt, k�nnt ihr den Thread wieder verlassen (gut, ihr k�nnt nat�rlich aus reinem Interesse mitlesen, aber ihr werdet dann dabei sicher nicht so viel lernen...).
An die anderen, die Ahnung haben und nun noch weiterlesen, habe ich eine Fragestellung zu einem ziemlich verwirrendem Problem:

Aus mir unbekannten Gr�nden versp�rte ich Lust, meine Hooks, die meist eh nicht detected werden, wirklich fast vollst�ndig (Usermode) undetected zu machen.
Da wohl ziemlich h�ufig die Funktion NtQueryVirtualMemory zur Hookdetection genutzt wird, habe ich es mal damit probiert (und hier wurde das auch geraten [Only registered and activated users can see links. Click Here To Register...]).
Wie dem auch sei, ich habe es schonmal geschafft, nicht vorhandene Hooks damit detected zu machen :awesome: (Scheinbar werden von XTrap doch OS Funktionen gepr�ft, allerdings nicht alle und ich hatte bis vor kurzem nur nicht-gepr�fte gehookt. Nunja, da ich aber NtQueryVirtualMemory einfach failen lie�, um es mal zu testen, wurden auch gar nicht gehookte Funktionen als Hooks erkannt^^)
Problem ist, um ernsthaft Hookdetection zu vermeiden, muss ich auch die Originalfunktion aufrufen (in meinem wirren Gedankengang...wenn jemand davon Ahnung hat und wei�, wie es ohne sie aufzurufen m�glich ist, g�ltige Werte zu returnen, die zu keinem Crash f�hren und die auch so sind, als w�re nichts gehookt, kann er mich eines Besseren belehren).
Das funktioniert aber nicht, innerhalb von NtQueryVirtualMemory kann ich weder callen noch jumpen.
Wenn ich sie hooke und eine simple MessageBox ausgeben will -> Crash
Wenn ich einfach die originale Version aufrufen will -> Crash
Wenn ich nichts mache, als 1 zur�ckzugeben -> Kein Crash, aber XTrap n�rgelt rum...

Dieses Problem tritt bei mir nur bei dieser Funktion auf, �berall anders geht es.
Habe schon im Debugger durchgesteppt (erstmal mit ner anderen Nt Funktion, die auch defintiv gecalled wird, damit ich mal sehen kann, was genau passiert, aber damit gabs ja keine Probleme...f�rs Testen von NtQueryVirtualMemory m�sste ich mir erstmal eine Testapp schreiben...) und nichts auff�lliges bei anderen Nt Funktionen mit dem Verfahren gefunden.
Der Aufbau in der Ntdll ist eigentlich der gleiche, wie bei den anderen Funktionen!
Also woran kann das liegen, dass ich nichts innerhalb des Hooks callen kann (oder zu ner anderen Funktion jumpen)?

W�re sch�n, wenn mir jemand helfen k�nnte, Danke im Voraus ;)

03/17/2010 21:40 12354#2

was gibts denn f�r n fehler?

EDIT:
Probier mal die Register mit pushad & popad zu sichern, vlcht liegts dadran

03/17/2010 21:55 MrSm!th#3

es crasht einfach
und ich kann leider nicht runtime debuggen wegen themida

ich probiers mal

edit:
n� geht nicht.
h�tt mich auch gewundert...
naja ich denk mal, ich komm um die testapp, ums debuggen zu k�nnen nicht rum

03/19/2010 00:35 flo8464#4

Womit hookst du? Detours?

03/19/2010 15:16 MrSm!th#5

03/20/2010 08:35 rEdoX#6

Funktioniert der Hook jetzt in deiner "Testapp" oder crasht es? Wenn er da auch crasht liegt es an deinem hook, wenn nein warscheinlich an Themida (bringt auch API Protections mit).

Quote:

Das funktioniert aber nicht, innerhalb von NtQueryVirtualMemory kann ich weder callen noch jumpen.
Wenn ich sie hooke und eine simple MessageBox ausgeben will -> Crash
Wenn ich einfach die originale Version aufrufen will -> Crash
Wenn ich nichts mache, als 1 zur�ckzugeben -> Kein Crash, aber XTrap n�rgelt rum...

Deutete aber eher auf einen Fehler in deinem Hook hin.

Quote:

Problem ist, um ernsthaft Hookdetection zu vermeiden, muss ich auch die Originalfunktion aufrufen (in meinem wirren Gedankengang...wenn jemand davon Ahnung hat und wei�, wie es ohne sie aufzurufen m�glich ist, g�ltige Werte zu returnen, die zu keinem Crash f�hren und die auch so sind, als w�re nichts gehookt, kann er mich eines Besseren belehren).

Du musst die original Funktion aufrufen (du kannst auch versuchen das Page Directory und die Page Tables selber zu parsen :P), steht aber auch in dem Link den du gepostete hast unter "8. Speicher".

03/20/2010 09:52 MrSm!th#7

Ok, danke f�r die Hilfreiche Antwort.
F�r die Testapp hatte ich noch keine Zeit, das mache ich heute oder morgen.
Ich glaube aber nicht wirklich, dass es am Hook liegt, denn wenn ich die Funktion einfach nur nichts tun lasse, au�er 1 zur�ckzugeben, kommt kein Crash.
Da k�nnte man ja meinen, es liegt am Trampolin, aber auch wenn ich was ganz anderes, wie zb. MessageBox calllen will, crashts, genau wie bei eine Jmp.
Wenn ich allerdings in die Hookfunktion ein bisschen sinnloses inline asm schreibe und darin gibts ein paar Jumps, funktionierts wieder, nur nicht, wenn ich zu irgendeiner anderen Api Funktion springen will.
K�nnte es evtl. an den Callingconventions liegen?

03/20/2010 11:00 flo8464#8

Du musst �brigens fast nen Treiber schreiben, um das sicher zu machen.
Es gibt gesch�tzt hundert M�glichkeiten, die DLL neu zu laden und zu mappen, da reicht ein LoadLibrary()-Hook nicht aus. ;)

03/25/2010 14:11 MrSm!th#9

Quote:

Originally Posted by flo8464

Du musst �brigens fast nen Treiber schreiben, um das sicher zu machen.
Es gibt gesch�tzt hundert M�glichkeiten, die DLL neu zu laden und zu mappen, da reicht ein LoadLibrary()-Hook nicht aus. ;)

Ne f�r mich ist ein Treiber dank 64bit eher unn�tig.
Ich will gar nicht LoadLibrary hooken, da die Dllinjection nicht detected wird, es werden nur ein paar Funktionen �berpr�ft, wie zb. EnumProcesses ;)

Btw. ich glaube ich habe den Fehler, ich werde es direkt jetzt gleich mal testen.
Ich hatte NtQueryVirtualMemory ja als NTAPI deklariert und auch, wenn das eigentlich richtig ist, als ich das gestern auch so mit NtQueryInformationProcess machte, welche ja auch die Callingconvention NTAPI hat, crashte es ebenfalls.
Mit WINAPI ging es bei NtQueryInformationProcess seltsamerweise...ich werds wohl auch mal mit NtQueryVirtualMemory testen

03/25/2010 14:24 flo8464#10

Quote:

Originally Posted by MrSm!th

Ne f�r mich ist ein Treiber dank 64bit eher unn�tig.
Ich will gar nicht LoadLibrary hooken, da die Dllinjection nicht detected wird, es werden nur ein paar Funktionen �berpr�ft, wie zb. EnumProcesses ;)

Naja, ich meinte eher dass man einfach NTQVM neu laden kann und dein Hook ist f�r die Katz. ;)

03/25/2010 14:39 MrSm!th#11

Quote:

Originally Posted by flo8464

Naja, ich meinte eher dass man einfach NTQVM neu laden kann und dein Hook ist f�r die Katz. ;)

Jo aber hier gehts um XTrap ;D
Meine erste Methode, CE undetected zu machen, war einfach OpenProcess failen zu lassen. Was haben sie ge�ndert? Sie nutzten NtOpenProcess :rolleyes:

03/25/2010 14:52 flo8464#12

Quote:

Originally Posted by MrSm!th

Jo aber hier gehts um XTrap ;D
Meine erste Methode, CE undetected zu machen, war einfach OpenProcess failen zu lassen. Was haben sie ge�ndert? Sie nutzten NtOpenProcess :rolleyes:

Naja, wie gesagt, darauf k�nnen sie reagieren. ;)
WoW-Warden macht das zb.

Gegen manuelles mappen ist es schwer vorzugehen. Da m�sste man theoretisch alle File-APIs hooken.

03/25/2010 17:09 Tyrar#13

schon dran gedacht mit ner proxy dll zu arbeiten?
das k�nnte vllt was bringen....
ich muss mich auch mit xtrap rumschlagen, wobei ich noch nich soweit bin alles undetected zu machen ;)

03/25/2010 17:55 MrSm!th#14

ach proxy dlls find ich eigentlich sinnlos.
vor allem weil ich mir sicher bin, dass es an den callingconventions

03/25/2010 18:03 Tyrar#15

so viel machen die calling conventions auch nich her (daran lags bei mir bisher noch nie ;))
jedenfalls mit ner proxy dll k�nnte es klappen! (vorrausgesetzt die werden nich gepr�ft)

Page 1 of 3