Frage zu c++ (dll injection)

Page 1 of 2

08/23/2010 18:46 Nulpe123#1

Hallo,

ich habe es bereits geschafft eine selbstgeschriebene .dll zu injecten. Nun habe ich allerings das Problem, dass sich der erzeugt Thread nach dem automatischen Aufruf der Funktion

Code:

"int __stdcall DllMain(_In_ void * _HDllHandle, _In_ unsigned _Reason, _In_opt_ void * _Reserved)"

wieder schlie�t.
Ich m�chte den Thread gerne so umprogrammieren, dass er jede Sekunde einmal ein paar Adressen aus dem injizierten Prozess ausliest (wie macht man das eigentlich? Mit Read & WriteProcessmemory?) und bei einer Ver�nderung dieser Adressen darauf reagiert. So m�chte ich die Kommunikation meines Hauptprogramms, dass die Values der Adressen �ndert, und dem Thread herstellen (bessere Vorschl�ge nehme ich nat�rlich gerne entgegen :)).
Ein Versuch soetwas mit einer Dauerschleife hinzubekommen ist leider gescheitert, da sich dann der ganze injizierte Prozess aufh�ngt. Wie k�nnte ich soetwas also am besten bewerkstelligen?

Bitte verwendet in euren Antworten so viele code Beispiele wie m�glich, da ich mich in c++ wirklich nicht auskenne, beim Schreiben der .dll allerdings nicht drumherum komme...

08/23/2010 21:27 wurstbrot123#2

memcpy / memcmp - Createthread

08/23/2010 22:46 Nulpe123#3

Quote:

Originally Posted by wurstbrot123

memcpy / memcmp - Createthread

ich denke mal du meinst damit jetzt, wie ich Values aus dem Prozess auslesen kann, oder?

Mein Hauptproblem ist es aber immernoch den erstellten Thread aufrecht zu erhalten und mit ihm zu kommunizieren. Alle M�glchkeiten dies zu bewerkstelligen enden allerdings damit, dass der injizierte Prozess einfriert.
Da er Funktionen im injizierten Prozess aufrufen soll, muss ich him irgendwie die Funktionsnamen und Eingabeparameter "senden".

08/23/2010 23:02 wurstbrot123#4

Hast du dir �berhaupt die Funktionen angeguckt ?
CreateThread -->
In den neu erstellten Thread f�gst du dann deine Schleife ein, dann wird
der Prozess nicht mehr eingefroren da dann dein Code in einem
anderen Thread l�uft.

08/24/2010 00:04 Nulpe123#5

Quote:

Originally Posted by wurstbrot123

Hast du dir �berhaupt die Funktionen angeguckt ?
CreateThread -->
In den neu erstellten Thread f�gst du dann deine Schleife ein, dann wird
der Prozess nicht mehr eingefroren da dann dein Code in einem
anderen Thread l�uft.

Wird nicht schon bei der Injektion, also beim injizieren der .dll, ein neuer Thread erzeugt? Mit OllyDbg kann man den sogar sehen, wie er kurz anspringt und wieder weg ist.

08/24/2010 00:17 MrSm!th#6

1. memcpy/memset ist nur notwendig, wenn es �ber int/float Gr��e hinaus geht, ansonsten, wenn es simple 4 Bytes Adressen sind, �nderst du die einfach per Pointer.

2. Deine Idee ist Quatsch, man kommuniziert mit anderen Prozessen via. FileMappings, Pipes, Windows Messages oder auch mal Winsock

08/24/2010 00:22 12354#7

Quote:

Originally Posted by Nulpe123

Wird nicht schon bei der Injektion, also beim injizieren der .dll, ein neuer Thread erzeugt? Mit OllyDbg kann man den sogar sehen, wie er kurz anspringt und wieder weg ist.

Ja es wird ein neuer Thread erzeugt, trotzdem sollte man diesen eigentlich wenig/nicht (oder nur zum Erzeugen eines eigenen Threads) verwenden.

Wenn du den Thread n�mlich zu viel machen l�sst, kann das zu Problemen f�hren(hab aber vergessen warum/welche Probleme :P ; glaubs mir einfach)

08/24/2010 00:45 wurstbrot123#8

W�sste nicht welche w�re mal Intressant zu wissen. F�r gleichzeitige
Zugriffe ( falls diese sein m�ssen ) gibt es ja CRITICAL_SECTION ( s ) :p

08/24/2010 02:08 MrSm!th#9

Zb. dass der Prozess anh�lt.
Injectoren pausieren den Prozess f�r gew�hnlich so lange, bis die DllMain returnt o.�
Sieht man zb. wenn man ne Message Loop (zb. durch nen Dialog, den man erstellt) oder irgendne andere Schleife in der DllMain hat, geht das Spiel einfach nicht weiter, der Dialog zwar schon, aber es bringt nicht viel :D

Au�erdem geh�ren in Einstiegspunkte wie WinMain, DllMain, main immer nur Initialisierungen, der restliche Code kommt raus da, guter Stil undso ;O

Quote:

Wird nicht schon bei der Injektion, also beim injizieren der .dll, ein neuer Thread erzeugt? Mit OllyDbg kann man den sogar sehen, wie er kurz anspringt und wieder weg ist.

Klar, aber wenn du keine Schleife in der DllMain hast (was ich dir auch nicht empfehle) ist doch klar, dass der Thread direkt wieder verschwindet.

08/24/2010 13:59 wurstbrot123#10

Quote:

Originally Posted by MrSm!th

Zb. dass der Prozess anh�lt.

Habe wohl beim post von 12345 einiges �berlesen :> Das ist mir nat�rlich alles klar deswegen habe ich ihm ja auch die CreateThread funktion gepostet ^^

09/20/2010 18:29 Nulpe123#11

Folgendes Problem:

Ich m�chte in meiner DllMain-Funktion nun einen neuen Thread starten. Das ganze sieht wie folgt aus:

PHP Code:


			
HANDLE thread;



int __stdcall DllMain(_In_ void * _HDllHandle, _In_ unsigned _Reason, _In_opt_ void * _Reserved)

{

    thread = CreateThread(NULL, 0, ThreadFunc,NULL,0,NULL);

}



DWORD WINAPI ThreadFunc(LPVOID data)

{

    //hier ist jetzt die Dauerschleife mit einer Sleep-Funktion, die das ganze etwas abbremsen soll

}

Allerdings meckert mein Compiler, dass er die ThreadFunc nicht findet!

error C2065: 'ThreadFunc': nichtdeklarierter Bezeichner

Wie kann ich die Funktion ThreadFunc f�r DllMain sichtbar machen?

09/20/2010 18:37 ms#12

Funktionsprototyp oben rein schreiben. ;O

09/20/2010 18:43 Nulpe123#13

Edit: Nun habe ich in der Funktion ThreadFunc eine Messagebox hinzugef�gt und oben den Funktionsprototypen deklariert:

PHP Code:


			
DWORD WINAPI ThreadFunc(LPVOID);

HANDLE thread;

int __stdcall DllMain(_In_ void * _HDllHandle, _In_ unsigned _Reason, _In_opt_ void * _Reserved)
{
    thread = CreateThread(NULL, 0, ThreadFunc,NULL,0,NULL);
    MessageBox(NULL, TEXT("Ich �ffne mich immer wieder"), NULL, MB_OK);
} 

DWORD WINAPI ThreadFunc(LPVOID data)
{
   MessageBox(NULL, TEXT("Thread gestartet"), NULL, MB_OK);
}

Wenn ich jetzt allerdings meine DLL injecte erscheint die Messagebox nicht und das injizierte Programm st�rzt ab (schlie�t sich einfach). Wenn ich zudem in der DllMain eine Messagebox hinzuf�ge scheint die Funktion DllMain eine Art Dauerschleife zu produzieren, denn immer wenn ich auf OK klicke �ffnet sich die Messagebox erneut.
Was k�nnte mein Problem sein?

09/20/2010 19:11 Tyrar#14

ich benutze lieber
SuspendThread, GetThreadContext, SetThreadContext, ResumeThread!
mit SetThreadContext wird das EIP register auf eine neue adresse gelegt (EIP = InstructionPointer, (64 bit sollte RIP sein?))

09/20/2010 19:21 Nulpe123#15

Quote:

Originally Posted by HeavyHacker

ich benutze lieber
SuspendThread, GetThreadContext, SetThreadContext, ResumeThread!
mit SetThreadContext wird das EIP register auf eine neue adresse gelegt (EIP = InstructionPointer, (64 bit sollte RIP sein?))

Wie w�rde daf�r denn ein Implementierungsbeispiel aussehen? Google will mir da nichts n�tzliches ausspucken...

Page 1 of 2