Autoit Hooking (ohne crash) möglich?

[golle12]

Hallo liebes Forum

kann man mit Autoit ohne Crashes eine Adresse Hooken und ohne Probleme sie wieder auf die Ausgangsadresse umleiten ohne dass das Programm crasht ? Denn jedesmal wenn ich es mache crasht es :/.Daher möchte ich diejenigen Fragen die damit erfahrung haben.(Natürlich wäre es leichter dies mit C++ oder C# zumachen aber ich wollte alles mal mit autoit machen)Hoffe ihr könnt mir helfen.(Im Internet gibt es auch eiige "Hooking.au3" welche aber entweder nicht funktioniert oder einfach eine Fehlermeldung zurück gibt und das noch im Beispiels Script.)

[alpines]

Das was du mit C++ schaffst geht auch mit AutoIt nur ist es ein bisschen umständlicher.
Entweder exportierst du eine DLL die in C++ geschrieben ist und die Hooking Funktion darin über AutoIt ausführt oder du schreibst selber mit MemoryWrite in den Speicher.
Wenn es crasht, dann liegt es wahrscheinlich an nicht abgesichertem / zugesichertem Speicher (VirtualProtect() in C++).
Schau dir das Grundgerüst in C++ mal an und versuch das zu übernehmen, solltest du das nicht können bastel dir eine kleine DLL die das für dich macht.

[golle12]

Ich hab etwas von shadow gefunden was den assembler code injected und zwar macht er einen Jump und nopt die unwichtigen adressen nun meine frage wie kann ich nun damit am anderen Ende des Jumps meine Funktion abfragen oder das sie überhaupt ausgeführt wird? Das ist das was ich schon gemacht habe bisher nopt sie alles und jumpt (irgendwo) zu einer Adresse hin.

PHP Code:

#include <ButtonConstants.au3>
#include <EditConstants.au3>
#include <GUIConstantsEx.au3>
#include <WindowsConstants.au3>
#include<CCInject.au3>
#RequireAdmin
#Region ### START Koda GUI section ### Form=
$Form1 = GUICreate("Test", 282, 187, 192, 124)
$Group1 = GUICtrlCreateGroup("Test", 0, 0, 281, 185)
$Input1 = GUICtrlCreateInput("Ich habs geschafft!!!", 24, 32, 233, 21)
$Button1 = GUICtrlCreateButton("Namechange", 8, 120, 89, 57)
$Button2 = GUICtrlCreateButton("Inject Script", 168, 144, 97, 33)
GUICtrlCreateGroup("", -99, -99, 1, 1)
GUISetState(@SW_SHOW)
#EndRegion ### END Koda GUI section ###

While 1
    $nMsg = GUIGetMsg()
    Switch $nMsg
        Case $GUI_EVENT_CLOSE
            Exit
        Case $Button1
            _Change()
        Case $Button2
            _Inject()
    EndSwitch
WEnd

Func _Inject()
Local $memopen = _MemoryManipulationOpen(ProcessExists("Test.exe"))
$allocated_variable = _AllocateMemoryForVariable($memopen)
$asm_variable = _CreateASM_CopyRegisterToVariable($allocated_variable, "ebx")
$old_opcode = ""

_MemoryBytesWrite($memopen,0x00720BE2,"90")
_MemoryBytesWrite($memopen,0x00720BE3,"90")
$old_opcode = _InjectASMAtAddress($memopen, 0x00720BE4, 5, $asm_variable)
EndFunc

Func _Change()

EndFunc 


[alpines]

Du injectest deine Funktion in eine CodeCave, und jumpst dahin (speicherst natürlich den ASM Code auf den du schreibst als 1. in die CodeCave) am Ende deiner Funktionen in der CodeCave jumpst du zurück wo du den eigentlich Jump initiiert hast nur ein Schritt weiter.

[golle12]

ok dankeschön, ist mein anfang oben schon richtig oder ist da was falsch ?

[alpines]

Da kann ich nicht viel zu sagen, da ich mich damit zu wenig auseinandergesetzt hab, aber ein paar Tutorials sollten das glaube ich schon klären.

[golle12]

ok dankeschön

[snow]

Du machst hier im Moment nichts, außer 2 Byte zu nopen und das Register ebx in deine allokierte Variable zu kopieren. Da ist kein Jump oder sonst was zu erkennen und wenn die Adressen im Speicher einfach so gewählt sind, bringt das auch nichts.

Was du vom Ablauf her machen musst:
- Speicher für deine CC allokieren & deine Instructions dort hin kopieren
- an der gewünschten Stelle zur CC springen
- am Ende der CC zur gewünschten Stelle + len(jump_instruction) springen
- entweder du berechnest die Adresse relativ und springst dann direkt hin (jmp 0x12345678) oder du schiebst die Adresse der CC in ein Register (mov eax, 0x12345678) und springst dann mit der Angabe des Registers (jmp eax). Hat beides Vor- und Nachteile.

Was du momentan machst:
- mov [adresse], ebx

AutoIt ist hierfür in meinen Augen ziemlich ungeeignet, schau dir mal C++ an. Ansonsten könnte AsmJit mit einem Wrapper eine Option sein.

[Wayntressierts]

Auch mit AutoIt geht das, du musst nur wissen was du tust und wo du hin willst.
Was möchtest du denn mit deinem Script erreichen?

Wenn ich dich richtig verstanden habe, willst du aus AutoIt auf das EBX register an einer Stelle zugreifen... kommt das hin?

[alpines]

Quote:

Originally Posted by Wayntressierts

Auch mit AutoIt geht das, du musst nur wissen was du tust und wo du hin willst.
Was möchtest du denn mit deinem Script erreichen?

Wenn ich dich richtig verstanden habe, willst du aus AutoIt auf das EBX register an einer Stelle zugreifen... kommt das hin?

Nicht ganz, er will seine ASM Funktion in eine CC injecten und dahin jumpen.

[YatoDev]

woher weis man wohin man wieder zurück jumpen muss ?

[alpines]

Das ist ganz einfach, hier mal ein vereinfachtes ASM Beispiel:

.... Code davor
0x0001 ADD EBX, 2
0x0002 MOV ECX, EBX
.... restlicher Code

Man möchte zum Beispiel EBX auf 0 setzen, sicherlich kann man hier das ADD EBX, 2 zu einem MOV EBX, 0 machen aber wir wollen das per CC Injection machen.

Unsere CodeCave sieht so aus:

0x1000 ADD EBX, 2
0x1001 MOV EBX, 0
0x1002 JMP 0x0002

Ich bin mir im klaren das der Code Fehler enthält, aber er soll das nur verdeutlichen.
Wenn wir jetzt zur CodeCave jumpen wollen machen wir folgendes

0x0001 ADD EBX, 2
0x0002 MOV ECX, EBX

ändern wir zu

0x0001 JMP 0x1000
0x0002 MOV ECX, EBX

Somit jumpen wir an der Stelle wo vorher das ADD EBX, 2 war zu unserer CC, führen den Code aus der an der Stelle an dem wir dem Jump platziert haben aus (man kann nicht einfach so was zwischen einfügen, deshalb die Anweisung auf jeden Fall kopieren) und fügen unseren Code den wir dort ausführen möchten hinzu und anschließend springen wir zurück. Die 0x001 0x1002 sind nur Beispielspeicheradressen.
Man jumpt am Ende dahin zurück von wo man "weggejumpt" ist +1.
Es gibt sicherlich ein Befehl womit man die aktuelle Speicheradresse abspeichern kann.

[lolkop]

es gibt keinen allgemeinen "befehl" der mich am ende meiner codecave dorthin bringt, wo ich hin will...

je nachdem, was ich mit meiner codecave bewirken will, muss ich entsprechend das ende der codecave anpassen. es gibt situationen, in denen ich 100 zeilen aus dem zielprozess durch 200zeilen aus meiner codecave ersetzen will. hier muss ich natürlich am ende der codecave hinter die 100 zeilen code des zielprozesses springen.

je nachdem was ich vorhabe, kann die zieladresse am ende meiner codecave deshalb sehr stark variieren.

ein kleiner tipp zum schluss: jump befehle sind allgemein recht komplex aufgebaut. es gilt aus zieladresse und aktueller adresse den befehlscode zu errechnen. deutlich leichter geht das auf anderen wegen. nimmt man zb den return befehl, so pusht dieser die zieladresse einfach vom stack.

Code:

jmp x

bringt mich entsprechend zur gleichen stelle, wie

Code:

push x
retn

nur das beim letzteren code keinerlei Berechnungen zur codeerstellung notwendig sind.

[golle12]

ok aber wie macht das Cheat Engine ? Denn bei Cheat Engine ist das anders denn da erstellt er alles selbern ohne da selbst viel zu hantieren daher->

Ich habe eine Cheat Engine Script welches ich mit Autoit "nachahmen " möchte ohne jedesmal ce zu starten daher auch meine Frage Wie bekomme ich es hin von eine Adresse einen jump zu veranlassen welcher dann von meinem Script genutzt wird und dann wieder zurück jump (eins weiter nach unten) ohne dass es crasht ?

[BladeTiger12]

Ich würde sagen, du schreibst die Bytes an deiner Addresse um(MemoryWrite oder mit der CC Inject.au3) und schreibst dir die CodeCave mit einem Debugger vor(OllyDbg, CE), dann musst du nur noch alles auf AutoIt übertragen.(Also wieder Bytes umschreiben.)