[C++] Windows Detours -> brauche anstupser.

~~|->|<-|~~ · 06/20/2014, 00:27

Hey wollte bisschen Windows Detours testen, anfang an hat alles gut funktioniert, z.B eine MessageBox zu hooken

.

Allerdings interessiert mich sowas eher weniger ich wollte direkt mal gucken wie man eine Funktion hookt wo man das Offset noch rausfinden muss, also wandte ich mich an diesem Tutorial:

Naja leider happerts ein wenig, ich weiss leider nicht wo:
DLL:

Spoiler

IDA PRO:

Test Programm:

Spoiler

Ich weiss nicht warum IDA long double anzeigt, ich habs auch mit double probiert, aber selbes ergebniss, hoffe einer weiss was da falsch ist. (mein tipp ist das offset aber ich weiss nicht genau)

Winject:

snow · 06/20/2014, 01:27

Führst du Winject denn als Admin aus?

~~|->|<-|~~ · 06/20/2014, 12:51

Quote:

Originally Posted by snow911

Führst du Winject denn als Admin aus?

Jo das hab ich auch probiert.

+Yazzn · 06/20/2014, 13:20

Kommentier mal std::cout in DllMain aus.

~~|->|<-|~~ · 06/20/2014, 13:24

Ne ging leider auch nicht.

+Yazzn · 06/20/2014, 13:25

DEP deaktiviert? Anscheinend wird die DLL ja nicht mal injected. Ansonsten evtl. mal einen anderen Injector verwenden.

~~|->|<-|~~ · 06/20/2014, 13:28

Quote:

Originally Posted by Peter File

DEP deaktiviert? Anscheinend wird die DLL ja nicht mal injected. Ansonsten evtl. mal einen anderen Injector verwenden.

Was ist DEP?.
Und ich hab ja das cout hinzugefügt damit ich sehe, ob sie überhaupt injected wird, was auch der Fall ist anscheinend scheitert es bei der Funktion.

+Yazzn · 06/20/2014, 14:27

Data Execution Prevention - Wikipedia, the free encyclopedia
How To Disable Data Execution Prevention (DEP) In Windows 7/Vista | door2windows

~~|->|<-|~~ · 06/20/2014, 14:39

Leider hat das auch nicht geholfen, selbes ergebniss wie vorher.

f1Nn · 07/08/2014, 10:57

Code:

#define ADDRESS 0x0413D00

typedef double(__cdecl *tHookedFunction)(double arg1);
tHookedFunction originalFunction;

void Hook(void)
{
	originalFunction = (tHookedFunction)CreateDetour((byte*) ADDRESS, (byte*) HookedFunction);
}

double __cdecl HookedFunction(double arg1)
{
	cout << arg1 << endl;
        arg1 = 13.37;

        return originalFunction(arg1);
}

Untested.

Quote:

Ich weiss nicht warum IDA long double anzeigt, ich habs auch mit double probiert.

Weil IDA nicht alles weiß. Die Calling Convention (stdcall, cdecl, thiscall, etc.) wird auch öfters mal falsch angezeigt, einfach reanalyzen oder brain nutzen. Du hast den Source der Quellapplikation vor dir, warum testest du überhaupt "long double", wenn du dir 100% sicher bist, dass es "double" ist?

Code:

arg = qword ptr8

sizeof(double) = 8
sizeof(long double) = 12

Quote:

(mein tipp ist das offset aber ich weiss nicht genau)

Nein, das passt.

Dr. Coxxy · 07/08/2014, 21:31

testapplikation als release kompilieren, die calling convention in der testapplikation fest festlegen auf entweder cdecl oder stdcall, gleiche dann in der dll sowohl bei dem typedef als auch der hookfunktion.

MrSm!th · 07/08/2014, 21:51

Wenn die DEP für einen Injector ausgeschaltet werden muss, ist der Injector Müll.

+Yazzn · 07/09/2014, 14:34

Quote:

Originally Posted by MrSm!th

Wenn die DEP für einen Injector ausgeschaltet werden muss, ist der Injector Müll.

Keine Ahnung wie Winject da verfährt, aber bei vielen anderen Injektoren soll es Probleme geben wenn die DEP an ist.