[RELEASE] Suspended Injector [OPEN SOURCE]

Padmak · 06/10/2012, 23:53

Hallo Leute,

heute release ich mal wieder was für die Programmierer unter euch:
Ein (zugegeben sehr) kleiner Injector, der den Zielprozess eingefroren startet, injected und danach den Prozess weiterlaufen lässt

Natürlich ergibt sich jetzt auf den ersten Blick nicht unbedingt sofort ein Einsatzszenario dafür.. Aber wer schon jemals versucht hat, einen geschützten Prozess per DLL zu ändern/auszulesen/sonstiges, wird sofort wissen, wofür er dieses kleine Tool nutzen kann.
Hiermit wird jeder LoadLibrary-Hook umgangen, da die DLL lange vor allen anderen geladen wird

Rein theoretisch kann man damit auch in Hackshield-geschützte Prozesse eindringen.. in Ermangelung eines XP-PCs konnte ich das leider bisher noch nicht testen :P

Aber was laber ich eigentlich so viel, hier ist der Code:

Spoiler

Code:

#include <windows.h>
#include <string>
#include <stdint.h>

bool InjectDllFromDisk( HANDLE hProcess, uint32_t PID, uintptr_t* pMemory, size_t size )
{
    HANDLE t_hProcess = hProcess;
    if(t_hProcess == NULL)
    {
        t_hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, PID);
        if(t_hProcess == NULL)
            return false;
    }

    LPVOID t_hRemoteString, t_pLoadLibAddy;

    t_pLoadLibAddy = (LPVOID)GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");
    if(t_pLoadLibAddy == NULL)
    {
    	t_pLoadLibAddy = &LoadLibraryA;
    	if(t_pLoadLibAddy == NULL)
			return false;
    }

    t_hRemoteString = (LPVOID)VirtualAllocEx(t_hProcess, NULL, size, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    if(t_hRemoteString == NULL)
    {
        return false;
    }

    if(WriteProcessMemory(t_hProcess, t_hRemoteString, pMemory, size, NULL) == 0)
    {
        return false;
    }

    HANDLE hThread = CreateRemoteThread(t_hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)t_pLoadLibAddy, t_hRemoteString, 0, NULL);

    if(hThread == NULL)
    {
        return false;
    }
    else
    {
        WaitForSingleObject(hThread, INFINITE);
    }

    CloseHandle(t_hProcess);

    return true;
}

std::string OpenFileDialog(char *filter, HWND owner, HINSTANCE GlobalDLLHandle)
{
    OPENFILENAMEA ofn;
    char fileName[MAX_PATH] = "";
    ZeroMemory(&ofn, sizeof(ofn));

    ofn.lStructSize = sizeof(OPENFILENAMEA);
    ofn.hwndOwner = owner;
    ofn.lpstrFilter = filter;
    ofn.lpstrFile = fileName;
    ofn.nMaxFile = MAX_PATH;
    ofn.Flags = OFN_EXPLORER | OFN_FILEMUSTEXIST | OFN_HIDEREADONLY;
    ofn.lpstrDefExt = "";
    ofn.lpstrInitialDir = "";

    std::string fileNameStr;

    if ( GetOpenFileNameA(&ofn) )
        fileNameStr = fileName;

    return fileNameStr;
}

int main()
{
    std::string t_exe_path;
    std::string t_dll_path;
    std::string t_working_directory;

    do
    {
        t_exe_path = OpenFileDialog("Exe files (*.exe)\0*.exe\0\0", NULL, NULL);
        t_dll_path = OpenFileDialog("Dll files (*.dll)\0*.dll\0\0", NULL, NULL);
    }
    while(t_exe_path.empty() || t_dll_path.empty());

	t_working_directory = t_exe_path;
	t_working_directory.erase(t_exe_path.rfind("\\"), t_exe_path.size()-1) + "\\";

    while(1)
    {
        printf("Press enter to start and inject!");
        getchar();

        STARTUPINFO si;
        memset(&si, 0, sizeof(si));

        PROCESS_INFORMATION pi;
        memset(&pi, 0, sizeof(pi));

        if(CreateProcess( t_exe_path.c_str(),
                          NULL,
                          NULL,
                          NULL,
                          FALSE,
                          NORMAL_PRIORITY_CLASS|CREATE_SUSPENDED,
                          NULL,
                          t_working_directory.c_str(),
                          &si,
                          &pi ) == 0)
        {
            printf("Failed to start the process! Error code:%d\n", GetLastError());
			continue;
        }
        else
        {
            if(InjectDllFromDisk(pi.hProcess, pi.dwProcessId, (uintptr_t*)t_dll_path.c_str(), t_dll_path.size()))
            {
                puts("successfully injected!");
                Sleep(100);
                ResumeThread(pi.hThread);
            }
            else
            {
            	puts("error while injecting!");
            }
        }
        CloseHandle(pi.hThread);
        CloseHandle(pi.hProcess);
    }
    return 0;
}

Das Teil benötigt kaum Libs, es muss nur gegen die kernel32.lib & die comdlg32.lib gelinkt werden.
Müsste auf allen gängigen C++-Compilern ohne Probleme zu compilen sein, bei Problemen einfach hier rein schreiben

Im Anhang ist das ganze nochmals mit Code & Binary, für die Extra-Faulen :P

Ps: Bevor einer ankommt: Das ganze ginge natürlich noch vieeel ausführlicher, da ich aber Fan von kleinen Tools (am besten <100KB bin) habe ich es so gelassen

€: Natürlich vergessen zu sagen:
Der Code ist von mir geschrieben, bei der OpenFileDialog habe ich mir GLAUBE ICH Hilfe in Google geholt, ist aber schon >6 Monate her, drum sei mir bitte ein eventueller Fehlgriff vergeben
Wer den Code benutzt darf mich gerne erwähnen, Reuploads ohne Credits an mich sind natürlich, wie immer, nicht erlaubt.

Padmak

Hanashi · 06/10/2012, 23:54

Very Nice

Werde ich auf jeden Fall mal benutzen

LG Hanashi

Mi4uric3 · 06/11/2012, 11:57

Quote:

Originally Posted by Padmak

Hin Ermangelung eines XP-PCs konnte ich das leider bisher noch nicht testen :P

Lad dir Metin2.UK runter, die haben das neue HS was auch auf Win7 64Bit funktioniert.

Padmak · 06/11/2012, 17:39

:O Rly? Dann muss ich das natürlich sofort machen, danke dir

Padmak

Tyrar · 06/12/2012, 13:26

yep, man kann in HS injecten.. bringt allerdings mit dieser methode recht wenig

da (ich geh mal davon aus) HS die geladenen module checked. ob das so korrekt ist kann ich nicht sagen, jedenfalls wurde bei mir die injection nach dem start von HS entdeckt.

ich bin btw. eher ein fan von LdrLoadDll bzw. überhaupt der Nt/Zw API

da die meisten leute die ihren client schützen wollen eh nur LoadLibrary funcs hooken, ist das meiner meinung nach effektiver

Padmak · 06/12/2012, 17:25

Grml epvp, hasse doppelt schreiben.

Ähh ja genau:
Auch mit diesem Weg (meinem) kann man Usermode-Hooks ganz gut umgehen, da die erst gesetzt werden, sobald die DLL schon läuft
Aber ich wollte sowieso mal Treiber machen, das find ich interessant

Padmak

Mi4uric3 · 06/12/2012, 17:50

Erstellt: 06-10-2012, 23:53
Downloads heute, 06-12-2012 17:50: 4

Wo sind die ganzen Leecher hin? oO

.SkyneT. · 06/12/2012, 18:27

Quote:

Originally Posted by Mi4uric3

Erstellt: 06-10-2012, 23:53
Downloads heute, 06-12-2012 17:50: 4

Wo sind die ganzen Leecher hin? oO

Naja, die sind wohl nicht an dem Injector interessiert.
(Keine GUI, und bis aufs Suspend/Resume Process auch die normale Prozedur

)

Mi4uric3 · 06/12/2012, 21:53

Egal was es ist, alles wird gesogen. Normalerweise. Selbst die Malware
Aber nur im Hacks/Bots Bereich, liegt vielleicht daran..

Padmak · 06/12/2012, 23:20

Hab ich mir auch schon gedacht, war wohl sehr doof das hier zu posten. Naja, lieber haben es 5 Leute die es brauchen, als 50 die nur einfach auf Download klicken^^

Gibt ja kaum Rückmeldung... warum sagt keiner was? :<

Padmak

Mi4uric3 · 06/12/2012, 23:29

Quote:

Originally Posted by Padmak

Hab ich mir auch schon gedacht, war wohl sehr doof das hier zu posten. Naja, lieber haben es 5 Leute die es brauchen, als 50 die nur einfach auf Download klicken^^

Eben grade deshalb ists hier eigentlich besser :)

Quote:

Originally Posted by Padmak

Gibt ja kaum Rückmeldung... warum sagt keiner was? :<

Quote:

Originally Posted by Hanashi

Werde ich auf jeden Fall mal benutzen

Naja jetzt sinds 8 Downloads, ich gehöre nicht dazu, da ich mir einen Injector gemacht habe, der perfekt auf mich zugeschnitten ist, da er mir genau die DLLs aus meinen C++ Projekt-Ordnern in eine Combobox oder wie das heißt packt, so muss ich nicht immer die dlls auswählen, ist recht praktisch
Aber funktioniert halt nur bei Embarcadero-Studio-Nutzern, somit nur für ganz wenige nützlich :b

Ich denke schon, dass dein Injector funktioniert, aber ist jetzt nicht so ein Bomben-Feature, dass alle sagen würden "geil" oder so..

Padmak · 06/13/2012, 13:37

Naja, das Bombenzeug kann ich nicht releasen, weil ich mir damit voll den Wind aus drn Segeln nehmen würde^^
wäre denkbar doof von mir

Padmak

Mi4uric3 · 06/13/2012, 14:05

Quote:

Originally Posted by Padmak

Naja, das Bombenzeug kann ich nicht releasen

Um was es sich handelt wäre aber schon interessant :b

Padmak · 06/13/2012, 22:03

Naja, so überragend ist's jetzt auch wieder nicht
Meine ganzen Hilfsfunktionen, Codes vom Bot, Codes von verschiedenen anderen Sachen etc.
Seit neuestem auch ein eigenes Archivformat (zumindest teilweise)

Padmak

.SkyneT. · 06/14/2012, 18:05

Quote:

Originally Posted by Padmak

Gibt ja kaum Rückmeldung... warum sagt keiner was? :<

Padmak

Was gibts großartig zu sagen ?

Code:

if(t_hProcess == NULL)
            return false;

Man sollte immer '{' bzw '}' verwenden, weil es die
Lesbarkeit und Fehlerunanfälligkeit (gerade bei Open Source) verbessert.

Code:

if(InjectDllFromDisk(pi.hProcess, pi.dwProcessId, (uintptr_t*)t_dll_path.c_str(), t_dll_path.size()))
            {
                puts("successfully injected!");
                Sleep(100);
                ResumeThread(pi.hThread);
            }
            else
            {
            	puts("error while injecting!");
            }

Startet ResumeThread denn alle Threads ?
(Ich würd die Nt-API verwenden, was mir sogar du mal geraten hast

)

Weiters wird hier bei einem Fehler in "InjectDllFromDisk" der
Prozess gar nicht mehr "resumed", also bleibt "suspended"...

Eine kleine Sache noch:
Entscheide dich zwischen NULL und 0 ...