Título: castiar un thiscall Publicado por: dewolo en 30 Septiembre 2011, 19:53 pm estoi probando un metodo que encontre en el foro sobre inyectar una struct (de un usario eon) desde un exe sin dll. la idea mia es ir ahora a inisiar un thread en el momento q esta inyectada la estruct dada esta struct struct EstructIny { TipoCT pCT; void Func(void) { } } //La función que inyectaremos DWORD Inyectada ( EstructIny *data) { data->pCT(NULL, 0, (LPTHREAD_START_ROUTINE)data->Func, NULL, 0, NULL); return 0; } el error es de compilacion, porque no permite el tercer parametro de createthread no admite o no puede convertir el dato que le paso. como lo puede hacer alguien que sepa mas de c o c++ que yo, porque necesito pasarle ese parametro para que se complete la inyeccion e tratado de hacer algo asi DWORD dir = (DWORD)data->Func; pero dice Citar 'type cast' : cannot convert from 'void (__thiscall EstructIny::*)(void)' to 'unsigned long' como puedo hacer entonces ? Título: Re: castiar un thiscall Publicado por: Eternal Idol en 30 Septiembre 2011, 20:13 pm No se puede directamente pero podes pasar el objeto:
http://foro.elhacker.net/programacion_cc/iquestcomo_accedo_a_this_desde_una_funcion_callback-t285522.0.html Título: Re: castiar un thiscall Publicado por: dewolo en 30 Septiembre 2011, 20:47 pm Citar #include <windows.h> class ClaseEjemplo { public: static DWORD WINAPI FromClassHello(LPVOID lpParameter); char msg[1024]; }; DWORD WINAPI ClaseEjemplo::FromClassHello(LPVOID lpParameter) { ClaseEjemplo *ptrThis = (ClaseEjemplo*)lpParameter; MessageBox(0,"Hello world desde una clase en un thread xp",ptrThis->msg,0); return 0; } int WINAPI WinMain(HINSTANCE,HINSTANCE,LPSTR,int) { ClaseEjemplo ej1; strcpy(ej1.msg, "ejemplo"); HANDLE h1 = CreateThread(0,0, (LPTHREAD_START_ROUTINE)&ClaseEjemplo::FromClassHello, (LPVOID)&ej1,0,0); if(h1 == INVALID_HANDLE_VALUE) MessageBox(0,"Meeec Maaal","windows dice:",0); Sleep(5000); CloseHandle(h1); } no hay una forma sin tener que ahcerla static? es que necesito llamar algunas cosas de la struct dentro de la funcion "Func", por ejemplo en tu ejemplo llamas a "Messagebox" pero eso es un simbolo valido solo para tu programa inyector y no para el bloqe de memoria (struct) que se ineycta en el otro proceso no es asi? Código: struct EstructIny lo que ocurre es que en "Func" debo instalar un gancho (hook) y por lo tanto debo usar elementos de la struct misma, porqe estare ejecutando esta struct en otro proceso..... Título: Re: castiar un thiscall Publicado por: Eternal Idol en 30 Septiembre 2011, 20:55 pm No, tiene que ser estatico el metodo (y conforme a CALLBACK), que llame a MessageBox no es lo importante sino que podes pasar como parametro el objeto y asi accede a ptrThis->msg.
Código
Código
Título: Re: castiar un thiscall Publicado por: dewolo en 30 Septiembre 2011, 21:01 pm a muy bueno ::) esto no lo sabia lo del cuarto parametro lo estaba mirando en tus posts
http://www.forosdelweb.com/f96/metodo-clase-como-parametro-c-474946/ http://solocodigo.com/8895/esperar-a-un-evento-sin-bloquear-el-programa/ Título: Re: castiar un thiscall Publicado por: Eternal Idol en 30 Septiembre 2011, 21:16 pm Si, esta en todos en realidad, en el que pusiste primero es (LPVOID)&ej1 :)
Título: Re: castiar un thiscall Publicado por: dewolo en 30 Septiembre 2011, 22:11 pm Código: struct EstructIny que soluciones tendria para el myHook porque debo respetar su declaracion porque va usarce de reemplazo para la verdadera funcion. acaso debo hacer static a myHook o hay otra forma ? Título: Re: castiar un thiscall Publicado por: Eternal Idol en 30 Septiembre 2011, 22:35 pm Tene en cuenta que las funciones NO estan junto a los miembros de la estructura eh, las vas a tener que copiar por separado. Ahi en tiempo de ejecucion cuando reserves la memoria para myHook en el otro proceso vas a tener su direccion ... tampoco podes llamar a B asi directamente ... es mas, ni siquiera podes llamar a Func asi al ser otro proceso. A Func podrias copiarla en remoto y ejecutarla (lo acabo de hacer de prueba, tu codigo fallaria al llamar a Func que es una direccion de tu proceso) pero llamar a B ya no funcionaria salvo que tambien la hicieras estatica ... en definitiva si deberias hacer a myHook estatica, en realidad solo de esa manera podrias respetar la verdadera funcion que no es un metodo seguramente.
Título: Re: castiar un thiscall Publicado por: dewolo en 1 Octubre 2011, 01:15 am Tene en cuenta que las funciones NO estan junto a los miembros de la estructura eh, las vas a tener que copiar por separado. Ahi en tiempo de ejecucion cuando reserves la memoria para myHook en el otro proceso vas a tener su direccion ... tampoco podes llamar a B asi directamente ... es mas, ni siquiera podes llamar a Func asi al ser otro proceso. A Func podrias copiarla en remoto y ejecutarla (lo acabo de hacer de prueba, tu codigo fallaria al llamar a Func que es una direccion de tu proceso) pero llamar a B ya no funcionaria salvo que tambien la hicieras estatica ... en definitiva si deberias hacer a myHook estatica, en realidad solo de esa manera podrias respetar la verdadera funcion que no es un metodo seguramente. claro, etntiendo que en una struct se guardan direcciones osea ya sea de punteros, punteros a funciones o direcciones de datos. en el caso de poner funciones dentro de structs estas quedarian traducidas a direcciones o mejor dicho traducidas a punteros a funciones, y las direcciones de esas funciones estarian en el codigo del inyector y no en el remoto. entonces debo copiar cada funcion con writeprocesmemory en el remoto pero, supongo que debo seguir manteniendo el control desde la struct primaria en la cual ahora debere poner algunos punteros a funciones por ejemplo, un puntero a funcion para A) otro para B) y para el myHook, es esto correcto?, el problema viene a la integridad de myHook porque suponemos que el gancho va a ser sobre una api no se digamos, loadlibrary por decir cualquiera, entonces como hago para hacerla estatica pero ademas tener acceso a otros miembros de la struct, porque dentro de ese myHook se necesitan hacer algunas cosas, algunas llamadas y todo eso deben ser punteros a funciones guardados en mi struct. lo que no entiendo tambien de tu comentario es porque el createthread fallaria al crear el hilo y llamar a "Func" sabiendo que createthread se usa mediante a un puntero a funcion y la direccion que tiene es valida (segun el metodo del user eon)... o sino me confundi y lo que dirias es que falla al llamar a "Func" porque en la struct en realidad se guardaria una direccion de "Func" pero el cuerpo de la funcion tiene una start address que en realidad esta en el proceso del inyector y no en el remoto... eso tiene sentido, y en tal caso se deberia copiar al proceso remoto cada funcion de la struct ( A() B() y Func() y myHook() ) y solo guardar los punteros a funciones dentro de la struct, es eso lo que decis ? Título: Re: castiar un thiscall Publicado por: Eternal Idol en 1 Octubre 2011, 01:46 am claro, etntiendo que en una struct se guardan direcciones osea ya sea de punteros, punteros a funciones o direcciones de datos. en el caso de poner funciones dentro de structs estas quedarian traducidas a direcciones o mejor dicho traducidas a punteros a funciones, y las direcciones de esas funciones estarian en el codigo del inyector y no en el remoto. entonces debo copiar cada funcion con writeprocesmemory en el remoto pero, supongo que debo seguir manteniendo el control desde la struct primaria en la cual ahora debere poner algunos punteros a funciones por ejemplo, un puntero a funcion para A) otro para B) y para el myHook, es esto correcto?, Si pero tienen que ser estaticos tambien, si lo que queres es mantener datos compartidos reserva memoria tal y como lo haces para la estructura y aprovecha a usar TLS en las funciones en lugar del parametro de CreateThread ... el problema viene a la integridad de myHook porque suponemos que el gancho va a ser sobre una api no se digamos, loadlibrary por decir cualquiera, entonces como hago para hacerla estatica pero ademas tener acceso a otros miembros de la struct, porque dentro de ese myHook se necesitan hacer algunas cosas, algunas llamadas y todo eso deben ser punteros a funciones guardados en mi struct. ¿Existe alguna razon logica como para no usar una DLL? Es complicarse la vida sin sentido realmente ... lo que no entiendo tambien de tu comentario es porque el createthread fallaria al crear el hilo y llamar a "Func" sabiendo que createthread se usa mediante a un puntero a funcion y la direccion que tiene es valida (segun el metodo del user eon)... o sino me confundi y lo que dirias es que falla al llamar a "Func" porque en la struct en realidad se guardaria una direccion de "Func" pero el cuerpo de la funcion tiene una start address que en realidad esta en el proceso del inyector y no en el remoto... eso tiene sentido, y en tal caso se deberia copiar al proceso remoto cada funcion de la struct ( A() B() y Func() y myHook() ) y solo guardar los punteros a funciones dentro de la struct, es eso lo que decis ? Si, exactamente, en tu codigo le pasas la direccion de Func pero solo es valida en tu proceso inyector y no en el remoto, por eso fallaria, si reservas memoria, escribis el codigo y despues pasas esa memoria si funciona. Lo mismo tendrias que hacer para llamar a B desde Func (un puntero a funcion en la estructura y asignarle el valor de la memoria remota). No se cual es el ejemplo de EON ... PD. ¿Para ejecutar Inyectada creas un hilo? Si es asi no tiene sentido despues crear otro. Título: Re: castiar un thiscall Publicado por: dewolo en 1 Octubre 2011, 02:25 am http://foro.elhacker.net/net/inyeccion_dll_sin_dll_by_e0n_problema_edicion_de_memoria_convertir_a_c-t267355.0.html
http://www.infomalware.net/t62-inyeccion-de-codigo-sin-dll si con dll ya esta hecho pero es mucho mas facil, y como encontre el codigo este se me ocurrio hacerlo de esta forma... como es por aprendizaje nada mas .. supongamos que estan las 3 funciones en la memoria remota (A,B y myHook), Inyectada ya fue copiada, pero el problema es myHook porque las 3 van a transformarse en 3 punteros a funciones: Código: struct EstructIny EDITADO asi es tal cual el codigo de eon solo que usa messagebox solamente pero calculado localmente Código:
Título: Re: castiar un thiscall Publicado por: Eternal Idol en 1 Octubre 2011, 02:44 am Es muy tarde (casi 3 AM) para seguir intentado hacerlo asi ... fijate que el ejemplo de esos hilos es MUCHO mas simple de lo que vos estas tratando de hacer.
Si tuvieras una DLL no tendrias este problema: 1) Las funciones de la API estarian en tu tabla de importacion 2) Cualquier informacion que necesitaras compartir seria una variable global Lo complicado es establecer algo que cualquier funcion hookeada pueda usar para obtener el puntero a la estructura. Normalmente uno podria usar un TLS pero depende de una variable global que no podes tener ... Sinceramente lo unico que se me ocurre en este momento es que uses un valor hardcodeado para el puntero y sobreescribas la parte de la funcion que lo contiene antes de arrancar el primer hilo ... Supongamos que: Código
Entonces la idea seria que reemplazaras ese valor por data ... poder se puede pero la verdad es una enorme perdida de tiempo. Título: Re: castiar un thiscall Publicado por: dewolo en 1 Octubre 2011, 03:00 am suponemos que en la struct principal tenemos los punteros a funciones de myHook, B y de Func, y por su puesto tambien de Orig_myHook (porque es el valor de retorno de myHook), suponemos que las 3 funciones fueron escritas en la memoria remota osea (myHook, B y Func), entonces yo lo qye necesito es tener un hilo que se ejecute en el proceso remoto y que me inicialize los 4 punteros antes mecionados, los primeros 3 corresponden a las funciones mapeadas digamos, y el cuarto corresponde a una direccion que se encuentra en el proceso remoto, por decir "loadlibrary", usando getprocaddress como en el ejemplo de eon. la pregunta seria los pasos en el tiempo digamos en qe momento deberia inicializar los 4 punteros, y si debo usar ese mismo hilo. obviamente deben ser inicializados despues de la copia de las 3 funciones claramente.
lo que se deduce de esto es que solo seran miembros de la struct los 4 punteros a funciones, las definiciones de las 3 funciones no son de la struct sino que son separadas y son copiadas a parte. esto esta bien en teoria? EDITADO me faltaba el peqenio detalle de que si myHook no es de la struct no accede al puntero a funcion Orig_myHook para poder retornar a la original, se debe implementar algun truqillo como el que mostraste.. asi no es necesario agregar argumentos ni modificar la declaracion del hook Título: Re: castiar un thiscall Publicado por: Eternal Idol en 1 Octubre 2011, 03:18 am Todo lo podes escribir desde el inyector, incluso el mismo truco ese, mientras lo hagas antes de crear el hilo es suficiente.
Título: Re: castiar un thiscall Publicado por: Eternal Idol en 1 Octubre 2011, 12:47 pm Otro truco que se me ocurrio, en este caso lo probe y funciono :xD
Sabiendo que podemos obtener estos valores con intrinsics (con lo cual funcionarian en x64 tambien): http://en.wikipedia.org/wiki/Win32_Thread_Information_Block http://en.wikipedia.org/wiki/Process_Environment_Block PostProcessInitRoutine A pointer to a callback function called after DLL initialization but before the main executable code is invoked Esto solo se usa (si se usa claro) antes de que el ejecutable arranque asi que podemos secuestrarlo ;D Esta hardcodeado pero definiendo correctamente la estructura _PEB podrias hacerlo portable con un par de ifdefs (para definir la estructura y para el intrinsic de acuerdo al tamaño de puntero: q/dword), en Inyectada: Código
Código
Título: Re: castiar un thiscall Publicado por: dewolo en 1 Octubre 2011, 15:18 pm gracias amigo por tu dedicacion, pero algunos de esos trucos es la primera ves que los miro XD
sin dejarlos de lado, me podes decir porque este code no funcionaria, es solo una prueba de concepto y ni compila pero necesitaria entender algunos puntos sobre el, antes de avanzar el codigo ha cambiado un poco eso si, pero con este ejemplo es mas figurado y si entendes ingles que me parece que si porque me recomendaste textos en ingles, etnonces vas a endender los comentarios :laugh: lo que quisiera saber sobre este code es especificamente porque no funcionaria o quedaria sin comunicacion entre el proceso local y remoto, osea si en algun momento alguna direccion es invalida a causa de esa desconexion. luego voy a pasar a los trucos :) Código
Título: Re: castiar un thiscall Publicado por: Eternal Idol en 1 Octubre 2011, 17:27 pm Al no estar ni los typedefs se hace MUY pesado de compilar asi que solo le di una ojeada. El detour no es ni de lejos tan simple como pareceria en el codigo ... para poder acceder desde el hook a la estructura tenes que hacer algun truco.
PD. No necesariamente MSVCRT.dll estara cargada en el proceso remoto. Título: Re: castiar un thiscall Publicado por: dewolo en 1 Octubre 2011, 18:32 pm te lo mande por pm :)
y lo de msvcrt.dll se puede hacer loadlibrary en el proceso remoto y cargarla? aparte me entro una duda sobre esa libreria porque existen tambien msvcrt6 y msvcrt7, etc y lo del truco no compila sabes porque no permite ese simbolo el __readfsdword :-[ EDITADO claro era para visual studio 2005 en adelante XD http://msdn.microsoft.com/en-US/library/3887zk1s(v=VS.80).aspx Título: Re: castiar un thiscall Publicado por: Eternal Idol en 1 Octubre 2011, 18:59 pm Si, se puede aunque Sleep la tenes en la API y dudo que sean necesarios numeros aleatorios ;D
Actualiza el compilador y podras usar __readfsdword. Título: Re: castiar un thiscall Publicado por: dewolo en 1 Octubre 2011, 19:04 pm Si, se puede aunque Sleep la tenes en la API y dudo que sean necesarios numeros aleatorios ;D Actualiza el compilador y podras usar __readfsdword. JAJAJAJAJAJAJ es que iba a hacer otra cosa en primer lugar con srand y rand :rolleyes: EDITADO los tamaños de las primeras dos funciones no son correctos alguien sabe como es el calculamiento ? por ejemplo para TestFunc Código: DWORD proc_size1 = (DWORD)end_proc - (DWORD)TestFunc; pero para HookFunc Código: DWORD proc_size2 = (DWORD)end_proc - (DWORD)TestFunc - (DWORD)HookFunc; seria asi ? Título: Re: castiar un thiscall Publicado por: Eternal Idol en 1 Octubre 2011, 20:51 pm El naked no esta permitido en x64, mejor reserva y copia una pagina entera (1024 bytes), menos no podes gastar de cualquier manera ;D
Título: Re: castiar un thiscall Publicado por: dewolo en 2 Octubre 2011, 15:39 pm en principio no entendia ese calculo por supongo que se trata de posiciones fijas y al restarlas da la diferencia de lo que ocupa , igual eso se aplicaria solo si fuera una funcion como en el codigo de eon pero en este son 3 .. porque asi com esta escrito se denota que lo que esta restando son dos direcciones de memoria (la de las dos funciones), el tema es como saber si su posicion es fija
Código: DWORD inyectada (datos *data) |