Foro de elhacker.net

Hola! Estoy desarrollando un programa para hacer api hooking sin necesidad de dll injection, es decir, con code injection. Por ahora funciona bien en la api EnumProcesses y OpenProcess, mi técnica se basa en antes de poner el hook a mi función inyectada, copio la llamada original a una parte (previamente desprotegida para la ejecución con virtualprotect()) asignada de la memoria y después cuando llaman a mi función, directamente redirijo los parámetros y llamo a la función original. Después de esto, manipulo la salida y devuelvo la información según sea conveniente.

El problema es que cuando trato de hacerlo con ntQuerySystemInformation, que es la función que utiliza el task manager para ver los procesos, me da un error de access violation cuando trata de acceder a "00000000". El hook funciona perfecto y todo se ejecuta según corresponde. Acá les dejo dónde es el fallo:

00A30079  ^75 C2            JNZ SHORT 00A3003D
00A3007B   8D4424 1C        LEA EAX,DWORD PTR SS:[ESP+1C]
00A3007F   8B5424 20        MOV EDX,DWORD PTR SS:[ESP+20]
00A30083   8B4C24 2C        MOV ECX,DWORD PTR SS:[ESP+2C]
00A30087   8D1411           LEA EDX,DWORD PTR DS:[ECX+EDX]
00A3008A   42               INC EDX
00A3008B   8910             MOV DWORD PTR DS:[EAX],EDX
00A3008D   8B4424 1C        MOV EAX,DWORD PTR SS:[ESP+1C]
00A30091   85C0             TEST EAX,EAX
00A30093   0F84 A3000000    JE 00A3013C
00A30099   8B5424 1C        MOV EDX,DWORD PTR SS:[ESP+1C]
00A3009D   8B4424 58        MOV EAX,DWORD PTR SS:[ESP+58]
00A300A1   894424 08        MOV DWORD PTR SS:[ESP+8],EAX
00A300A5   8B4424 54        MOV EAX,DWORD PTR SS:[ESP+54]
00A300A9   894424 04        MOV DWORD PTR SS:[ESP+4],EAX
00A300AD   8B4424 50        MOV EAX,DWORD PTR SS:[ESP+50]
00A300B1   890424           MOV DWORD PTR SS:[ESP],EAX
00A300B4   FFD2             CALL EDX                 -------->> Aca se llama a la call original guardada en la heap.
00A300B6   83EC 0C          SUB ESP,0C
00A300B9   884424 3B        MOV BYTE PTR SS:[ESP+3B],AL
00A300BD   C74424 30 000000>MOV DWORD PTR SS:[ESP+30],0
00A300C5   EB 52            JMP SHORT 00A30119
-----------------------------------------------------------------------
00A30119   8B4424 58        MOV EAX,DWORD PTR SS:[ESP+58]
00A3011D   8B00             MOV EAX,DWORD PTR DS:[EAX]  --->> Aca trata de asignar el valor de EAX, pero este tiene el valor "00000000"
00A3011F   C1E8 02          SHR EAX,2
00A30122   3B4424 30        CMP EAX,DWORD PTR SS:[ESP+30]
009E0122   3B4424 30        CMP EAX,DWORD PTR SS:[ESP+30]
009E0126   0F97C0           SETA AL
009E0129   84C0             TEST AL,AL
009E012B  ^75 9A            JNZ SHORT 009E00C7
009E012D   8B4424 58        MOV EAX,DWORD PTR SS:[ESP+58]
009E0131   8B00             MOV EAX,DWORD PTR DS:[EAX]
009E0133   8D50 FC          LEA EDX,DWORD PTR DS:[EAX-4]
009E0136   8B4424 58        MOV EAX,DWORD PTR SS:[ESP+58]
009E013A   8910             MOV DWORD PTR DS:[EAX],EDX
009E013C   8A4424 3B        MOV AL,BYTE PTR SS:[ESP+3B]
009E0140   83C4 4C          ADD ESP,4C
009E0143   C2 0C00          RETN 0C

Esta es la llamada a la función que luego es reemplazada por JMP (Address función):

7C90D92E > B8 AD000000      MOV EAX,0AD
7C90D933   BA 0003FE7F      MOV EDX,7FFE0300
7C90D938   FF12             CALL DWORD PTR DS:[EDX]
7C90D93A   C2 1000          RETN 10

Alguien puede darme una mano con esto??
Muchas gracias!
APOKLIPTICO.

Sin poder debuggear es díficil. ¿Qué debería contener ESP+58?

Okay parece que el problema (haciendo un poco de debugging) es que ESP+58 (Probablemente un puntero a la dirección de memoria con el valor de salida) está apuntando a 0x0007F678 de la stack cuando en la instrucción en la memoria 0x00A3009D estaba apuntando a 0x0007F674 de la stack. Fijándome en el momento del error, 0x0007F674 parece contener un valor (7000), el cual era el mismo que antes de hacer el call. El tema es que en la siguiente instrucción (en la que ocurre el error), está buscando una dirección de memoria y 7000 no es una dirección, sino un valor... Eso genera otro access violation...

Por si ayuda, esta es la función reemplazante:

DWORD __stdcall myNtQuerySystemInformation(
 SYSTEM_INFORMATION_CLASS SystemInformationClass,
 PVOID SystemInformation,
 ULONG SystemInformationLength,
 PULONG ReturnLength)
{
    #define COMPARE_PID 0
    DWORD dwParlen = 0;
    DWORD (WINAPI *doNtQuerySystemInformation) (SYSTEM_INFORMATION_CLASS, PVOID, ULONG, PULONG);
    DWORD dwGetProcAddress;
    DWORD dwGetModuleHandle;
    DWORD dwParameters;
    dwGetProcAddress = 0xFBAFBACC; //Esta direccion es modificada por el hook conteniendo una llamada a GetProcAddress().
    dwGetModuleHandle = 0xBBBCACDD; //Esta direccion es modificada por el hook conteniendo una llamada a GetModuleHandle().
    dwParameters = 0xBABABABA; //Esta direccion es modificada por el hook conteniendo los parametros de la función.
    unsigned int i = 0;
    BYTE *pPars = (BYTE*) dwParameters;
    for(i = 12; i < 300;i++) if(pPars[i] == 0x90 && pPars[i+1] == 0x90) //Aca avanza por los parametros hasta encontrar dos NOPs 
    {                                                                //que indican el comienzo de la llamada original.
        dwParlen = i +1;
        break;
    }
    *(FARPROC *)&doNtQuerySystemInformation = (FARPROC) (dwParameters + dwParlen + 1);
    DWORD dwRetval;
    dwRetval = doNtQuerySystemInformation(SystemInformationClass, SystemInformation, SystemInformationLength, ReturnLength); // Como se ve, le pasa los mismos parametros.
    return dwRetval;
}

Agregué el resto del código (En el primer post) hasta el RETN por si sirve.

Ufff, ya se lo que pasó. Como el genio que soy, le estaba pasando la función de reemplazo para otra función.
Perdón por haberles hecho dar vueltas la cabeza XD
Gracias!
Un abrazo
APOKLIPTICO.

Perdón por la ignorancia, pero por que accedes a 00000? Es la base de la tabla de importaciones?

No, el 0x00000000 (8 ceros porque es una dirección de 32 bits) es un error, no se puede acceder a esa dirección de memoria. Es por eso que crasheaba el programa.