Всех приветсвую. написал оболочку для импорта по хешу все будет выглядеть так как будто юзаеш "настоящее апи" ничего лишнего не передаеш но на самом деле вызовы идут косвенно через раскодировщик хеша и парсинг таблицы импорта все шаблоны в релизе компилятор выкинет никакой рантайм с собой не тянет Code (Text): #include <boost/preprocessor.hpp> #include <boost/typeof/typeof.hpp> #include <stdio.h> #include <windows.h> template<class t> struct hhh { t v; hhh(t v):v(v){} template<class xi> operator xi() { return (xi)v; } }; template<class u> hhh<u> fgh(u p) { return hhh<u>(p); } #define MYM(z, i, e) fgh(e##i) #define NUM_ARGS 1 template < class ret_t, BOOST_PP_ENUM_PARAMS(NUM_ARGS, class f), BOOST_PP_ENUM_PARAMS(NUM_ARGS, class t) > ret_t callable(ret_t(__cdecl*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { return par( BOOST_PP_ENUM(NUM_ARGS, MYM, p) ); } template < class ret_t, BOOST_PP_ENUM_PARAMS(NUM_ARGS, class f), BOOST_PP_ENUM_PARAMS(NUM_ARGS, class t) > ret_t callable(ret_t(__stdcall*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { return par( BOOST_PP_ENUM(NUM_ARGS, MYM, p) ); } #undef NUM_ARGS #define NUM_ARGS 2 template < class ret_t, BOOST_PP_ENUM_PARAMS(NUM_ARGS, class f), BOOST_PP_ENUM_PARAMS(NUM_ARGS, class t) > ret_t callable(ret_t(__cdecl*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { return par( BOOST_PP_ENUM(NUM_ARGS, MYM, p) ); } template < class ret_t, BOOST_PP_ENUM_PARAMS(NUM_ARGS, class f), BOOST_PP_ENUM_PARAMS(NUM_ARGS, class t) > ret_t callable(ret_t(__stdcall*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { return par( BOOST_PP_ENUM(NUM_ARGS, MYM, p) ); } #undef NUM_ARGS #define NUM_ARGS 3 template < class ret_t, BOOST_PP_ENUM_PARAMS(NUM_ARGS, class f), BOOST_PP_ENUM_PARAMS(NUM_ARGS, class t) > ret_t callable(ret_t(__cdecl*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { return par( BOOST_PP_ENUM(NUM_ARGS, MYM, p) ); } template < class ret_t, BOOST_PP_ENUM_PARAMS(NUM_ARGS, class f), BOOST_PP_ENUM_PARAMS(NUM_ARGS, class t) > ret_t callable(ret_t(__stdcall*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { return par( BOOST_PP_ENUM(NUM_ARGS, MYM, p) ); } #undef NUM_ARGS #define NUM_ARGS 4 template < class ret_t, BOOST_PP_ENUM_PARAMS(NUM_ARGS, class f), BOOST_PP_ENUM_PARAMS(NUM_ARGS, class t) > ret_t callable(ret_t(__cdecl*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { return par( BOOST_PP_ENUM(NUM_ARGS, MYM, p) ); } template < class ret_t, BOOST_PP_ENUM_PARAMS(NUM_ARGS, class f), BOOST_PP_ENUM_PARAMS(NUM_ARGS, class t) > ret_t callable(ret_t(__stdcall*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { return par( BOOST_PP_ENUM(NUM_ARGS, MYM, p) ); } ............. пару слов о генерации файла заголовка если при анализе таблицы экспорта находим функции в двух версиях генерим такой стаб Code (Text): #undef MessageBox #ifdef _UNICODE # define MessageBox(...) callable(MessageBoxW,__VA_ARGS__) #else # define MessageBox(...) callable(MessageBoxA,__VA_ARGS__) #endif если только в одной верии то такой Code (Text): #define fread(...) callable(fread,__VA_ARGS__) но только не оба вместе при генерации заголовка подставляем хеш первым пареметром Code (Text): #undef MessageBox #ifdef _UNICODE # define MessageBox(...) callable(0xcccccccc,MessageBoxW,__VA_ARGS__) #else # define MessageBox(...) callable(0xcccccccc,MessageBoxA,__VA_ARGS__) #endif или так Code (Text): #undef MessageBox #ifdef _UNICODE # define MessageBox(...) callable<0xcccccccc>(MessageBoxW,__VA_ARGS__) #else # define MessageBox(...) callable<0xcccccccc>(MessageBoxA,__VA_ARGS__) #endif внутри можно так Code (Text): ret_t callable(ret_t(__stdcall*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { _hash_ = ...decode... return ((typeof(par))_hash_)(BOOST_PP_ENUM(NUM_ARGS, MYM, p)); } а указатель лишний в релизе компилятор выкинет вот код релиза Code (Text): size_t st = MessageBox(0, 0, 0, 0); 00401011 56 push esi 00401012 56 push esi 00401013 56 push esi 00401014 8B F8 mov edi,eax 00401016 56 push esi 00401017 33 C0 xor eax,eax 00401019 FF D0 call eax тоесть компилятор все выкинул только осталось подставить раскодировщик хеша все это дело юзается проедельно удобно calling convention и подходящий тип возвращаемого значения разруливают шаблоны Code (Text): int main() { size_t rec = fread(0, 0, 0, 0); size_t st = MessageBox(0, 0, 0, 0); printf("", st, rec); } надо только написать генератор файла заголовка это несложно
баян))) примерно тоже самое было по-моему в 80 номере ксакепа (еще начало 2000-ых), только без использования тяжеловесного буста, и без таблицы импорта (с таблицой импорта нет абсолютно никакого смысла делать вызовы по хешу)... советую ознакомиться... сейчас кстати ищу возможность прикрутить подобное под линуксами, там немного по-другому все...
таблица импорта тут не юзается а тяжеловесный препроцессор скрывает очень много ручного копипаста он выкидывается компилятором под чистую в release
тут парсится таблица экспорта адрес берется из хеша имена апи функций использованы для выведения типов в шаблонах
где тут парсится таблица экспорта? ткните меня носом в этот кусок кода... по-моему у вас какое-то странное понятие хеша имени функции... как адрес получается из хеша? ЗЫ собирите бинарник без всех стандартных библиотек (и без user32.lib, что характерно), но с вашим импортом по хешу: Code (Text): void main() { MessageBox(NULL, "Test", "Test", MB_OK); } и залейте сюда...
загугли алгоритм из имени хеш храним в нашем бинарике потом парсинг таблицы экпорта снова хешируем и сравниваем с нашим в статье я этот код не привел его в гугле полно извини сейчас писать ничего не смогу написался уже
Code (Text): ret_t callable(ret_t(__stdcall*par)(BOOST_PP_ENUM_PARAMS(NUM_ARGS, f)), BOOST_PP_ENUM_BINARY_PARAMS(NUM_ARGS, t, p)) { _hash_ = ...decode... return ((typeof(par))_hash_)(BOOST_PP_ENUM(NUM_ARGS, MYM, p)); } вот тут я специально комментарий вставил что надо в этом месте втавить декодер хеша код просто не стал приводить
хеш нельзя декодировать, что за детский сад?))) вся соль в этом коде, а тех решений, что вы привели можно кучу наворотить и на макросах и на темплейтах... Code (Text): #undef MessageBox #ifdef _UNICODE # define MessageBox(...) callable(0xcccccccc,MessageBoxW,__VA_ARGS__) #else # define MessageBox(...) callable(0xcccccccc,MessageBoxA,__VA_ARGS__) #endif что такое MessagBoxW и MessageBoxA? не понимаю, как работают эти макросы... ЗЫ еще раз... зачем вы изобретаете велосипед? все можно сделать проще и красивей, например как в статье в ксакепе: http://www.xakep.ru/magazine/xa/080/116/1.asp ЗЗЫ давайте лучше поговорим, как под никсами это сделать?)))
2Rel в архиве пример пользовать так приведу код бинарика в архиве Code (Text): #include <windows.h> #include <shlwapi.h> #include "api_hash.h" #include "api_gate.h" int print(const char *fmt, ...) { va_list va; va_start(va, fmt); char buf[512]; int rec = wvnsprintf(buf, _countof(buf), fmt, va); WriteConsole(GetStdHandle(-11), buf, rec, 0, 0); va_end(va); return rec; } int main() { startup_code(); bool succ = false; SetConsoleTitle("load yahoo homepage"); WSADATA ws; if (!WSAStartup(0x0202, &ws)) { struct sockaddr_in addr; struct hostent *d_addr; SOCKET s = socket(AF_INET, SOCK_STREAM, 0); if (INVALID_SOCKET != s) { d_addr = gethostbyname("www.yahoo.ru"); if (d_addr) { addr.sin_family = AF_INET; addr.sin_addr.s_addr = *((unsigned long*)d_addr->h_addr); addr.sin_port = htons(80); if (!connect(s, (sockaddr*)&addr, sizeof(addr))) { char buf[]="GET / HTTP/1.0\r\nHost: yahoo.com\r\n\r\n"; send(s, buf, lstrlen(buf), 0); char dup[256]; int rec = recv(s, dup, sizeof(dup), 0); if (rec && SOCKET_ERROR != rec) print("%s\n", dup), succ = true; } } closesocket(s); } WSACleanup(); } if (!succ) print("not expected error occured\n"); print("press any key . . . "); INPUT_RECORD in; DWORD re; while (ReadConsoleInput(GetStdHandle(STD_INPUT_HANDLE), &in, 1, &re)) if (in.EventType == KEY_EVENT) break; ExitProcess(0); }
архив генериш файл заголовка с нужными библами и пишеш без импорта даже имена апи функций в коде менять не надо они просто подменятся файлы в архиве обновил + добавил типобезопасный интерфейс
я понял смысл, но все равно это кажется не очень красивым... круто было бы для этого использовать variadic template, но далеко не все компиляторы поддерживают c++0x в достаточной для этого степени... единственным решением - плодить темплейты для всех количеств параметров, но было бы круто написать типа того (вызов функции в конструкторе объекта и перегруженный каст оператор): Code (Text): struct DynImport { template <uint32_t dllhash, uint32_t funchash, typename ... Args> DynImport(Args ... args) { typedef void* (WINAPI* PFunc)(args...); PFunc pFunc = GetProcAddressByHash(dllhash, funchash); if(pFunc) { this->Result = pFunc(args...); } else { this->Result = (void*)-1; } } template <typename RetType> operator RetType() { return (RetType)this->Result; } void* Result; }; еще интересный момент, что возвращать в том случае, если адрес функции не был найден... то есть в винде для функций из не ntdll.dll лучшим вариантом будет возвращать 0 (так как они в основном возвращают HANDLE или BOOL или указатель на что-то), а для функций из ntdll.dll 0 - NT_SUCCESS... как разруливать такие ситуации? надо в темплейте перегруженного каст оператора каким-то образом грамотно выделить тип возвращаемого значения... по поводу апи-стафф (подробнее посмотрю завтра на работе)... в качестве pfnLoadLibrary лучше использовать LdrLoadLibrary, так как не во всех случаях kernel32.dll будет находится в адресном пространстве, а вот ntdll.dll есть всегда... и опять же kernel32.dll не обязательно будет там, где вы ее захардкодили, лучше динимически находить ее базе данных загрузщика и сравнивать ее название с хешом... относительно GetProcAddressEx косяк в том, что не учитываются редиректы (как например HeapAlloc из kernel32.dll редиректит на RtlHeapAlloc из ntdll.dll)...
вот довольно удобная реализация (но работает только с компиляторами, поддерживающими variadic templates, а это вроде только gcc >= 4.4 и MinGW): Code (Text): //-----------------------------------------// // Динамический вызов апи-функций по хешам // //-----------------------------------------// template <uint32_t Mod, uint32_t Func> struct DynApi { //-------------------------------------------------------// // Вызов функции с любым числом параметров по хешу имени // // функции и имени библиотеки // //-------------------------------------------------------// template <typename ... Args> inline DynApi(Args ... args) { typedef void* (__stdcall* PFunc)(Args ...); PFunc pFunc = (PFunc)GetProcAddressHash(Mod, Func); if(pFunc != NULL) { this->Result = pFunc(args ...); } else { this->Result = NULL; } } //----------------------------------------------------// // Совместимость вызова со стандартными типами данных // //----------------------------------------------------// template <typename RetType> inline operator RetType() { return (RetType)this->Result; } //------------------------------// // Результат выполнения функции // //------------------------------// void* Result; }; но надо подумать, как удобнее будет рулить calling convention'ом и возвратом в том случае, если функция не была найдена, без использования буста... кто что думает по этому поводу? и кстати сделал аналогичную тему в линуксах, там поиск соответственно идет по link_map'ам, только одна проблема - не знаю пока, как определить базовый адрес elf-образа, пока что захардкодил на 0x08048000, есть ли какие идеи (парсинг /proc/self/maps не катит, так как слишком надуманный способ)?
провел тут как то эксперимент взял sdbot'а исходник скомпилил проверил на вирустотатале 20/45 отвязал импорт скомпилил проверил снова 11/45 половина в том числе касперский др веб нод32 микрософт антивир замолчали потом накатал утилитку зашифровал секцию .rdata импорта нет удобно (фактически там только внутренние строки бота остались) целиком ее ксориш проверил снова 6/45 из тех кто остались известные это avast и mcafee
