Внедрение DLL ( странности )

Пишу GUI прогу-оболочку, которая запускает процес-жертву, внедряет в него длл, перехватывает нужные функции, общается с родительским процесом. В общем тулза для исследования алгоритма работы неизвестных прог.
Все достаточно банально:
- запуск жертвы через CreateProcess( .. CREATE_SUSPENDED .. )
- внедрение длл через CreateRemoteThread
- ResumeThread

Столкнулся в с проблемой. Некоректное внедрение в некоторые процесы. Например, калькулятор не отображается, а просто висит в памяти ( длл загружается, удаленный поток завершается нормально, ResumeThread - ok ), в notepad длл даже не загружается. В то же время консольные приложения нормально отрабатывают ( хотя GUI, созданное визардом VC, тоже работает ).
З.Ы. поиск уже перерыл..

 

поподробнее кодес даваЙ )

 

запуск

Код (Text):

1. char drv[ MAX_PATH ];
2. char dir[ MAX_PATH ];
3. _splitpath( AppPath, drv, dir, 0, 0 );
4. lstrcat( drv, dir );
5.  
6. CreateProcess( 0, AppPath, 0, 0, 0, CREATE_SUSPENDED, 0, drv, &si, &pi );
7. InjectDll( pi.dwProcessId );
8. ResumeThread( pi.hThread );

внедрение

Код (Text):

1. BOOL InjectDll( DWORD pid, char*ModulePath )
2. {
3.     BYTE* Memory;
4.     DWORD ThreadId;
5.     HANDLE hThread;
6.     HANDLE hProcess;
7.    
8.     hProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE, pid );
9.    
10.     DWORD Written;
11.     Memory = ( BYTE* )VirtualAllocEx( hProcess, 0, sizeof( Inject ), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE );
12.     if( !Memory )
13.     {
14.         return( 0 );
15.     }
16.  
17.     //инициализация внедряемого кода:
18.     Inject inject( Memory, ModulePath );
19.  
20.     //записать машинный код по зарезервированному адресу
21.     WriteProcessMemory( hProcess, Memory, &inject, sizeof( Inject ), &Written );
22.    
23.     //выполнить машинный код
24.     hThread = CreateRemoteThread( hProcess, 0, 0, ( LPTHREAD_START_ROUTINE )Memory, 0, 0, &ThreadId );
25.     if( !hThread )
26.     {
27.         return( 0 );
28.     }
29.     WaitForSingleObject( hThread, INFINITE );
30.     return( 1 );
31. }

 

psu
Навскидку: ты копируешь указатель на ModulePath в процесс, а не саму строку. Если только Inject - не хитрый класс, перегружающий operator&

 

IceStudent
может конструктор как раз и копирует строку.

 

Было бы неплохо увидеть описание этого класса ))

 

n0name
Да, может, если в Inject статический массив.

А вот перегрузка оператора не поможет, т.к. размер задаётся через sizeof.

 

Код (Text):

1. struct Inject
2. {
3.     BYTE        PushCommand;                //push
4.     BYTE*       PushArgument;               //LibraryName
5.     WORD        CallCommand;                //call
6.     BYTE*       LoadLibraryCallAddr;        //loadlibrary
7.    
8.     BYTE        PushExitThread;             //push
9.     BYTE*       ExitThreadArg;              //0
10.     WORD        CallExitThread;             //call
11.     BYTE*       ExitThreadAddr;             //exitthread
12.    
13.     FARPROC     AddrLoadLibrary ;           //kernel32.LoadLibraryA
14.     FARPROC     AddrExitThread;         //kernel32.ExitThread
15.        
16.     char        LibraryName[MAX_PATH];
17.  
18.     //-----------------------------------------------------------------
19.     Inject( BYTE* Memory, char* ModulePath )
20.     {
21.         HMODULE hKernel32 = GetModuleHandle( "kernel32.dll" );
22.  
23.         PushCommand         = 0x68;
24.         PushArgument        = Memory + 30;
25.         CallCommand         = 0x15FF;
26.         LoadLibraryCallAddr = Memory + 22;
27.        
28.         PushExitThread      = 0x68;
29.         ExitThreadArg       = 0;
30.         CallExitThread      = 0x15FF;
31.         ExitThreadAddr      = Memory + 26;
32.        
33.         AddrLoadLibrary     = GetProcAddress( hKernel32, "LoadLibraryA" );
34.         AddrExitThread      = GetProcAddress( hKernel32, "ExitThread" );
35.  
36.         lstrcpy( LibraryName, ModulePath );
37.     }
38.     //-----------------------------------------------------------------
39. };

Выравнивание побайтовое

 

гыгы, я жу говорил

 

Да, да, угадал, маладэц!
Други, может все-таки кто-нибуть подскажет куда смотреть? Поделюсь исходниками, если надо

 

подскажу

такой код невалиден:
CreateProcess( ... CREATE_SUSPENDED ... )
VirtualAllocEx()
WriteProcessMemory()
CreateRemoteThread( обычно на LoadLibraryA )
WaitForSingleObject()
ResumeThread( ProcInfo.hProcess )

иногда (зависит от набора ДЛЛ) при этом ломается список модулей процесса
глюки самые невероятные
см:
http://forum.sources.ru/index.php?showtopic=177691&view=showall
http://wasm.ru/forum/viewtopic.php?pid=168358
https://www.rootkit.com/newsread.php?newsid=715

правильно имеено так как на рутките, вместо CreateRemoteThread -> QueueUserAPC

меньше рихтеру доверяйте!

 

Инжекть APC а не Thread, наблюдаются глюки со многими прогами (к примеру Total Commander)... Я скоро планирую написать небольшую статейку, а то инжект от ms-rem'а (вроде как его) немного... гм... страннен... и не полный, в любом случае

 

psu
Попробуй ключ в реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\APPINIT_DLLS. Он содержит имена библиотек подгружаемых ко всем новым процессам (если у тебя ключа нет - создай).

 

tinok
Вообще это всем известный способ, поэтому и жутко палевный.

 

Спасибо, очень помогли!

upd: Под XP работает. Под win98 QueueUserAPC() возвращает "успех" , но внедрённый код почему-то не запускается. Сразу запускается threadproc. Это происходит даже если пытаешься внедрить в свой собственный процесс. Но зато под win98 я не заметил проблем с запуском гуишных программ через _CreateRemoteThread() из RemoteLib.

 

Здо́рово.. Сейчас сам с этим столкнулся. Тотал после CreateRemoteThread такое мочит.. )

 

Натолкнулся на очередной глюк.

процесс А:
- запуск жертвы через CreateProcess( .. CREATE_SUSPENDED .. )
- внедрение куска кода через QueueUserAPC()
- ResumeThread

- Жду, пока тред сам себя остановит

процесс Б:
в этом куске запускается и сохр. результат LoadLibraryW, потом GetLastError,
потом подмена retAddr и jmp в SuspendThread

процесс А:
ReadProcessMemory
VirtualFreeEx
ResumeThread

Глюк вот в чем:
Запускаю проги типа calc, notepad из Total Commander. Если найти соотв. exe файл и запустить его кликом, то внедрение проходит успешно.
Если ввести путь к exe в командной строке Total Commander, то LoadLibraryW() возвращает NULL , а GetLastError() ERROR_NOACCESS

Оказалось, что где-то в внутри ntdll:LdrLoadDll() происходит нарушение доступа, причём даже LoadLibrary("kernel32.dll") возвращает эту ошибку.

Не знаю, совпадение или нет, но есть ещё глюк с буфером обмена, который проявляется всесте с ошибкой LoadLibrary().

Если запустить Total Commander под дебагом, но без перехватов API,
поставить точку останова на CreateProcessW,
запустить что угодно из командной строки Total Commander,
и в любой другой программе попытаться скопировать текст в буфер, та программа подвисает на несколько секунд.

Всё это под WinXP sp3

 

Не юзать гуан.
> Суспендим все потоки.
> Создаём стек для каждого потока.
> Сохраняем контекст всех потоков.
> Загружаем в контекст всех потоков Esp и Ss на новый стек.
> Выводим потоки из спящего состояния.
> Управление получает наш код.
> Восстанавливаем сохранённый контекст потоков.

 

похоже на внедрение в уже работающий процесс. Мне же надо, загрузить длл в новый процесс до его инициализации. Похоже, что придётся использовать DetourCreateProcessWithDll() , хотя я и не хотел, потому что она меняет таблицу импортов, и такая длл становится невыгружаемой.

Хотя можно применить последнее средство - найти и поменять в новом процессе точку входа. Тогда наш код вызовется уже после всей инициализации, и работать это будет даже под "девятками".

 

Тоесть тебе нужно подгрузить модуль пока загрузчик не инициализирован ?
Или до нотификации модулей ?
Или пока поток не начал исполнять главную точку входа модуля ?