Перехват dll

Тема в разделе "WASM.BEGINNERS", создана пользователем Grag, 29 ноя 2010.

  1. Grag

    Grag New Member

    Публикаций:
    0
    Регистрация:
    4 окт 2009
    Сообщения:
    6
    Подскажите куда копать или ссылку на какую нибудь статейку.
    Есть программа. Когда ее запускаешь, она добавляет ключ в реестр со своим кернел драйвером (там imagepath и путь к файлу .sys в папке с программой этой), запускает его и удаляет ключ. Типа беспалива =) После этого эта программа и драйвер как то общаются. С помощью proccess explorera увидел в Потоках есть одна DLL'ка, прописана она там примерно так: "library.dll!driverRecvfrom+0x62cc", где "driver" это имя того самого sys драйвера. Собственно в чем вопрос, можно ли как то перехватить что dll'ка принимает от драйвера (или отправляет)? Это вообще реально? И если да, то мб это можно и как то модифицировать на лету? Вообщем полный перехват и контроль.

    P.S.: программу невозможно запустить через всякие отладчики и тд. Прогонял через Syser драйвер но это ничего не дало. Подскажите как быть.
     
  2. Kaimi

    Kaimi Андрей

    Публикаций:
    0
    Регистрация:
    15 апр 2010
    Сообщения:
    120
    Наверное надо перехватывать вызов DeviceIoControl. Статьи по перехвату функций winapi запросто гуглятся
     
  3. Grag

    Grag New Member

    Публикаций:
    0
    Регистрация:
    4 окт 2009
    Сообщения:
    6
    http://www.wasm.ru/forum/viewtopic.php?pid=404206

    Вот тут посоветовали IRPTrace. Добавил там в хук лист этот драйвер. Запускаю прогу, в терминале пишет "Load32 Start=D52EF000 Size=00D000 MOD=driver.sys"..и все =( Никакой инфы об активности, логов и тд после этого( А так хвалили в той теме эту прогу. Может я что то не так делаю...