Entwickler-Ecke :: Thema anzeigen - Execryptor Openprocess

Flamefire - Fr 01.02.08 15:23
Titel: Execryptor Openprocess

So mal was schweres:

Ich habe eine eigene DLL geschrieben, die ich in ein Programm injecten will.
Um diese DLL zu schützen, habe ich mir den ExeCryptor gekauft.

Funzt auch alles super.
Das Injecten machen ich über die uall-Collection (Danke dafür ^^)

Das Problem: Wenn sie einmal injected ist kann ich sie nicht wieder uninjecten, da EC alle Openprocess() Calls auf diesen ganzen prozess blockt (oder besser: nur wenn ich mehr als VM_Read haben will)
Sieht nach nem Kernel Hook aus...Will aber auch nicht auf den Schutz verzichten

Gibt es also noch eine andere Möglichkeit eine DLL zu laden und wieder zu entladen?

Flamefire - Sa 02.02.08 19:57

ok...hab jz das hier gefunden:

Delphi-Quelltext

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:

Procedure SendStringToWindow (aMessage : String; hClient : Integer);
Var
  c: TCopyDataStruct;

Begin
  c.dwData := 0;
  c.cbData := Length(aMessage);
  c.lpData := @aMessage[1];
  SendMessage(hClient, WM_COPYDATA, 0, Integer(@c));
End;

Ich denke das ist das einfachste da ich die GetMessage fkt von dem prozess eh gehookt habe
aber noch 2 Fragen:
Was muss ich als handle nehmen? des fensterhandle?
und wie les ich das nun genau aus?

Delphi-Quelltext

1:
2:
3:
4:
5:
6:
7:
8:
9:

function callbackGetMessageA(var lpMsg: TMsg; hWnd: HWND; wMsgFilterMin, wMsgFilterMax: UINT): BOOL; stdcall;
var   P: PCopyDataStruct;
      sMessage : String;
begin
  Result:=newGetMessageA(lpMsg, hWnd, wMsgFilterMin, wMsgFilterMax);
  p := PCopyDataStruct(lpMsg.LParam);       
  SetLength(sMessage , p^.cbData);
  Move(PChar(p^.lpData)^, sMessage [1], p^.cbData);
end;

richtig?

klappt iwei nicht...die nachricht kommt nicht an, da das fenster anscheinend kurz den focus verliert...
oder hab ich nen denkfehler?

Flamefire - Mo 04.02.08 12:18

ok...so weit so gut
ich hab jz über allocatehwnd in meiner DLL ein fenster erstellt über das ich die nachricht empfangen kann

das problem: kriegt mein programm iwie raus, welches das ist?
Kann ich z.b. eine Statische speicheradresse nehmen und diese via ReadProcessmemory auslesen?
wie kriege ich die in allen kompilierten versionen statisch? Es würde ja auch reichen wenns ein statisches offset im speicher der DLL ist

vielen dank

AHT - Mo 04.02.08 13:35

Flamefire hat folgendes geschrieben:

kriegt mein programm iwie raus, welches das ist?
Kann ich z.b. eine Statische speicheradresse nehmen und diese via ReadProcessmemory auslesen?
wie kriege ich die in allen kompilierten versionen statisch?
vielen dank

Nimm Filemapping:
CreateFileMapping
MapViewOfFile
UnmapViewOfFile
OpenFileMapping

Flamefire - Mo 04.02.08 14:09

das geht leider nicht, da der prozess in den ich die dll injecte mehrfach vorhanden sein kann...
darum hab ich auch kein TCP genommen, weil der sich ja selbst in die quere kommt

was mich wundert: ich kann an das fenster nachrichten wie WM_MINIMIZE WM_HIDE etc schicken (also fenster modifikationen) und mit dem aktiven GetMessageA Hook kann ich key_press events abfangen
warum kriege ich dort aber die WM_COPYDATA nicht rein wenn ich die an das auptfenster schicke?
oder muss ich da was anders machen (s.obiger code)

Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2025 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!