uallHook, uallProtect, uallDisasm, uallKernel, uallUtil etc.

retnyg · Verfasst: Mo 16.05.05 23:54

vielleicht denkst du beim nächsten update noch daran ein paar assembler-befehle der uallprotect.pas zu hardcoden, weil mein delphi5 frisst deine doppel-DB statements nicht, und auch bei MOVZX kommt ein fehler:

markieren

Delphi-Quelltext

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:

@muell:
  // DB $0F DB $80 -->
  DB $0F, $80
@weiter:
  //RDTSC
  DW    $310F
  MOV ECX, EAX
  MOV EBX, EDX
  JMP @weiter2
@muell2:
  DB $0F, $80

function IsDebuggerPresent: boolean; stdcall;
asm
  MOV EAX, FS:[$18]
  MOV EAX, [EAX+$30]
  //MOVZX EAX, [EAX+2] --> hier kommt bei D5 auch ein fehler, aber so gehts:
  DB $0F, $B6, $40, $02
end;

_________________
es gibt leute, die sind genetisch nicht zum programmieren geschaffen.
in der regel haben diese leute die regel...

retnyg · Verfasst: Mi 22.06.05 00:55

GlobalUnloadLibrary('nirvana.dll'); -> BSOD

_________________
es gibt leute, die sind genetisch nicht zum programmieren geschaffen.
in der regel haben diese leute die regel...

F34r0fTh3D4rk · Verfasst: Mi 22.06.05 12:26

ja alles unter delphi 6 (also bis einschließlich delphi 5) scheints so ziemlich überall noch probleme zu geben :idea:

BenBE · Verfasst: Mi 22.06.05 17:11

Delphi 5 kommt schon mit MOVZX zurecht, jedoch will der Assembler die korrekte Größe wissen.
Wäre in besagtem Fall BYTE PTR ...

@uall: Hab ich Dir doch aber schonmal gesagt, dass Größenangaben für einige Befehle nicht schlecht wären.

@RDTSC: Kann D5 wirklich nicht ^^

_________________

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

maurits · Hält's aus hier Beiträge: 1

Probiere diese link fur mehr info uber Delphi inline RDTSC asm command:

www.geocities.com/izenkov/howto-rdtsc.htm

PS: Entschuldigung fur mein sprache, aber ich bin Holländisch.

uall@ogc · Verfasst: Mo 04.07.05 09:09

ich werd das alles im laufe der woche mal beheben, aber bei dem wetter kommt man ja nicht dazu, das mit dem bluescreen, haste die dll vorher injected odereinfach nur irgend ne dll zum spass entladen die gar nicht existiert?

_________________
wer andern eine grube gräbt hat ein grubengrabgerät
- oder einfach zu viel zeit

retnyg · Verfasst: Di 05.07.05 02:23

uall@ogc hat folgendes geschrieben:

das mit dem bluescreen, haste die dll vorher injected odereinfach nur irgend ne dll zum spass entladen die gar nicht existiert?

ich hab das probiert mit ner dll die nicht existiert, und mit ner dll die ich vorher injected habe (global).
mit einer anderen dll, die auf meinem rechner rumhängt (cmdlineext03.dll) geht das entladen(beim ersten mal), die ist allerdings nur in explorer.exe geladen.

_________________
es gibt leute, die sind genetisch nicht zum programmieren geschaffen.
in der regel haben diese leute die regel...

retnyg · Verfasst: Mo 08.08.05 18:56

brech.. äh uall bissu schon dahintergekommen warum der kernel crasht wenn man ne nicht geladene DLL unloaden will ? habe gerade gesehen dass in der aktuellen uallCollection noch die alte hook.pas drin is :/

_________________
es gibt leute, die sind genetisch nicht zum programmieren geschaffen.
in der regel haben diese leute die regel...

uall@ogc · Verfasst: Mo 08.08.05 19:02

wenn ich z.b.

markieren

Delphi-Quelltext

1:	GlobalUnloadLibrary('nirvana.dll');

aufrufe bekomme ich keinen BS

kannst du bitte bei dir mal einzelschritt machen

d.h. einfach schaun bei welchem process der BS kommt?

_________________
wer andern eine grube gräbt hat ein grubengrabgerät
- oder einfach zu viel zeit

retnyg · Verfasst: Mo 08.08.05 19:50

er stürzt beim aufruf von CreateRemoteThread ab, bei der 4. prozessID (csrss.exe)
habe aber zum testen die uallkernel vom 12.05 package genommen

//edit: habe das ganze auf einer VM getestet (XP SP1 unpatched)

_________________
es gibt leute, die sind genetisch nicht zum programmieren geschaffen.
in der regel haben diese leute die regel...

uall@ogc · Verfasst: Mo 08.08.05 19:54

nimm mal bitte die neue uallHook, uallProtect und uallKernel
bei mir kam kein BS bei 2k und XP :/

_________________
wer andern eine grube gräbt hat ein grubengrabgerät
- oder einfach zu viel zeit

retnyg · Verfasst: Mo 08.08.05 20:03

cool, damit gehts

der fehler war scheinbar in der uallkernel o0

_________________
es gibt leute, die sind genetisch nicht zum programmieren geschaffen.
in der regel haben diese leute die regel...

retnyg · Verfasst: Mo 08.08.05 20:25

zu früh gefreut: ich habe mal versucht ne dll von mir zu entladen (ist ein hook auf createfilew). die dll wurde auch mit der alten uallcollection erstellt
pserv2 ist das tool um die pipe des hooks auszulesen

kurz gesagt: unloadlibrary führt nicht direkt zu nem BS aber alle prozesse stürzen beim ersten zugriff ab

und der explorer crasht schlussendlich so dass das system neu bootet

Moderiert von Narses: Anhang "hdhook.rar" wegen Virenverdacht gelöscht.

_________________
es gibt leute, die sind genetisch nicht zum programmieren geschaffen.
in der regel haben diese leute die regel...

uall@ogc · Verfasst: Mo 08.08.05 20:32

du bist auch sicher das du alles wieder unhookst wenn die dll entladen wird?

wenn die nicht mehr im speiocher ist und es ist noch ein jumphook installiert dann srpingt der ja natürlich irgendwo in leeren speicher

_________________
wer andern eine grube gräbt hat ein grubengrabgerät
- oder einfach zu viel zeit

retnyg · Verfasst: Mo 08.08.05 20:38

uall@ogc hat folgendes geschrieben:

du bist auch sicher das du alles wieder unhookst wenn die dll entladen wird?

wie ? UnhookCode ?
also erst unhook, dann globalunloadlibrary ?
wie kann ich dann eine fremde dll entladen, die sich in irgendeinen prozess eingeklinkt hat ? [url=www.planet-smilies.de/] user defined image

[/url]

_________________
es gibt leute, die sind genetisch nicht zum programmieren geschaffen.
in der regel haben diese leute die regel...

uall@ogc · Verfasst: Mo 08.08.05 20:46

nein du musst in dllmain prüfen ob die dll entladen wird (DLL_PROCESS_DETACH) und dann alle funktionen die du mit HookCode gehookt hast wieder enthooken (siehe meinem 1337 hook beispiel)

_________________
wer andern eine grube gräbt hat ein grubengrabgerät
- oder einfach zu viel zeit

wolke · Beiträge: 240

habe probleme beim kompilieren unter delphi5 - er kann mit

markieren

Quelltext

1:	call [$00000000]

nichts anfangen (Invalid combination of opcode and operands, kommt mehrmals in uallHook vor). verwendet habe ich die uallCollection vom 8.8.05.

kann mir jemand helfen?

retnyg · Verfasst: Fr 26.08.05 16:34

wolke hat folgendes geschrieben:

kann mir jemand helfen?

markieren

Delphi-Quelltext

1:	db $e8, $0, $0, $0, $0

_________________
es gibt leute, die sind genetisch nicht zum programmieren geschaffen.
in der regel haben diese leute die regel...

uall@ogc · Verfasst: Fr 26.08.05 16:40

oder in
call dword [$00000000]
abändern

und ja ich werds mal ändern ;>

_________________
wer andern eine grube gräbt hat ein grubengrabgerät
- oder einfach zu viel zeit

wolke · Beiträge: 240

oh mann, ihr seid einfach zu schnell für die welt! user defined image

PPointer kennt delphi5 übrigens auch nicht, das konnte ich aber durch eine Typdeklaration beheben. jetzt stört er sich noch an:

markieren

Quelltext

1:	CMP [ECX+$54], 00000001

(uallProtect, Zeile 498)

	Mitgliederliste
	Gruppen
	Das Team
	Richtlinien
	Synonyme