Управление socket'ом чужого приложения, как в WPE PRO

[Reimscher]

Цитата:

Сообщение от Aliens_wolfs

У меня получилось получить хенделы сокетов определенной программы, для примера я взял Скайп и Оперу и внедрил в них эту DLL. Этот код показывает в диалоговом окне все сокеты программы в которую внедрили эту DLL.
Внедрять DLL умеете в чужую программу?

Хах, недавно закончил написание идентичного кода!! И уже удалось таки "от имени" игры отправить сообщения, сервер с радостью скушал и ответил. Сейчас в процессе код для управления dll'кой, т.к. send работает только внутри неё. А вот от кода инъекции я не отказался бы, т.к. в этом слабоват. Код, конечно, у меня есть, но там много лишнего, хотелось бы от этого избавиться.

UPD: Кстати! Я убрал exit из цикла, и заметил, что на каждый socket по 3 handle. Но для работы требуется всегда первый. Почему их три?

UPD2: Выяснил, что код внедрения у меня вполне хороший. Но если у вас есть готовый пример — буду рад взглянуть.

[Aliens_wolfs]

Код по внедрению DLL в нужную программу

Код:

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls, TlHelp32;

type
  TForm1 = class(TForm)
    Button1: TButton;
    procedure Button1Click(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}

//Функция внедрения DLL в процесс
Function InjectDll(Process: dword; ModulePath: PChar): boolean;
var
  Memory:pointer;
  Code: dword;
  BytesWritten: dword;
  ThreadId: dword;
  hThread: dword;
  hKernel32: dword;
  Inject: packed record
           PushCommand:byte;
           PushArgument:DWORD;
           CallCommand:WORD;
           CallAddr:DWORD;
           PushExitThread:byte;
           ExitThreadArg:dword;
           CallExitThread:word;
           CallExitThreadAddr:DWord;
           AddrLoadLibrary:pointer;
           AddrExitThread:pointer;
           LibraryName:array[0..MAX_PATH] of char;
          end;
begin
  Result := false;
  Memory := VirtualAllocEx(Process, nil, sizeof(Inject),
                           MEM_COMMIT, PAGE_EXECUTE_READWRITE);
  if Memory = nil then
  Exit;

  fillChar(Inject, SizeOf(Inject), 0);
  Code := dword(Memory);

  Inject.PushCommand    := $68;
  inject.PushArgument   := code + $1E;
  inject.CallCommand    := $15FF;
  inject.CallAddr       := code + $16;
  inject.PushExitThread := $68;
  inject.ExitThreadArg  := 0;
  inject.CallExitThread := $15FF;
  inject.CallExitThreadAddr := code + $1A;
  hKernel32 := GetModuleHandle('kernel32.dll');
  inject.AddrLoadLibrary := GetProcAddress(hKernel32, 'LoadLibraryA');
  inject.AddrExitThread  := GetProcAddress(hKernel32, 'ExitThread');
  lstrcpy(@inject.LibraryName, ModulePath);

  WriteProcessMemory(Process, Memory, @inject, sizeof(inject), BytesWritten);

  hThread := CreateRemoteThread(Process, nil, 0, Memory, nil, 0, ThreadId);
  if hThread = 0 then
  Exit;
  CloseHandle(hThread);
  Result := True;
end;

//Функция получения ID программы
Function GetProcessPID(ExeFileName: String): Cardinal;
Var
ContinueLoop: Bool;
FSnapshotHandle: THandle;
FProcessEntry32: TProcessEntry32;
Begin
Result:=0;
FSnapshotHandle:=CreateToolHelp32Snapshot(TH32CS_SNAPPROCESS,0);
FProcessEntry32.DwSize:=Sizeof(FProcessEntry32);
ContinueLoop:=Process32First(FSnapshotHandle,FProcessEntry32);
While Integer(ContinueLoop) <> 0 Do
Begin
If ((AnsiUpperCase(ExtractFileName(FProcessEntry32.SzExeFile)) =
AnsiUpperCase(ExeFileName)) Or (AnsiUpperCase(FProcessEntry32.SzExeFile) =
AnsiUpperCase(ExeFileName))) Then
Result:=FProcessEntry32.Th32ProcessID;
ContinueLoop:=Process32Next(FSnapshotHandle,FProcessEntry32);
End;
CloseHandle(FSnapshotHandle);
End;

//Функция получения из ID программы его хендел
Function GetProcessHandle(ProcessId: Dword): THandle;
Begin
Result:=OpenProcess(Process_All_Access, True, ProcessId);
End;


//Использование
procedure TForm1.Button1Click(Sender: TObject);
var
H: Dword;
begin
H:= GetProcessHandle(GetProcessPID('skype.exe'));
if (H <> 0) and InjectDll(H, '\Project2.dll') then
begin
Showmessage('Успешно');
CloseHandle(H);
end;
end;

[Reimscher]

Всё понятно, кроме одной строчки:

Код:

inject.AddrExitThread  := GetProcAddress(hKernel32, 'ExitThread');

И использую такой код:

Код:

procedure InjectDll(PID: DWORD; DLL: PAnsiChar);
var
  BytesWritten: SIZE_T;
  hProcess, hThread, TID: Cardinal;
  Parameters: Pointer;
  pThreadStartRoutine: Pointer;
begin
  hProcess := OpenProcess(PROCESS_ALL_ACCESS, False, PID);
  Parameters := VirtualAllocEx(hProcess, nil, Length(DLL) + 1, MEM_COMMIT or MEM_RESERVE, PAGE_READWRITE);
  WriteProcessMemory(hProcess, Parameters, Pointer(DLL), Length(DLL) + 1, BytesWritten);
  pThreadStartRoutine := GetProcAddress(GetModuleHandle('KERNEL32.dll'), 'LoadLibraryA');
  hThread := CreateRemoteThread(hProcess, nil, 0, pThreadStartRoutine, Parameters, 0, TID);
  CloseHandle(hProcess);
end;

В чём разница между ними? Насколько понял, в вашем в программу пишутся ассемблерные инструкции?

[Reimscher]

Задача решена.
Для тех, кому интересно как, опишу свои действия:
1. Весь трафик мониторю через модифицированный код от magenta (программа sockmon)
2. Делаю инъекцию dll в клиент, создавая там socket, через который управляю своей dll удалённо (из своего приложения)
3. Моя dll выявляет все socket'ы внутри клиента, и отправляет пакеты через них по моим командам
Сперва хотел выложить все исходники, но потом решил, что они слишком ценны/опасны, что бы вот так их тут выкладывать (кому очень надо — сам всё сделает, как это сделал я, а кто не сможет — тому оно значит и не надо). Кто-нибудь наверняка сможет придумать как их использовать в личных целях, для получения выгоды, поэтому выкладывать не стану.

P.S. Aliens_wolfs'у огромное спасибо за помощь в решении задачи, чем позволил сэкономить порядка двух суток.