Перехват LoadLibraryW - Win Api

Anton911 · 18.11.2014, 11:36

Есть некая DirectX игра. Мне нужно сделать своего рода "фильтр" загружаемых dll'ок. Если имя загружаемой dll допустим "testdll.dll", тогда запрещаем ей загружаться, иначе выполняем обычную функцию LoadLibraryW. (Вариант с перебором всех загруженных dll не подходит, т.к. она уже будет загружена, моя задача не дать загрузиться, покачто только через функцию LoadLibraryW). Делаю с помощью apihooktool.

Хук ставится, и все работает:

Код:

function NewSystemFunction(libname:PWideChar):Cardinal;
begin
  UnHookCodeHook(@SystemFunctionBridge);
  Result := LoadLibraryW(libname);
  SetProcedureHook(GetModuleHandle('kernel32.dll'),'LoadLibraryW',@NewSystemFunction,@SystemFunctionBridge);
end;

Но стоит мне, добавить строчку в данный код, например:

Код:

function NewSystemFunction(libname:PWideChar):Cardinal;
begin
  case test = 'testdll.dll' of True: begin Result := 0; exit; end;  end;
  UnHookCodeHook(@SystemFunctionBridge);
  Result := LoadLibraryW(libname);
  SetProcedureHook(GetModuleHandle('kernel32.dll'),'LoadLibraryW',@NewSystemFunction,@SystemFunctionBridge);
end;

или

Код:

function NewSystemFunction(libname:PWideChar):Cardinal;
begin
if String(libname) <> '' then begin WriteLn(filee, String(libname)); end;
  UnHookCodeHook(@SystemFunctionBridge);
  Result := LoadLibraryW(libname);
  SetProcedureHook(GetModuleHandle('kernel32.dll'),'LoadLibraryW',@NewSystemFunction,@SystemFunctionBridge);
end;

Да или что-нибудь другое, то вызывается краш игры в которой установлен хук. Почему? Как быть?
Все, что мне нужно это выдрать имя загружаемой библиотеки, сделать пару своих проверок и выполнить оригинальную функцию.
Можетбыть делать, что-нибудь типо такого:

Код:

function NewSystemFunction(libname:PWideChar):Cardinal;
var
point :Pointer;
begin
if String(libname) <> '' then begin WriteLn(filee, String(libname)); end;
point := Pointer($10027AB0);
   asm
  mov eax, libname;
  //call point;
  jmp point;
  mov @Result, eax;
 end;

Это чтото тип попытка выполнить оригинальную функцию не снимая хук...
jmp point; - Это первые 5 байт в оригинальной функции Kernel32.LoadLibraryW, которые мы подменили на свои.
point := Pointer($10027AB0)
В общем пните меня в нужном направлении пожалусто.
P.S. В ассемблере чайник.

Anton911 · 19.11.2014, 15:25

Почему не работает такая штука? Пытаюсь вызвать функцию зная ее адрес (GetProcAddress).

Код:

type
TNewLoadlib = function(llib:PWideChar):Cardinal;

var
  Loadlib:TNewLoadLib;

procedure test;
var a:PWideChar;
begin
a := PWideChar('C:\testdll.dll');
point := GetProcAddress(GetModuleHandle(kernel32),'LoadLibraryW');
 Loadlib := point;
 i := Loadlib(a);
end;

Происходит Access Violation...

Stilet · 19.11.2014, 17:22

Цитата:

Если имя загружаемой dll допустим "testdll.dll", тогда запрещаем ей загружаться

А программа не упадет? Может проще эту ДЛЛ стереть чем перехватывать?

Anton911 · 19.11.2014, 17:36

Немного не понял вопрос. testdll.dll это всего-лишь пример. Что значит стереть? Найти ее на диске? Моя задача не дать ей загрузиться в игру. Она может иметь произвольное имя, путь, я хочу делать пару проверок перед "добро на загрузку" в игру (например самое простое размер, или по "начинке", не суть).

Человек_Борща · 19.11.2014, 17:54

Цитата:

point := Pointer($10027AB0);
asm
mov eax, libname;
//call point;
jmp point;
mov @Result, eax;
end;

Это ещё что за статическая адресация?
С верятностью в 100% по тому адресу NULL.

Anton911 · 19.11.2014, 18:12

Но ведь kernel32.dll грузится в процессы по одним и темже адресам... Получается и адреса его функций тоже не меняются. Это тотже самый адрес, что и вернет

Код:

GetProcAddress(GetModuleHandle(kernel32),'LoadLibraryW');

Или я ошибаюсь? На самом деле я уже по всякому пробовал и так и так. Результат один и тотже.

Vapaamies · 19.11.2014, 18:15

Ошибаешься. Есть ASLR.

Anton911 · 23.11.2014, 15:46

Цитата:

Сообщение от Vapaamies

Ошибаешься. Есть ASLR.

Понял.

Хорошо, а почему не работает такая система:

Код:

type
  TNewLoadlib = function(llib:PWideChar):Cardinal;

var
  Loadlib:TNewLoadLib;

procedure test;
var 
  a:PWideChar;
  point:pointer;
  i:cardinal;
begin
 a := PWideChar('С:\tests\dll.dll');
 point := GetProcAddress(GetModuleHandle('kernel32.dll'),'LoadLibraryW');
 @Loadlib := point;
 i := Loadlib(a);
end;

Вылазиет Access Violation at address ... (в строчке i := Loadlib(a))

Пытаюсь вызвать функцию loadlibraryw, зная ее адрес.

Somebody · 23.11.2014, 15:57

Если я правильно помню, когда ASLR в Windows появился, kernel32 всё равно был по одному адресу, только адрес выбирался при загрузке. С тех пор что-то изменилось?

Stilet · 23.11.2014, 17:34

Цитата:

Вылазиет Access Violation at address

Что возвращается в point? Почему не проверяешь?

18.11.2014, 11:36	#1
Anton911 Форумчанин Регистрация: 23.08.2011 Сообщений: 171	Перехват LoadLibraryW Есть некая DirectX игра. Мне нужно сделать своего рода "фильтр" загружаемых dll'ок. Если имя загружаемой dll допустим "testdll.dll", тогда запрещаем ей загружаться, иначе выполняем обычную функцию LoadLibraryW. (Вариант с перебором всех загруженных dll не подходит, т.к. она уже будет загружена, моя задача не дать загрузиться, покачто только через функцию LoadLibraryW). Делаю с помощью apihooktool. Хук ставится, и все работает: Код: `function NewSystemFunction(libname:PWideChar):Cardinal; begin UnHookCodeHook(@SystemFunctionBridge); Result := LoadLibraryW(libname); SetProcedureHook(GetModuleHandle('kernel32.dll'),'LoadLibraryW',@NewSystemFunction,@SystemFunctionBridge); end;` Но стоит мне, добавить строчку в данный код, например: Код: `function NewSystemFunction(libname:PWideChar):Cardinal; begin case test = 'testdll.dll' of True: begin Result := 0; exit; end; end; UnHookCodeHook(@SystemFunctionBridge); Result := LoadLibraryW(libname); SetProcedureHook(GetModuleHandle('kernel32.dll'),'LoadLibraryW',@NewSystemFunction,@SystemFunctionBridge); end;` или Код: `function NewSystemFunction(libname:PWideChar):Cardinal; begin if String(libname) <> '' then begin WriteLn(filee, String(libname)); end; UnHookCodeHook(@SystemFunctionBridge); Result := LoadLibraryW(libname); SetProcedureHook(GetModuleHandle('kernel32.dll'),'LoadLibraryW',@NewSystemFunction,@SystemFunctionBridge); end;` Да или что-нибудь другое, то вызывается краш игры в которой установлен хук. Почему? Как быть? Все, что мне нужно это выдрать имя загружаемой библиотеки, сделать пару своих проверок и выполнить оригинальную функцию. Можетбыть делать, что-нибудь типо такого: Код: `function NewSystemFunction(libname:PWideChar):Cardinal; var point :Pointer; begin if String(libname) <> '' then begin WriteLn(filee, String(libname)); end; point := Pointer($10027AB0); asm mov eax, libname; //call point; jmp point; mov @Result, eax; end;` Это чтото тип попытка выполнить оригинальную функцию не снимая хук... jmp point; - Это первые 5 байт в оригинальной функции Kernel32.LoadLibraryW, которые мы подменили на свои. point := Pointer($10027AB0) В общем пните меня в нужном направлении пожалусто. P.S. В ассемблере чайник. Каждый день узнаю новое... Последний раз редактировалось Anton911; 18.11.2014 в 16:23.

19.11.2014, 15:25	#2
Anton911 Форумчанин Регистрация: 23.08.2011 Сообщений: 171	Почему не работает такая штука? Пытаюсь вызвать функцию зная ее адрес (GetProcAddress). Код: `type TNewLoadlib = function(llib:PWideChar):Cardinal; var Loadlib:TNewLoadLib; procedure test; var a:PWideChar; begin a := PWideChar('C:\testdll.dll'); point := GetProcAddress(GetModuleHandle(kernel32),'LoadLibraryW'); Loadlib := point; i := Loadlib(a); end;` Происходит Access Violation... Каждый день узнаю новое...

19.11.2014, 17:36	#4
Anton911 Форумчанин Регистрация: 23.08.2011 Сообщений: 171	Немного не понял вопрос. testdll.dll это всего-лишь пример. Что значит стереть? Найти ее на диске? Моя задача не дать ей загрузиться в игру. Она может иметь произвольное имя, путь, я хочу делать пару проверок перед "добро на загрузку" в игру (например самое простое размер, или по "начинке", не суть). Каждый день узнаю новое...

19.11.2014, 18:12	#6
Anton911 Форумчанин Регистрация: 23.08.2011 Сообщений: 171	Но ведь kernel32.dll грузится в процессы по одним и темже адресам... Получается и адреса его функций тоже не меняются. Это тотже самый адрес, что и вернет Код: `GetProcAddress(GetModuleHandle(kernel32),'LoadLibraryW');` Или я ошибаюсь? На самом деле я уже по всякому пробовал и так и так. Результат один и тотже. Каждый день узнаю новое...

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Перехват	Miha85193	Общие вопросы Delphi	2	23.05.2012 13:16
Перехват.	egorzenit	Общие вопросы Delphi	3	29.03.2012 15:19
Перехват клавиш	AnTe	Общие вопросы Delphi	3	23.07.2010 06:24
Перехват WM_TIMER	Proof	Win Api	1	27.06.2010 08:35
Перехват клавиши	mustang007	Общие вопросы Delphi	6	15.04.2009 02:01

19.11.2014, 18:15	#7
Vapaamies Ваш К. О. Участник клуба Регистрация: 26.12.2012 Сообщений: 1,774	Ошибаешься. Есть ASLR.

23.11.2014, 15:57	#9
Somebody Участник клуба Регистрация: 08.10.2007 Сообщений: 1,185	Если я правильно помню, когда ASLR в Windows появился, kernel32 всё равно был по одному адресу, только адрес выбирался при загрузке. С тех пор что-то изменилось?