Инжект кода в чужой процесс

[Malriser]

Всем привет. Сразу скажу, что я пишу приложение для родительского контроля. А вы сами знаете, какие сейчас "детишки" пошли, что процесс нужно прятать. Так как перехват API для меня сложен, решил делать инжект в explorer.exe

Функцию нашел в интернете

Код:

#pragma comment(linker,"/BASE:0x13140000")

#define BASEADDR 0x13140000

BOOL InjectIntoProcess(HANDLE p_handle, PVOID proc)
{		
	PBYTE Buffer;
	DWORD dwRead=0;

	DWORD dwSize = ((PIMAGE_OPTIONAL_HEADER)((LPVOID)((BYTE *)(BASEADDR) + 
		((PIMAGE_DOS_HEADER)(BASEADDR))->e_lfanew 
			+ sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER))))->SizeOfImage;

	Buffer = (PBYTE)VirtualAlloc(NULL, dwSize, 
		MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	if (Buffer == NULL)
		return FALSE;

	ReadProcessMemory(GetCurrentProcess(), (LPCVOID)BASEADDR, 
		(LPVOID)Buffer, dwSize, &dwRead);	

	PBYTE pMem = (PBYTE)VirtualAllocEx(p_handle, (LPVOID)BASEADDR, dwRead, 
		MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (Buffer == NULL)
		return FALSE;

	DWORD dwOldProt, dwNumBytes;
	VirtualProtectEx(p_handle, pMem , dwRead, PAGE_EXECUTE_READWRITE, 
		&dwOldProt);

	if (!WriteProcessMemory(p_handle, pMem, Buffer, dwRead, &dwNumBytes))
		return FALSE;

	DWORD dwThreadId;	
	CreateRemoteThread(p_handle, NULL, 0, &proc, NULL, 0, &dwThreadId); 

	return TRUE;
}

Вызываю так:

Код:

InjectIntoProcess(OpenProcess(PROCESS_ALL_ACCESS, false, GetProcessID("explorer.exe")), &control);

При компиляции выбивает ошибку

Код:

46  cannot convert `void**' to `DWORD (*)(void*)' for argument `4' to `void* CreateRemoteThread(void*, _SECURITY_ATTRIBUTES*, DWORD, DWORD (*)(void*), void*, DWORD, DWORD*)'

Прошу помощи

[Son Of Pain]

Ну так естественно. Функция, которую ты передаешь в CreateRemoteThread, должна иметь конкретный прототип - http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx
А ты пытаешься туда передать void**.

Да и вообще, это очень дерзкая функция:

Код:

	PBYTE pMem = (PBYTE)VirtualAllocEx(p_handle, (LPVOID)BASEADDR, dwRead,
		MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (Buffer == NULL)
		return FALSE;

Даже если оригинальный код загрузится по нужному адресу (без применения релокейшнов) и внутри explorer.exe окажется дырка достаточного размера по нужному адресу - придется внимательно следить, чтобы внедренная функция ничего не сломала: используемые дллки должны быть загружены по одинаковым адресам в обоих процессах, никаких обращений к своим ресурсам (хендлам, памяти выделенной в heap и тд).

[frommars]

Причём тут релоки и тд? Ты ерунду полную написал(и что б ты знал, в винде длл всегда по одному и тому же адресу загружаются).
Он хочется скопировать себя полностью в другой процесс и запустить. Достаточно интересный трюк с базой.
А по поводу того что не компилируется

Код:

CreateRemoteThread(p_handle, NULL, 0, (DWORD (__stdcall *)(void *))proc, NULL, 0, &dwThreadId);

Код:

BOOL InjectIntoProcess(HANDLE p_handle, PVOID *proc)

[Malriser]

Цитата:

Сообщение от frommars

А по поводу того что не компилируется

Код:

CreateRemoteThread(p_handle, NULL, 0, (DWORD (__stdcall *)(void *))proc, NULL, 0, &dwThreadId);

Код:

BOOL InjectIntoProcess(HANDLE p_handle, PVOID *proc)

Спасибо за хороший ответ, все сделал как вы предложили, но теперь пишет такое:

Код:

74  cannot convert `DWORD (*)()' to `void**' for argument `2' to `BOOL InjectIntoProcess(void*, void**)'

[waleri]

Цитата:

Сообщение от frommars

и что б ты знал, в винде длл всегда по одному и тому же адресу загружаются

Пруфлинк можно?

[Son Of Pain]

Цитата:

Сообщение от frommars

Причём тут релоки и тд? Ты ерунду полную написал

Если приведенный фрагмент кода находится в длл (а у топикстартера нигде не сказано, что это не так), и при ее загрузке по указанному в заголовке адресу не найдется дырки нужного размера - длл будет загружена по другому адресу. И, соответственно, к ней будут применены релокейшны, для компенсации. Стоило упомянуть об этом, как об одном из возможных вариантов проблем.

Цитата:

и что б ты знал, в винде длл всегда по одному и тому же адресу загружаются).

Серьезно? ) А что случится, если, скажем, у двух extension dll, загружаемых в explorer.exe, будут одинаковые image base?

А еще ты забыл про aslr (можешь просветиться где-то здесь, например. Что случится, когда одна из системных длл после ребейсинга займет нужный кусок адресов?

[frommars]

Пруф? На

Код:

typedef struct _RPar
{
	DWORD dwMessageBox;
	TCHAR msgTitle[1024];
	TCHAR msgText[1024];
} RPar;


DWORD __stdcall ThreadProc(RPar *Para)
{
	FARPROC PMessageBox = (FARPROC)Para->dwMessageBox;
		

		PMessageBox(NULL, Para->msgText, Para->msgTitle, MB_OK);
			

return 0;
}

int _stdcall WinMain(HINSTANCE hInst, HINSTANCE hPrevInst, LPSTR lpCmd, int nCmdShow)
{
	DWORD dwThreadId, pID = 0, dwThreadSize = 2048;
	PVOID *pRemoteThread;
    TCHAR ExeFile[1024];
    HANDLE hProcess, hSnap;
    HINSTANCE hUser, hKernel;
    RPar my_RPar,*pmy_RPar;

    PROCESSENTRY32 pe32 = {0};


		if((hSnap =CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)) == INVALID_HANDLE_VALUE )
			return 3;
    
		pe32.dwSize = sizeof(PROCESSENTRY32);
		Process32First(hSnap, &pe32);
		do
		{
			if(_tcsicmp(INJECT_EXE, pe32.szExeFile/*, strlen(INJECT_EXE)*/) == 0)
			{
				pID = pe32.th32ProcessID;
				break;
			}
		} 
		while(Process32Next(hSnap, &pe32));

		if(hSnap != INVALID_HANDLE_VALUE)
			CloseHandle(hSnap);
			
		hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pID);
		pRemoteThread = VirtualAllocEx(hProcess, 0, dwThreadSize, MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);

		WriteProcessMemory(hProcess, pRemoteThread, &ThreadProc, dwThreadSize,0);

		ZeroMemory(&my_RPar, sizeof(RPar));
    
		hKernel = LoadLibrary("kernel32.dll");
		my_RPar.dwGetModuleHandle = (DWORD)GetProcAddress(hKernel, "GetModuleHandleA");
		my_RPar.dwGetProcAddress = (DWORD)GetProcAddress(hKernel, "GetProcAddress");
		FreeLibrary(hKernel);
		
		hUser = LoadLibrary("user32.dll");
		my_RPar.dwMessageBox = (DWORD)GetProcAddress(hUser, "MessageBoxA");
		FreeLibrary(hUser);
		
		strcpy(my_RPar.msgTitle, "Title");
		strcpy(my_RPar.msgText, "Text");
		
		
		pmy_RPar =(RPar *)VirtualAllocEx(hProcess, 0, sizeof(RPar), MEM_COMMIT, PAGE_READWRITE);
    
		WriteProcessMemory(hProcess, pmy_RPar, &my_RPar, sizeof(my_RPar), 0);
		CreateRemoteThread(hProcess, 0, 0, (DWORD (__stdcall *)(void *))pRemoteThread ,pmy_RPar, 0, &dwThreadId);
   
	
		CloseHandle(hProcess);
		
    
    
return 0;
}

[frommars]

Цитата:

74 cannot convert `DWORD (*)()' to `void**' for argument `2' to `BOOL InjectIntoProcess(void*, void**)'

ну подумай теперь как правильно функцию вызвать

[Пепел Феникса]

Цитата:

Сообщение от frommars

Пруф? На

вы на какой винде сидите хоть?

[waleri]

Цитата:

Сообщение от frommars

Пруф? На

Извините, это не пруф... будьте любезны ссылочку на документацию, где это написано...