Нужно в реальном времени изменять некоторые исходящие пакеты, передающиеся приложением.

Это выполнимо на Delphi ?

Да, выполнимо - тебе нужно делать перехват winsock32 функций в нужном приложении и менять пакеты в сулчае необходимости. Темы такие были, так что используй поиск.

Я так понял что мне надо перехватывать ф-цию send. Я прав?

Это сообщение отредактировал(а) lifer - 31.5.2005, 12:28

Сразу дам пример перехвата входящих и исходящих пакетов.

необходим юнит madCodeHook из библы madCollection.
http://madshi.net/madCollection.exe



Внедрение hook.dll в нужный тебе процесс

Код

procedure TForm1.Button1Click(Sender: TObject); var   SInfo: TStartupInfo;   PInfo: TProcessInformation; begin       ZeroMemory(@SInfo, SizeOf(TStartupInfo));       ZeroMemory(@PInfo, SizeOf(TProcessInformation));       SInfo.dwFlags := STARTF_USESHOWWINDOW;       SInfo.wShowWindow := SW_SHOW;       CreateProcess(PChar( Edit1.text ), nil, nil, nil, False, 0, nil, nil, SInfo, PInfo);       Sleep(3000);       // Лутше было бы использовать InjectLibrarySession но так как это пример перехвата а не внедрения то так ....       InjectLibrary(PInfo.hProcess, IncludeTrailingPathDelimiter( ExtractFilePath(Application.ExeName) ) + 'hook.dll' ); end;

А вот так выглядит Hook.dll .

Код

library Hook; uses   Windows,   Winsock,   SysUtils,   madCodeHook; var   sendNextHook: function(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;   recvNextHook: function(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; function recvHookProc(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; begin   Result := recvNextHook(s, Buf, len, flags); end; function sendHookProc(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; begin   Result := sendNextHook(s, Buf, len, flags); end; procedure EntryPoint(Ac: dword); stdcall; begin   if Ac = DLL_PROCESS_ATTACH then   begin       HookCode(@send, @sendHookProc, @sendNextHook);       HookCode(@recv, @recvHookProc, @recvNextHook);   end; end; begin   DLLProc := @EntryPoint;   EntryPoint(DLL_PROCESS_ATTACH); end.

ЗЫ: надеюсь принцип ясен.

Разобрался с madCollection...
Несколько вопросов:

1.

Код

CreateProcess(PChar( Edit1.text ), nil, nil, nil, False, 0, nil, nil, SInfo, PInfo);

Зачем запускать процесс?
У меня ведь будет уже запущенное приложение из которого надо будет перехватывать пакеты.

2.

Код

function sendHookProc(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; begin   Result := sendNextHook(s, Buf, len, flags); end;

Я так понял что при вызове ф-ции send будет выполняться сначала ф-ция sendHookProc. А в переменных s; var ; len, flags будет нужный мне пакет?

Цитата(Guest @ 2.6.2005, 16:57)

Зачем запускать процесс?

Ну запуская процесс мы получаем TProcessInformation каторый потом используем для того что бы внедрить в чужой процесс свою dll. (просто так проще).

Ну если процесс уже запущен то внедряйся в запущенный процесс...
{Пример дать ?}

Цитата(Guest @ 2.6.2005, 16:57)

Я так понял что при вызове ф-ции send будет выполняться сначала ф-ция sendHookProc. А в переменных s; var ; len, flags будет нужный мне пакет?

Именно так.

Это сообщение отредактировал(а) RAdmin - 2.6.2005, 17:48

RAdmin
если не трудно тай примерчик внедрения или вообщем инфу где насчет этого можно почитать?

Цитата(haword @ 3.6.2005, 06:46)

если не трудно тай примерчик внедрения

Не трудно, только ты создай про это отдельную тему в разделе winapi или общие вопросы.
правила тут такие: один вопрос один топик.

Цитата

Ну запуская процесс мы получаем TProcessInformation каторый потом используем для того что бы внедрить в чужой процесс свою dll. (просто так проще).

Это понятно, только вот приложение при запуске через CreateProcess не хочет работать так, как нужно... так что лучше запускать его вручную...

Цитата

The function "InjectLibrary" is able to inject your DLL into any already running 32bit process. You can specify one specific target process or any of the special flags.

Можете привести небольшой примерчик по внедрению в конкретный процесс? а то в хелпе по MadCodeHook рассматривается внедрение во все работающие проуессы.

Это сообщение отредактировал(а) lifer - 5.6.2005, 12:30

Код

function GetProcessID (FileName: string) : DWORD; var  wnd1, wnd2 : THandle;  Pe32 : TProcessEntry32;  Me32 : TModuleEntry32;   tmp  : boolean; begin   tmp := false;  FileName := AnsiUpperCase(FileName);  wnd1 := CreateToolhelp32Snapshot (TH32CS_SNAPPROCESS, 0);  Pe32.dwSize := SizeOf(pe32);  Me32.dwSize := SizeOf(me32);  if Process32First(wnd1, pe32) then  repeat    tmp:= FileName = AnsiUpperCase(pe32.szExeFile);    if not tmp then      if ExtractFileName(FileName) = AnsiUpperCase(ExtractFileName(pe32.szExeFile)) then      begin        wnd2 := CreateToolhelp32Snapshot (TH32CS_SNAPMODULE, pe32.th32ProcessID);        if Module32First(wnd2, me32) then        repeat          if (FileName = AnsiUpperCase(me32.szExePath)) then          begin            tmp := true;            Break;          end;        until not Module32Next(wnd2, me32);        CloseHandle(wnd2);      end;    if tmp then    begin      Result :=  pe32.th32ProcessID;    end;  until not Process32Next(wnd1, pe32);  CloseHandle (wnd1); end; InjectLibrary(GetProcessID('c:\myfile.exe'),'c:\myDll.dll'   );

Вроде так должно работать, но не проверял.

Это сообщение отредактировал(а) RAdmin - 5.6.2005, 14:04

Код

Result := false;

[Error] Unit1.pas(34): Incompatible types: 'Cardinal' and 'Boolean'

тут что-то не так...

Это сообщение отредактировал(а) lifer - 5.6.2005, 13:57

Подредактировал, но всёравно не проверял.

Я уже сделал вот так:

Код

Function GetProcessId(exename:string):integer; var  hSnap:THandle;   pe:TProcessEntry32;   procid:integer;  procexe:string;  begin   pe.dwSize:=SizeOf(pe);  hSnap:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);   If Process32First(hSnap,pe) then begin    While Process32Next(hSnap,pe) do begin     procexe:=pe.szExeFile;procid:=pe.th32processid;    if uppercase(procexe)<>uppercase(exename) then continue;    result:=procid;     closehandle(hSnap);    exit;    end;  end;  result:=0;  closehandle(hSnap); end;

Теперь буду разбираться с dll

Цитата(Guest @ 6.6.2005, 16:01)

Я уже сделал вот так:

Окинув это своим взглядом я пришел к выводу, что такая модификация в XP приведёт к получению ID рандомного процесса имеющего сходное имя файла но другую директорию запуска.

Код

library hook; uses   Windows,   Messages,   Winsock,   SysUtils,   madCodeHook; var   sendNextHook: function(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall;   recvNextHook: function(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; function recvHookProc(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; begin   Result := -1; end; function sendHookProc(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; begin    Result := -1; end; begin   HookCode(@send, @sendHookProc, @sendNextHook);   HookCode(@recv, @recvHookProc, @recvNextHook); end.

Захотел протестировать dll, по идее Result := -1; должен блокировать передачу данных. Я правильно понял?

Вот код инжекта в исполняемом файле:

Код

InjectLibrary(GetProcessID('mirc.exe'),IncludeTrailingPathDelimiter( ExtractFilePath(Application.ExeName) ) + 'hook.dll'   );

Такая конструкция у меня не работает Причем ф-ция GetProcessID определяет ID нормально). hook.dll в каталоге тоже присутствует. Не подскажете в чем может быть проблема?

Цитата

Окинув это своим взглядом я пришел к выводу, что такая модификация в XP приведёт к получению ID рандомного процесса имеющего сходное имя файла но другую директорию запуска.

У меня windows 2000 Но тема не об этом. Эту функцию я доделаю, сейчас же у меня нету двух процессов с одинаковыми именами.

Это сообщение отредактировал(а) lifer - 6.6.2005, 17:56

lifer

Завтра приду домой всё проверю.

Цитата

Завтра приду домой всё проверю.

спасибо.

P.S. Извините что так много вопросов задаю, просто с темой перехвата API первый раз столкнулся.

Да, и еще, чем такая конструкция:

Код

HookCode(@send, @sendHookProc, @sendNextHook);

отличается от такой:

Код

HookAPI('wsock32.dll', 'send', @sendHookProc, @sendNextHook);

Это сообщение отредактировал(а) lifer - 7.6.2005, 09:35

HookAPI('wsock32.dll', 'send', @sendHookProc, @sendNextHook);

наложыт хук на функцию send в модуле wsock32.dll, тоесть получать мы будем весь трафик, а нам как я понял нужно только от конкретного процесса.

Цитата(lifer @ 6.6.2005, 17:50)

Захотел протестировать dll, по идее Result := -1; должен блокировать передачу данных. Я правильно понял?

Ну по идее так можно сделать, только чужое приложение будет ожидать таймаута если это поставить на sendHookProc.


Собсно вот прилагаю проверенный код внедрения с дллкой.

Присоединённый файл ( Кол-во скачиваний: 256 )
 InjectandhookDll.rar 2,36 Kb

Спасибо большое за помощь, разобрался в вашем коде, теперь с помощью MadCodeHook SendIpcMessage сделал передачу данных между hook.dll и приложением.
Вроде проблема решена.

Если еще появятся вопросы я обращусь к вам.

Обращайся.

Помогите найти ошибку.
Я перевожу данные, передаваемые приложением в hex-вид, для редактирования. Все работает, только при передаче вот таких данных:
89 00 00 00 1F A1 7B 0E 00
89 00 00 00 1F 20 95 0F 00
89 00 00 00 1F 07 C4 0F 00
89 00 00 00 1F FE F2 0F 00
89 00 00 00 1F FE F2 0F 00
89 00 00 00 1F E6 21 10 00

(смотрю с помощью commview)

получается вот это:
89 00 00 00 34 1D D2 14 34
89 00 00 00 34 1D D2 14 34
89 00 00 00 34 1D D2 14 34
89 00 00 00 34 1D D2 14 34
89 00 00 00 34 1D D2 14 34
89 00 00 00 34 1D D2 14 34

данные, не содержащие 00 00 00 обрабатываются корректно. Я наверное неправильно обрабатываю данные в строке Data := Copy (PChar(@Buf),1,len); ?

Вот код перевода в hex:

Код

function sendHookProc(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; var Data,ResData : string; i : integer; begin    ResData := '';    Data := Copy (PChar(@Buf),1,len);    for i := 1 to len do         begin         ResData := ResData + IntToHex(Ord(Data[i]),2) + ' ';         end;    ShowMessage(ResData);        Result := sendNextHook(s, Buf, len, flags); end;

Это сообщение отредактировал(а) lifer - 9.6.2005, 16:35

Код

function InHex(Buffer: pointer; Length: Word): string; var   i: integer;   HexBuf: string; begin   HexBuf := '';   for Iterator := 0 to Length - 1 do   begin     HexBuffer := HexBuf + IntToHex(Ord(char(pointer(integer(Buffer) + i)^)), 2) + ' ';   end;   Result := HexBuf; end; function sendHookProc(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; var   HexData: string;   BufData: pchar; begin   Result := 0;   GetMem(BufData, Result);   try     CopyMemory(BufData, @Buf, Result);     BufData[0] := chr(10);     BufData[1] := chr(20);     BufData[2] := chr(30);      word(pointer(BufData)^) := 10;      dword(pointer(integer(BufData) + 2)^) := 20;      word(pointer(integer(BufData) + 6)^) := 30;      CopyMemory(@Buf, BufData, Result);   finally     FreeMem(BufData);   end; ...............   HexData := InHex(@Buf, Result); ................   Result := sendNextHook(s, Buf, len, flags); end;

Это сообщение отредактировал(а) RAdmin - 10.6.2005, 22:11

Спасибо, только вот зачем вот этот кусок кода:

Код

Result := 0;   GetMem(BufData, Result);   try     CopyMemory(BufData, @Buf, Result);     BufData[0] := chr(10);     BufData[1] := chr(20);     BufData[2] := chr(30);      word(pointer(BufData)^) := 10;      dword(pointer(integer(BufData) + 2)^) := 20;      word(pointer(integer(BufData) + 6)^) := 30;      CopyMemory(@Buf, BufData, Result);   finally     FreeMem(BufData);   end;

У меня все работает вот так:

Код

function InHex(Buffer: pointer; Length: Word): string; var   i: integer;   HexBuf: string; begin   HexBuf := '';   for i := 0 to Length - 1 do   begin     HexBuf := HexBuf + IntToHex(Ord(char(pointer(integer(Buffer) + i)^)), 2) + ' ';   end;   Result := HexBuf; end; function sendHookProc(s: TSocket; var Buf; len, flags: Integer): Integer; stdcall; var   HexData: string;   BufData: pchar; begin   HexData := InHex(@Buf, len);   ShowMessage(HexData);   Result := sendNextHook(s, Buf, len, flags); end;

Цитата(lifer @ 11.6.2005, 12:37)

Спасибо, только вот зачем вот этот кусок кода:

Ну это модификаци, если конечно тебе это нужно.

Цитата

Ну это модификаци, если конечно тебе это нужно

А... ну тогда наверное должно быть так:

Код

CopyMemory(@Buf, BufData, Result);  ... CopyMemory(BufData, @Buf, Result);

Мне нужно будет модифицировать пакеты вручную, для этого я и делаю перевод в Hex.

Цитата

А... ну тогда наверное должно быть так:

Ой, ошибся, вы были правы. я не туда глядел

Тема хоть и старая, но вопрос актуальный. Есть желающие помочь разобраться с тем о чём говориться в теме?

А в чем вопрос-то? Проблемма в чем?

Разбираю вот этот код 
Присоединённый файл ( Кол-во скачиваний: 150 ) 
  InjectandhookDll.rar 2,36 Kb
(Выложенный выше).

Нужно изменить все вот это

На то чтобы, по нажатию проверялось CRC файла, если совпадает exe'шка запускается и  внедряется dll . 


Также желательно примерчик, как шифровать трафик в dll, ну и вообще интересует как можно зашифровать трафик, чтобы потом его расшифровать сервером. 

Это сообщение отредактировал(а) Tosik - 6.4.2010, 08:49

Код библиотеки :


библиотека внедряется в оперу, файл внедряемой библиотеки не удаляется, я так полагаю что это признак что нормально внедрилась.
Но при лазании по Инету, никаких файлов не создается, хотя по идее должно?
Что я делаю не так? не могу никак понять.. пробовал и HookCode и HookAPI..

Исправил на это файл создался. 
Но..
некоторые ресурсы не загружаются. Некоторые загружаются. Почему?

Доброго всем времени суток!
Попалась как-то (на хакер.ру что-ли) статейка как продвинуть собственный сайт, т. е.: при гуглении "футбол" первым из "примерно 30 500 результов" браузеру подсовывается "... наши футболисты ...." ну и соответсвенно ссылочка на www.ufo_007.com(например). С обработкой текста проблем нет, а вот с перехватом трафика... В статье воспевается advAPIHook но тут я чо-то слегонца недопонял - вернее не стал разбираться т. к. подвернулось следующее:и в самом AppSniff - Main.pas такая процедурка:Так вот - по поводу вышеизложенного вопрос: можно ли отправить ДЛЛке ответ? Что-то в роде: Ведь она ( ДЛЛка) при отправке заложила msg.Pid Оперы или она перехватит сообщение? Если "Да", то как порвать "мосты" (параллелного прослушивания): убрать recvNextHook и Опера оглохнет - вот тут как я соображаю и нужно ответное сообщение с полученными и обработанными данными ну и убрав sendNextHook проверить ответ оперы и отослать его получателю (за ислючением - если юзер тыкнет на www.ufo_007.com которого не существует). Или я заблуждаюсь? - Дык поправьте, наставьте на путь истинный. И заранее - спасибо за любую инфу вплоть до банального перечня процедур и функций из которых можно вылепить нечто подобное необходимому.

Присоединённый файл ( Кол-во скачиваний: 10 )
 Defs.inc 1,32 Kb