XP下为何不能把系统DLL考出来再使用？ ( 积分: 20 )

sy0116 · 2007-05-12

为了防止被别人Hook API我想把系统的kernel32.dll拷贝一份命名为old.dll放在原system32目录下，但是我发现拷贝出来的old.dll中的API不能正常工作，具体表现为我调用里面的CreateProcessW函数时进程并没有被创建，但函数又返回了True，没有任何错误提示,我在Vista下也试了一下，发现可以实现我想要的功能，不知道为什么在XP下不行

绝对新手 · 2007-05-12

实在是反HOOK API的高招 有创意！

sy0116 · 2007-05-12

貌似XP有某种保护机制，但在Vista下却可以正常使用，奇怪 这不仅仅是可以反API Hook，同时也可以用来解决陷阱式API Hook的重入问题

sy0116 · 2007-05-12

还用，面这段代码也会有一些奇怪的问题：我想用下面的代码来把kernel32.dll拷贝到内存中，然后通过计算来得到CreateProcessW的入口地址，再通过这个地址来调用CreateProcessW，这个方法在XP下确实成功了，但问题是，这段代码在一些电脑上执行时会出错，提示XXX不能为Read，我也没找到出错的电脑的共同特征，但如果我把KdllAddr:=MapViewOfFile(maphd,FILE_MAP_ALL_ACCESS,0,0,0);这一句换成KdllAddr:=VirtualAllocEx(GetCurrentProcess,nil,KdllInfo.SizeOfImage,MEM_COMMIT,PAGE_EXECUTE_READWRITE); 则在那些不能运行的电脑上也可以正常运行了，不知是何原因。 function GetNewCreateProcessW

ointer; var   OldCreateProcAddr

ointer;   kdllhd:THandle;   maphd:THandle; begin   if KdllAddr=nil then   begin     kdllhd:=LoadLibrary('kernel32.dll');     GetModuleInformation(GetCurrentProcess,kdllhd,@KdllInfo,SizeOf(KdllInfo));     OldCreateProcAddr:=GetProcAddress(kdllhd,'CreateProcessW');     maphd:=OpenFileMapping(FILE_MAP_ALL_ACCESS,True,'ddd_sy');     if maphd=0 then       maphd:=CreateFileMapping($FFFFFFFF,nil,PAGE_EXECUTE_READWRITE,0,KdllInfo.SizeOfImage,'ddd_sy');     KdllAddr:=MapViewOfFile(maphd,FILE_MAP_ALL_ACCESS,0,0,0);     //KdllAddr:=VirtualAllocEx(GetCurrentProcess,nil,KdllInfo.SizeOfImage,MEM_COMMIT,PAGE_EXECUTE_READWRITE);     WriteProcessMemory(GetCurrentProcess,KdllAddr,KdllInfo.lpBaseOfDll,KdllInfo.SizeOfImage,crd);     SendMessage(FindWindow('tform1',nil),16442,Cardinal(KdllAddr),0);     Result:=Pointer(Cardinal(OldCreateProcAddr)-cardinal(KdllInfo.lpBaseOfDll)+cardinal(KdllAddr));   end   else   begin     Result:=KdllAddr;   end; end;

白河愁 · 2007-05-13

这样并不能反 Hook.

我爱PASCAL · 2007-05-13

什么东西，没看懂

sy0116 · 2007-05-15

楼上是哪里没看懂？

ufo · 2007-05-15

hook是根据模块来的吧，楼主这样做应该有一定的效果。

白河愁 · 2007-05-15

效果小得可怜，最简单直接hook ntAPI就行了。

sy0116 · 2007-05-15

现在的问题是如何解决复制出的DLL不能用的问题，或者是我的第二个问题，Hook NtAPI 确实可以，但我现在只需要防住别人对kernel32的Hook就可以了

白河愁 · 2007-05-15

那Hook住WriteProcessMemory就可以了。现在95%得Hook都是用这个的 。

10265431 · 2007-05-19

你的第二个问题是不是因为kdllhd:=LoadLibrary('kernel32.dll');没有释放加载造成的哟。

sy0116 · 2007-05-19

楼上的老兄认为应该在何处释放？我要等到下周3才可能测试，因为在我自己的电脑上这段程序完全正常，但在学校机房里就不行

10265431 · 2007-05-19

FreeLibrary(kdllhd);

sy0116 · 2007-05-21

问题是：free掉了后还怎么用dll中的函数呢？

wr960204 · 2007-05-24

XP SP2以后的系统为了防止缓冲区溢出攻击,如果执行代码申请的内存不是可执行的话会报错. 所以你VirtualAllocEx分配的时候最后一个参数给PAGE_EXECUTE_READWRITE,就是分配一块可执行的内存,在XP SP2以上的系统才不会报错. 这个防缓冲区溢出攻击的功能还要CPU配合. 所以你的代码MapViewOfFile在支持的CPU+XP SP2的计算机上运行才会出错.

sy0116 · 2007-05-24

我学校机房的是赛扬D+XP SP2的，应该不支持吧，我自己的电脑是T5200+XP SP2，我在其他很多同学的电脑上测试（XP SP2）大部分都没有问题，但也有一两台有问题的，我写了一个程序用来检查错问题，还修改了一下代码，将分配到的内存的属性显示出来，发现这块内存并非PAGE_EXECUTE_READWRITE，而是PAGE_READWRITE，不知道是什么原因影响了CreateFilemapping函数，加上VirtualProtect再看还是一样，不能设置成PAGE_EXECUTE_READWRITE而是自动变成了PAGE_READWRITE，但是当我是用VirtualAlloc时却可以设置成PAGE_EXECUTE_READWRITE function GetNewCreateProcessW

ointer; var   OldCreateProcAddr

ointer;   kdllhd:THandle;    maphd:THandle;   {$IF Defined(DEBUG)}   tmpstruct:TJump;  //debug   {$IFEND} begin   if KdllAddr=nil then   begin     kdllhd:=LoadLibrary('kernel32.dll');     GetModuleInformation(GetCurrentProcess,kdllhd,@KdllInfo,SizeOf(KdllInfo));     OldCreateProcAddr:=GetProcAddress(kdllhd,'CreateProcessW');     maphd:=OpenFileMapping(FILE_MAP_ALL_ACCESS,True,'AntiAutoRun_sy');     if maphd=0 then       maphd:=CreateFileMapping($FFFFFFFF,nil,PAGE_EXECUTE_READWRITE,0,KdllInfo.SizeOfImage,'AntiAutoRun_sy');     //GetMem(KdllAddr,KdllInfo.SizeOfImage);     KdllAddr:=MapViewOfFile(maphd,FILE_MAP_ALL_ACCESS,0,0,0);     //KdllAddr:=VirtualAlloc(nil,KdllInfo.SizeOfImage,MEM_COMMIT,PAGE_EXECUTE_READWRITE);     //virtualprotect(kdlladdr,KdllInfo.SizeOfImage,Page_execute_readwrite,crd);     //messagebox(0,pchar(inttostr(getlasterror)),'hhhhh',0);     VirtualQuery(KdllAddr,Debug_protect,SizeOf(Debug_protect));     {$IF Defined(DEBUG)}     begin       SendDebugInfo(SY_DEBUG_BEGIN);       SendDebugInfo(SY_DEBUG,True,'检查内存分配是否正确');       SendDebugInfo(SY_DEBUG,True,'Protect:',Debug_protect.AllocationProtect);       SendDebugInfo(SY_DEBUG,True,'MEM State:',Debug_protect.State);       SendDebugInfo(SY_DEBUG,False,'大小:',Debug_protect.RegionSize);       SendDebugInfo(SY_DEBUG,False,'kernel32.dll大小:',KdllInfo.SizeOfImage);       SendDebugInfo(SY_DEBUG_END);     end;     {$IFEND}     if debug_protect.Protect=$40 then     begin       WriteProcessMemory(GetCurrentProcess,KdllAddr,KdllInfo.lpBaseOfDll,KdllInfo.SizeOfImage,crd);       Result:=Pointer(Cardinal(OldCreateProcAddr)-cardinal(KdllInfo.lpBaseOfDll)+cardinal(KdllAddr));     end     else     Result:=nil;   end       else   begin     Result:=KdllAddr;   end;   {$IF Defined(DEBUG)}   ReadProcessMemory(GetCurrentProcess,KdllAddr,@tmpStruct,8,crd);  //debug   {$IFEND}                                                 //dubug end;

wanchi · 2007-06-08

我查阅了部分资料，对于你说的问题也分析实验了一下， 你的'kernel32.dll'入口是7C800000，调用NTDLL.DLL在7C800290处，而真正调用自身地址偏移到7C800049处，DTDLL.DLL在7C800290，你调用的部分函数内的方法不是直接实现的，有的是调用NTDLL.DLL内的函数，真正的函数输出口在7C804B63到7C8092A5段，再有你的调用函数只是系统三核心文件的共享块，虚拟页会偏移改变。 也许我还有未考虑到的地方，你也可以参看《WIN2000核心技术》和《WINXP核心技术》书做下比较可能会对你有更大的帮助。

ufo · 2007-06-09

记得在winnt系统下 kernel32.dll，ntdll.dll，user32.dll 这三个库文件总是载入到固定地址的，不允许重定位。

sy0116 · 2007-06-10

谢谢楼上两位的回答，可我还有一点不明白的，为什么用我第二个问题中的方法却可以实现调用Kernel32.dll中的函数呢？

XP下为何不能把系统DLL考出来再使用？ ( 积分: 20 )

sy0116

Unregistered / Unconfirmed

绝对新手

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

白河愁

Unregistered / Unconfirmed

我爱PASCAL

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

ufo

Unregistered / Unconfirmed

白河愁

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

白河愁

Unregistered / Unconfirmed

10265431

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

10265431

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

wr960204

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

wanchi

Unregistered / Unconfirmed

ufo

Unregistered / Unconfirmed

sy0116

Unregistered / Unconfirmed

Similar threads