Ставим хуки

[P45H3]

В этом гайде я расскажу про использование библиотеки detour для сетапа хуков.
Поехали.
​

Создаём Win32 Dll.
Скачиваем

Пожалуйста, авторизуйтесь для просмотра ссылки.

(клик) с файлами.
После создания проекта добавляем файлы из архива в папку с проектом и в сам проект.
После в файле DllMain подключаем всё файлы

#include <Windows.h>
#include <iostream>
#include "detours.h"
#include "PatternScan.h"

Далее создаём объекты для работы

DWORD FuncAddr= 0;
PatternScan * Scanner = nullptr;

После описываем апиентри дллки

BOOL APIENTRY DllMain(HMODULE hModule, DWORD dwReason, LPVOID lpReserved)
{
if (dwReason == DLL_PROCESS_ATTACH)
{
//Здесь будет наш паттерн.
FuncAddr = Scanner->FindPattern(" ", " ", " ");
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
//сетап хука
DetourAttach(&(LPVOID&)FuncAddr, &OurHooked;
DetourTransactionCommit();
}
else if (dwReason == DLL_PROCESS_DETACH)
{
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
//снятие хука
DetourDetach(&(LPVOID&)FuncAddr, &OurHooked);
DetourTransactionCommit();
delete Scanner;
}
return TRUE;
}

После этого мы начинаем искать что мы будем хукать.
Допустим у нас есть такое приложение

#include <Windows.h>
#include <iostream>
int FuncToHooked(int a, int b)
{
return a + b;
}

int main()
{
while (true)
{
std::cout << FuncToHooked(5,5) << std::endl;
Sleep(2000);
}
}

Теперь для иды нужно поставить

Пожалуйста, авторизуйтесь для просмотра ссылки.

плагин.
Кидаем в папку Plugins

заходим в IDA 6.8
и ищем нашу функцию.
Вот она:

Спойлер

Далее пкм по ней и Text View

Спойлер

Видим что-то типо этого

Спойлер

Это и есть наша функция.
Выделяем её от типа до retn.

Спойлер

Далее жмём Edit -> Plugins -> SigMaker
и выбираем второе

Спойлер

и жмём ОК.

В низу появится паттерн + маска

Спойлер

Выделаем и идём в студию.
Видим Это

FuncAddr = Scanner->FindPattern(" ", " ", " ");

В первый параметр передаём имя процесса, во второе паттерн, и в 3 маску.

В результате у вас получится примерно это

FuncAddr = Scanner->FindPattern("testprogram.exe", " \x55\x8B\xEC\x8B\x45\x08\x03\x45\x0C\x5D\xC3", "xxxxxxxxxxx");

Всё теперь осталось описать Хук-функцию. Идём вверх(над апиентри) и создаём тайпдеф нашей функции с параметрами(или без) - это мы увидим в IDA.

Хукаемая функция выглядит так:
int __cdecl FuncToHooked(int a, int b)

И наш тайпдеф будет таким

typedef int(*hFunc)(int a, int b);

Далее опишем саму функцию

int OurHooked(int a, int b)
{
a += 100;
b += 50;
hFunc original = (hFunc)FuncAddr;
return original(a,b);
}

Наша хукаемая функция возвращает сумму a , b;
Теперь при хуке будет не 5 + 5, а 105 + 55.

Ну в принципе всё. Для хука void функций делайте так:

typedef LPVOID(*hFunc)(int a, int b);
kek OurHooked(int a, int b)
{
a += 100;
hFunc original = (hFunc)FuncAddr;
return (hFunc)original(a,b);
}

Пробуйте)

 

[ikfakof]

Топово, делали бы побольше таких гайдусов

 

[Ravin]

В этом гайде я расскажу про использование библиотеки detour для сетапа хуков.
Поехали.
​

Создаём Win32 Dll.
Скачиваем

Пожалуйста, авторизуйтесь для просмотра ссылки.

(клик) с файлами.
После создания проекта добавляем файлы из архива в папку с проектом и в сам проект.
После в файле DllMain подключаем всё файлы

#include <Windows.h>
#include <iostream>
#include "detours.h"
#include "PatternScan.h"

Далее создаём объекты для работы

DWORD FuncAddr= 0;
PatternScan * Scanner = nullptr;

После описываем апиентри дллки

BOOL APIENTRY DllMain(HMODULE hModule, DWORD dwReason, LPVOID lpReserved)
{
if (dwReason == DLL_PROCESS_ATTACH)
{
//Здесь будет наш паттерн.
FuncAddr = Scanner->FindPattern(" ", " ", " ");
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
//сетап хука
DetourAttach(&(LPVOID&)FuncAddr, &OurHooked;
DetourTransactionCommit();
}
else if (dwReason == DLL_PROCESS_DETACH)
{
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
//снятие хука
DetourDetach(&(LPVOID&)FuncAddr, &OurHooked);
DetourTransactionCommit();
delete Scanner;
}
return TRUE;
}

После этого мы начинаем искать что мы будем хукать.
Допустим у нас есть такое приложение

#include <Windows.h>
#include <iostream>
int FuncToHooked(int a, int b)
{
return a + b;
}

int main()
{
while (true)
{
std::cout << FuncToHooked(5,5) << std::endl;
Sleep(2000);
}
}

Теперь для иды нужно поставить

Пожалуйста, авторизуйтесь для просмотра ссылки.

плагин.
Кидаем в папку Plugins

заходим в IDA 6.8
и ищем нашу функцию.
Вот она:

Спойлер

Далее пкм по ней и Text View

Спойлер

Видим что-то типо этого

Спойлер

Это и есть наша функция.
Выделяем её от типа до retn.

Спойлер

Далее жмём Edit -> Plugins -> SigMaker
и выбираем второе

Спойлер

и жмём ОК.

В низу появится паттерн + маска

Спойлер

Выделаем и идём в студию.
Видим Это

FuncAddr = Scanner->FindPattern(" ", " ", " ");

В первый параметр передаём имя процесса, во второе паттерн, и в 3 маску.

В результате у вас получится примерно это

FuncAddr = Scanner->FindPattern("testprogram.exe", " \x55\x8B\xEC\x8B\x45\x08\x03\x45\x0C\x5D\xC3", "xxxxxxxxxxx");

Всё теперь осталось описать Хук-функцию. Идём вверх(над апиентри) и создаём тайпдеф нашей функции с параметрами(или без) - это мы увидим в IDA.

Хукаемая функция выглядит так:
int __cdecl FuncToHooked(int a, int b)

И наш тайпдеф будет таким

typedef int(*hFunc)(int a, int b);

Далее опишем саму функцию

int OurHooked(int a, int b)
{
a += 100;
b += 50;
hFunc original = (hFunc)FuncAddr;
return original(a,b);
}

Наша хукаемая функция возвращает сумму a , b;
Теперь при хуке будет не 5 + 5, а 105 + 55.

Ну в принципе всё. Для хука void функций делайте так:

typedef LPVOID(*hFunc)(int a, int b);
kek OurHooked(int a, int b)
{
a += 100;
hFunc original = (hFunc)FuncAddr;
return (hFunc)original(a,b);
}

Пробуйте)

Если писал сам, то несомненно огромный +

 

[P45H3]

Если писал сам, то несомненно огромный +

Всё сам (даже скрины)
 
UPD:
ХукФункция с дескриптором __stdcall

 

[Coolbaugh]

Есть у кого IDA 6.8?

 

[P45H3]

Есть у кого IDA 6.8?

У меня)))

 

[Coolbaugh]

У меня)))

Дай )9)

 

[P45H3]

Дай )9)

Не. Её во фри доступе нету (но это не точно).

Короче вместо паттернсканера можно просто задать адрес функции. В читенджине найди и задай значение переменной DWORD FuncAddr = 0x000000;
где 000000 адрес функции

 

[Coolbaugh]

Не. Её во фри доступе нету (но это не точно).

Короче вместо паттернсканера можно просто задать адрес функции. В читенджине найди и задай значение переменной DWORD FuncAddr = 0x000000;
где 000000 адрес функции

Блять, я не понял нихуя.

 

[P45H3]

Блять, я не понял нихуя.

Используй другую иду. Должно заработать.

 

[Coolbaugh]

Используй другую иду. Должно заработать.

Ссыль

 

[P45H3]

Ссыль

Пожалуйста, авторизуйтесь для просмотра ссылки.

(це не реклама)

 

[Konders]

Не. Её во фри доступе нету (но это не точно).

Короче вместо паттернсканера можно просто задать адрес функции. В читенджине найди и задай значение переменной DWORD FuncAddr = 0x000000;
где 000000 адрес функции

С 2к15 везде валяется

 

[P45H3]

С 2к15 везде валяется

я то покупал...

 

[Крайслер]

Не. Её во фри доступе нету (но это не точно).

Пожалуйста, авторизуйтесь для просмотра ссылки.

"Сломаем систему" вместе.......
В архиве IdaPro6.8+HexRay, правленые базы под нее, исправленные модули и пару "полезностей" для понимающих

 

[p1rat]

Пожалуйста, авторизуйтесь для просмотра ссылки.

"Сломаем систему" вместе.......
В архиве IdaPro6.8+HexRay, правленые базы под нее, исправленные модули и пару "полезностей" для понимающих

vt тогда уж кинь

 

[Ravin]

Пожалуйста, авторизуйтесь для просмотра ссылки.

(це не реклама)

Ссылку в хайд

 

[Крайслер]

vt тогда уж кинь

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[P45H3]

Пожалуйста, авторизуйтесь для просмотра ссылки.

"Сломаем систему" вместе.......
В архиве IdaPro6.8+HexRay, правленые базы под нее, исправленные модули и пару "полезностей" для понимающих

Да я вообще не против)