вызов функций - Страница 7

Sherman · 04.02.2013, 09:24

Цитата:

Код:

proc DllEntryPoint hinstDLL,fdwReason,lpvReserved
	invoke DisableThreadLibraryCalls,[hinstDLL]
	invoke LoadLibraryA,DllName
	mov eax,1
	ret
endp

Красным помечено непонятное место. Зачем ты dll ку заставляешь себя же загрузить, из функции которая отрабатывает когда ты ее подгружаешь (выгружаешь)

St1mul · 04.02.2013, 15:21

l2cc это другая dll с хуком на функции engine.dll

Sherman · 04.02.2013, 17:32

Следовательно не хватает листинга третьей длл

St1mul · 04.02.2013, 19:07

Цитата:

Следовательно не хватает листинга третьей длл

что простите?

Sherman · 04.02.2013, 20:21

Цитата:

Сообщение от St1mul

что простите?

Цитата:

2cc это другая dll с хуком на функции engine.dll

Ее не видно.

St1mul · 04.02.2013, 22:18

видно ее и она подключается ( визуально можно увидеть ДиалогБокс)

Sherman · 04.02.2013, 22:54

А, туплю

St1mul · 05.02.2013, 15:30

Выяснил причину: когда в Dllmain доходит до ret, dll автоматически выгружается (особенность хуков SetWindowsHookEx), а т.к. мы создали поток относящийся к этой dll он и критует

Morfik · 05.02.2013, 16:27

St1mul, не выгружай длл, используй для хука не клавиатуру а WH_CALLWNDPROC, но не забывай в длл передавать хуки дальше по цепочке

St1mul · 08.02.2013, 20:48

Ни фига не получается, решил сделать немного по-другому:
схема такова: 1)хук -> 2)поиск потоков текущего -> 3)заставляем поток engine или core выполнить наши команды -> 4) выходим из хук процедуры
Застрял на 2, не могу получить список потоков системы, в отладчике постоянно пишет после Thread32First - Error_bad_length
FASM:

Код:

format PE GUI 4.0 DLL
entry DllEntryPoint
include 'win32a.inc'
struct PROCESSENTRY32
dwSize                  dd ?
cntUsage                dd ?
th32ProcessID           dd ?
th32DefaultHeapID       dd ?
th32ModuleID            dd ?
cntThreads              dd ?
th32ParentProcessID     dd ?
pcPriClassBase          dd ?
dwFlags                 dd ?
szExeFile               rb 260h
ends
section '.data' data readable writeable
Handle          dd ?
DllName         db 'One.dll',0
msg             db 'Hook works!',0
msg1            db 'Nice',0
msg3            db 'bad',0
pe32            PROCESSENTRY32 ?

section '.code' code readable executable
proc DllEntryPoint hinstDLL,fdwReason,lpvReserved
        invoke DisableThreadLibraryCalls,[hinstDLL]
        invoke CreateToolhelp32Snapshot,8,0
        mov [Handle],eax
        mov eax,sizeof.PROCESSENTRY32
        mov [pe32.dwSize], eax
        invoke Thread32First,[Handle],pe32 ; - здесь проблемка
        cmp eax,0 ; проверка результата
        jz .Figovo
        mov eax,1
        ret
.Figovo:
        invoke MessageBoxA,0,msg3,msg3,MB_OK
        mov eax,1
        ret
endp

MSDN CreateToolhelp32Snapshot
Попутно смотрел
1) Руткит
2) Аналог то, что я щас пишу
Кто сталкивался с проблемкой?