[求助]DLL拦截 ws2_32.dll，出现的疑惑, 请大神解惑-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]DLL拦截 ws2_32.dll，出现的疑惑, 请大神解惑

发表于: 2017-6-8 16:39 4064

[求助]DLL拦截 ws2_32.dll，出现的疑惑, 请大神解惑

tianyabin

2017-6-8 16:39

4064

1、在我的DLLMain中加载系统的 ws2_32.dll, 并把 ws2_32.dll中的所有函数地址都保存下来, 例如:

1	`FARPROC connectAddr = GetAddress("connect");`

2、在我的导出函数中直接调用真正的函数地址, 例如:

ALCDECL MyHijack_connect(void)
{
    __asm JMP connectAddr;
}

主程序可以正常运行, 并且可以调用到我的dll

但是如果我想在程序中做些什么, 比如想查看新连接的地址和端口, 如下

ALCDECL TESTInet_ntoa(in_addr addr)
{
    __asm JMP inet_ntoaAddr;
}
void __cdecl PrintConnect()
{
    void* espaddr = NULL;
    __asm mov espaddr, ebp;
    int Sock = *((int*)((char*)espaddr + 8));
    struct sockaddr_in* addr = *(struct sockaddr_in**)((char*)espaddr + 12);
    int nameLen = *((int*)((char*)espaddr + 16));
    USHORT port = addr->sin_port;
    char* linkaddr = NULL;
    __asm
    {
        mov eax, 0;
        mov ax, word ptr port;
        push eax;
        call ntohsAddr;
        mov port, ax;
    }
    TESTInet_ntoa(addr->sin_addr);
    __asm mov linkaddr, eax;
    char buf[22] = { 0 };
    sprintf_s(buf, "%s:%d", linkaddr, port);
    MessageBoxA(NULL, buf, "新连接", MB_OK);
    __asm mov esp, ebp;
    __asm pop ebp;
    __asm ret;
}
ALCDECL MyHijack_connect(void)
{
    __asm
    {
        sub ESP, 12;
        push esi;
        push edi;
        push eax;
        MOV esi, esp;
        add esi, 28;
        MOV edi, esp;
        add edi, 12;
        MOV eax, [esi];
        MOV [edi], eax;
        add esi, 4;
        add edi, 4;
        MOV eax, [esi];
        MOV [edi], eax;
        add esi, 4;
        add edi, 4;
        MOV eax, [esi];
        MOV [edi], eax;
        pop eax;
        pop edi;
        pop esi;
        call PrintConnect;
    }
    __asm add esp, 12;
    __asm JMP connectAddr;
}

可以弹出俩个新连接的窗口, 但是之后程序就没反应了, 任务管理器里进程也没了, 我查看了调用完 PrintConnect 出来后的esp也就是 __asm add esp, 12; 这时候的esp值和刚进MyHijack_connect时的值一样, 不知道为什么会启动不了

还有就是如下代码也不行

void __cdecl PrintConnect()
{
    __asm JMP connectAddr;
}
ALCDECL MyHijack_connect(void)
{
    __asm JMP PrintConnect;
}

完全没有动esp, 为什么多了一层 jmp 后程序就不正常了呢

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・0

免费

支持

最新回复 (13)
hzqst 雪币： 12876 活跃值： (9332) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 599 关注私信	hzqst 3 2 楼 DllMain不可调用LoadLibrary 2017-6-8 16:56 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 3 楼 hzqst DllMain不可调用LoadLibrary 为什么, 那应该在哪里调用 LoadLibrary 2017-6-8 17:04 0
hzqst 雪币： 12876 活跃值： (9332) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 599 关注私信	hzqst 3 4 楼 tianyabin 为什么, 那应该在哪里调用 LoadLibrary 开一个线程去做 2017-6-8 17:07 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 5 楼 hzqst DllMain不可调用LoadLibrary 我现在的 DLLMain 代码是这样的 BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved) { if (dwReason == DLL_PROCESS_ATTACH) { DisableThreadLibraryCalls(hModule); if (Load()) { Hijack(); } } else if (dwReason == DLL_PROCESS_DETACH) { Free(); } return TRUE; } Load函数是这样的 inline BOOL WINAPI Load() { m_hModule = LoadLibrary("C:\\Windows\\System32\\ws2_32.dll"); if (m_hModule == NULL) return FALSE; FreeAddrInfoExAddr = GetAddress("FreeAddrInfoEx"); FreeAddrInfoExWAddr = GetAddress("FreeAddrInfoExW"); ........ return (m_hModule != NULL); } 2017-6-8 17:09 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 6 楼 hzqst 开一个线程去做好的, 我试下 2017-6-8 17:10 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 7 楼 hzqst 开一个线程去做增加了线程, 但是新线程好像没有执行 2017-6-8 17:33 0
rlive 雪币： 26 活跃值： (79) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	rlive 8 楼用LSP撸它，还简单些 2017-6-8 17:36 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 9 楼 rlive 用LSP撸它，还简单些不会啊 2017-6-8 17:38 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 10 楼 hzqst DllMain不可调用LoadLibrary 一定条件下是可以调用 LoadLibrary 的, 比如目标DLL要导入的DLL已经被加载了, 一个最简单的例子就是劫持lpk时,在入口可以调用LoadLibrary 来加载系统的lpk.dll 2017-6-8 18:55 0
游乐娃子雪币： 8169 活跃值： (6062) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 63 关注私信	游乐娃子 11 楼 void __cdecl PrintConnect(),问题应该出在这.没必要写成,cdecl,可以带参数,也没必要最好自己修改spb,ebp 2017-6-8 21:47 0
sealmoon 雪币： 23 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	sealmoon 12 楼简单点 ,自己写个程序调用connect, 用帖子里的代码去HOOK connect ,然后调试器去调试看问题在哪. 2017-6-9 00:11 0
hbfp 雪币： 223 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 149 粉丝 1 关注私信	hbfp 13 楼估计堆栈的原因. 2017-6-9 20:57 0
孤山散人雪币： 210 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 14 楼增加log输出，确定下问题在哪儿，确定下程序执行到的位置。静态分析哪有动态运作直观。。 2017-6-10 16:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tianyabin

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
hzqst 雪币： 12876 活跃值： (9332) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 599 关注私信	hzqst 3 2 楼 DllMain不可调用LoadLibrary 2017-6-8 16:56 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 3 楼 hzqst DllMain不可调用LoadLibrary 为什么, 那应该在哪里调用 LoadLibrary 2017-6-8 17:04 0
hzqst 雪币： 12876 活跃值： (9332) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 599 关注私信	hzqst 3 4 楼 tianyabin 为什么, 那应该在哪里调用 LoadLibrary 开一个线程去做 2017-6-8 17:07 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 5 楼 hzqst DllMain不可调用LoadLibrary 我现在的 DLLMain 代码是这样的 BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved) { if (dwReason == DLL_PROCESS_ATTACH) { DisableThreadLibraryCalls(hModule); if (Load()) { Hijack(); } } else if (dwReason == DLL_PROCESS_DETACH) { Free(); } return TRUE; } Load函数是这样的 inline BOOL WINAPI Load() { m_hModule = LoadLibrary("C:\\Windows\\System32\\ws2_32.dll"); if (m_hModule == NULL) return FALSE; FreeAddrInfoExAddr = GetAddress("FreeAddrInfoEx"); FreeAddrInfoExWAddr = GetAddress("FreeAddrInfoExW"); ........ return (m_hModule != NULL); } 2017-6-8 17:09 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 6 楼 hzqst 开一个线程去做好的, 我试下 2017-6-8 17:10 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 7 楼 hzqst 开一个线程去做增加了线程, 但是新线程好像没有执行 2017-6-8 17:33 0
rlive 雪币： 26 活跃值： (79) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	rlive 8 楼用LSP撸它，还简单些 2017-6-8 17:36 0
tianyabin 雪币： 9 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	tianyabin 9 楼 rlive 用LSP撸它，还简单些不会啊 2017-6-8 17:38 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 10 楼 hzqst DllMain不可调用LoadLibrary 一定条件下是可以调用 LoadLibrary 的, 比如目标DLL要导入的DLL已经被加载了, 一个最简单的例子就是劫持lpk时,在入口可以调用LoadLibrary 来加载系统的lpk.dll 2017-6-8 18:55 0
游乐娃子雪币： 8169 活跃值： (6062) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 63 关注私信	游乐娃子 11 楼 void __cdecl PrintConnect(),问题应该出在这.没必要写成,cdecl,可以带参数,也没必要最好自己修改spb,ebp 2017-6-8 21:47 0
sealmoon 雪币： 23 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	sealmoon 12 楼简单点 ,自己写个程序调用connect, 用帖子里的代码去HOOK connect ,然后调试器去调试看问题在哪. 2017-6-9 00:11 0
hbfp 雪币： 223 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 149 粉丝 1 关注私信	hbfp 13 楼估计堆栈的原因. 2017-6-9 20:57 0
孤山散人雪币： 210 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 14 楼增加log输出，确定下问题在哪儿，确定下程序执行到的位置。静态分析哪有动态运作直观。。 2017-6-10 16:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]DLL拦截 ws2_32.dll， 出现的疑惑, 请大神解惑

账号登录 验证码登录

[求助]DLL拦截 ws2_32.dll，出现的疑惑, 请大神解惑

账号登录

验证码登录