Jugando con el messenger
 

Hace unos días hablábamos de la inyección de código y hacer hooks a las APIs. Pues bien me he puesto a jugar un poco, y esto es lo que he conseguido por ahora, una dll que se inyecta en el messenger, hace un hook en las APIs Send, WSASend y WSARecv, y cuando el messenger envía o recibe algo la dll utiliza la función OutputDebugString para mostrarnos lo que se envía o se recibe.

Es solo una prueba de concepto:

Código Delphi [-]
library HookIt;

uses
  Windows,
  Sysutils,
  Messages,
  Psapi,
  ImageHlp,
  winsock;

type
  IMAGE_IMPORT_DESCRIPTOR = record
    Characteristics: DWORD;
    TimeDateStamp: DWORD;
    ForwarderChain: DWORD;
    Name: DWORD;
    FirstThunk: DWORD;
  end;
  PIMAGE_IMPORT_DESCRIPTOR = ^IMAGE_IMPORT_DESCRIPTOR;
  
  u_int = Integer;
  TSocket = u_int;

  TWSABUF = record
    len: u_long;
    buf: PChar;
  end;
  PWSABUF = ^TWSABUF;

  TSendFunc = function (s: TSocket; Buf: Pchar; len, flags: Integer): Integer; stdcall;
  TWSASendFunc = function(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
    lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
    lpCompletionRoutine: Pointer): Integer; stdcall;
  TWSARecvFunc = function(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
    lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
    lpCompletionRoutine: Pointer): Integer; stdcall;

const         
  // Cambiar la ruta del messenger si es necesario
  strTarget = 'C:\Archivos de programa\MSN Messenger\msnmsgr.exe';

var
  Injected: Boolean;
  ModuleHandle: DWORD;
  OldSend: TSendFunc;
  OldWSASend: TWSASendFunc;
  OldWSARecv: TWSARecvFunc;

function newSend(s: TSocket; Buf: PChar; len, flags: Integer): Integer; stdcall;
begin
  OutputDebugString(PChar('Send: ' + String(Buf)));
  if @OldSend <> nil then
    Result:= OldSend(s,Buf,len,flags)
  else
    Result:= -1;
end;

function newWSASend(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
  lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
  lpCompletionRoutine: Pointer): Integer; stdcall;
var
  i: DWORD;
  P: PWSABUF;
begin
  i:= dwBufferCount;
  P:= lpBuffers;
  while i > 0 do
  begin
    OutputDebugString(PChar('Recv: ' + String(P.Buf)));
    dec(i);
    inc(P);
  end;
  if @OldWSASend <> nil then
    Result:= OldWSASend(s,lpBuffers,dwBufferCount,lpNumberOfBytesSent,dwFlags,
      lpOverlapped,lpCompletionRoutine)
  else
    Result:= -1;
end;

function newWSARecv(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
  lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
  lpCompletionRoutine: Pointer): Integer; stdcall;
var
  i: DWORD;
  P: PWSABUF;
begin
  if @OldWSARecv <> nil then
    Result:= OldWSARecv(s,lpBuffers,dwBufferCount,lpNumberOfBytesSent,dwFlags,
      lpOverlapped,lpCompletionRoutine)
  else
    Result:= -1;
  i:= dwBufferCount;
  P:= lpBuffers;
  while i > 0 do
  begin
    OutputDebugString(PChar('Recv: ' + String(P.Buf)));
    dec(i);
    inc(P);
  end;
end;

// Ajustamos los privilegios
function EnablePrivilege(PrivilegeName: PChar; Enable: Boolean): Boolean;
var
  hToken: THandle;
  Tp: TOKEN_PRIVILEGES;
  Luid: TLargeInteger;
begin
  Result:= FALSE;
  if OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or
    TOKEN_QUERY or TOKEN_READ, hToken) then
    if LookupPrivilegeValue(nil,PrivilegeName,Luid) then
    begin
      Tp.PrivilegeCount:= 1;
      Tp.Privileges[0].Luid:= Luid;
      if Enable then
        Tp.Privileges[0].Attributes:= SE_PRIVILEGE_ENABLED
      else
        Tp.Privileges[0].Attributes:= 0;
      Result:= AdjustTokenPrivileges(hToken,FALSE,Tp,0,nil,PDWORD(nil)^);
      CloseHandle(hToken);
    end;
end;

function HookFunction(ModName, ProcName: PChar; Nuevo: Pointer): Pointer;
var
  i: Integer;
  hProcess: THandle;
  hModules: array[0..1024] of HMODULE;
  cbNeeded: DWORD;
  hMod: HMODULE;
  ImportDesc: PIMAGE_IMPORT_DESCRIPTOR;
  Size: Cardinal;
  szModName: PChar;
  Thunk: PPointer;
  MBI: MEMORY_BASIC_INFORMATION;
begin
  Result:= nil;
  hMod:= GetModuleHandle(ModName);
  if hMod <> 0 then
  begin
    Result:= GetProcAddress(hMod, ProcName);
    if Result <> nil then
    begin
      hProcess:= OpenProcess(PROCESS_QUERY_INFORMATION  or PROCESS_VM_READ,
        FALSE, GetCurrentProcessId);
      if hProcess <> 0 then
      begin
        if EnumProcessModules(hProcess, @hModules, Sizeof(hModules), cbNeeded) then
          for i:= 0 to (cbNeeded div Sizeof(HMODULE)) - 1 do
          begin
            ImportDesc:= ImageDirectoryEntryToData(Pointer(hModules[i]),
              TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, Size);
            if ImportDesc <> nil then
            begin
              while ImportDesc.Name > 0 do
              begin
                szModName:= PChar(hModules[i] + ImportDesc.Name);
                if StrIComp(szModName,ModName) = 0  then
                begin
                  Thunk:= Pointer(hModules[i] + ImportDesc.FirstThunk);
                  while Thunk^ <> nil do
                  begin 
                    if Thunk^ = Result then
                    begin
                      OutputDebugString('Hookeado');
                      VirtualQuery(Thunk,MBI,Sizeof(MEMORY_BASIC_INFORMATION));
                      VirtualProtect(MBI.BaseAddress,MBI.RegionSize,PAGE_READWRITE,
                        MBI.Protect);
                      Thunk^:=  Nuevo;
                      VirtualProtect(mbi.BaseAddress,mbi.RegionSize,mbi.Protect,
                        MBI.Protect);
                    end;
                    inc(Thunk);
                  end;
                end;
                inc(ImportDesc);
              end;
            end;
          end;
      end;
    end;
  end;
end;

procedure Inject(LibPath: PChar); stdcall;
var
  Procesos: array[1..1024] of DWORD;
  Needed, i: DWORD;
  Process, Thread: THandle;
  ModName, Target: array[0..MAX_PATH] of Char;
  RemLibPath: PChar;
begin
  if ModuleHandle = 0 then
    if EnablePrivilege('SeDebugPrivilege', TRUE) then
    begin
      FillChar(Target,Sizeof(Target),#0);
      //GetSystemDirectory(@Target,Sizeof(Target)-1);
      StrLCat(Target,strTarget,Sizeof(Target)-1);
      if EnumProcesses(@Procesos, SizeOf(Procesos), Needed ) then
      begin
        for i:= 1 to (Needed div Sizeof(DWORD)) do
        begin
          Process := OpenProcess(PROCESS_ALL_ACCESS, FALSE,Procesos[i]);
          if Process <> 0 then
          begin
            if GetModuleFileNameEx(Process,0,ModName,SizeOf(ModName)-1) > 0  then
            begin
              if AnsiStrPos(ModName,Target) <> nil then
              begin
                RemLibPath:= VirtualAllocEx(Process, nil,StrLen(LibPath)+1,
                  MEM_COMMIT, PAGE_READWRITE);
                if RemLibPath <> nil then
                begin
                  if WriteProcessMemory(Process, RemLibPath, LibPath,
                    StrLen(LibPath),PDWORD(nil)^) then
                  begin
                    Thread:= CreateRemoteThread(Process, nil, 0,
                      GetProcAddress(GetModuleHandle('Kernel32'),'LoadLibraryA'),
                      RemLibPath, 0, PDWORD(nil)^);
                    if Thread <> 0 then
                    begin
                      WaitForSingleObject(Thread,INFINITE );
                      GetExitCodeThread(Thread,ModuleHandle);
                      CloseHandle(Thread);
                    end;
                  end;
                  VirtualFreeEx(Process,RemLibPath,StrLen(LibPath)+1,MEM_RELEASE);
                end;
              end;
            end;
            CloseHandle(Process);
          end;
        end;
      end;
      EnablePrivilege('SeDebugPrivilege', FALSE);
    end;
end;

procedure ProcessAttach; stdcall;
var
  Process: THandle;
  ModName: array[0..MAX_PATH] of Char;
  Target: array[0..MAX_PATH] of Char;
begin
  Injected:= FALSE;
  ModuleHandle:= 0;
  Process := OpenProcess(PROCESS_QUERY_INFORMATION or PROCESS_VM_READ, FALSE,
    GetCurrentProcessId);
  if Process <> 0 then
  begin
    if GetModuleFileNameEx(Process, 0, ModName,SizeOf(ModName)-1) > 0  then
    begin
      FillChar(Target,Sizeof(Target),#0);
      //GetSystemDirectory(@Target,Sizeof(Target)-1);
      StrLCat(Target,strTarget,Sizeof(Target)-1);
      if AnsiStrPos(ModName,Target) <> nil then
      begin
        OldSend:= HookFunction('wsock32.dll','send',@newSend);
        OldSend:= HookFunction('Ws2_32.dll','send',@newSend);
        OldWSASend:= HookFunction('Ws2_32.dll','WSASend',@newWSASend);
        OldWSARecv:= HookFunction('Ws2_32.dll','WSARecv',@newWSARecv);
      end;
    end;
    CloseHandle(Process);
  end;
end;

procedure ProcessDetach; stdcall;
begin
//
end;

procedure DLLEntryPoint(Reason: integer);
begin
  case Reason of
    Dll_Process_Detach: ProcessDetach;
    Dll_Process_Attach: ProcessAttach;
  end;
end;

exports
  Inject;

begin
  ProcessAttach;
  DLLProc:= @DLLEntryPoint;
end.

Necesitaremos una aplicación que realice la inyección, una vez inyectada la dll la aplicación se puede cerrar. Por ejemplo:

Código Delphi [-]
program Probador;

{$APPTYPE CONSOLE}

uses Windows, SysUtils;

procedure Inject(LibPath: PChar); stdcall; external 'HookIt.dll';

var
  LibPath: String;
begin
  LibPath:= ExtractFilePath(ParamStr(0)) + 'HookIt.dll';
  Inject(PChar(LibPath));
end.

Por último para ver los mensajes enviados por la función OutputDebugString necesitaremos un programa como DebugView de Sysinternals.

¿Se le ocurre a alguien algo "divertido" que hacer con esto? :confused:

Esto me huele a capturar lo que se escribe en el messenger:rolleyes::rolleyes::rolleyes:, vaya habria muchas utilidades que se podrian crear:D:D.

Pero temo que sobrepasa mi precario conocimiento, no sabes como admiro que "juegues" con todo esto.

Pues nada, solo es un poco de envidia (de la buena:D).

Salud OS.

Los mensajes comienzan todos por "MSG", y ya no digo mas ... :rolleyes: ;)

Y ya que estamos, si cambiamos las siguientes funciones, tendremos una visión un poco mas clara de lo que esta pasando, eliminando los caracteres no imprimibles o extraños:

Código Delphi [-]
function BufToString(Buf: PChar; Len: Integer): String;
var
  i: Integer;
begin
  Result:= EmptyStr;
  for i:= 1 to Len do
  begin
    if (Buf^ in [#32..#126]) then
      Result:= Result + Buf^
    else
      Result:= Result + '.';
    inc(Buf);
  end;
end;

function newSend(s: TSocket; Buf: PChar; len, flags: Integer): Integer; stdcall;
begin
  OutputDebugString(PChar('Send: ' + BufToString(Buf,len)));
  if @OldSend <> nil then
    Result:= OldSend(s,Buf,len,flags)
  else
    Result:= -1;
end;

function newWSASend(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
  lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
  lpCompletionRoutine: Pointer): Integer; stdcall;
var
  i: DWORD;
  P: PWSABUF;
begin
  i:= dwBufferCount;
  P:= lpBuffers;
  while i > 0 do
  begin
    OutputDebugString(PChar('Recv: ' + BufToString(P.Buf,P.len)));
    dec(i);
    inc(P);
  end;
  if @OldWSASend <> nil then
    Result:= OldWSASend(s,lpBuffers,dwBufferCount,lpNumberOfBytesSent,dwFlags,
      lpOverlapped,lpCompletionRoutine)
  else
    Result:= -1;
end;

function newWSARecv(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
  lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
  lpCompletionRoutine: Pointer): Integer; stdcall;
var
  i: DWORD;
  P: PWSABUF;
begin
  if @OldWSARecv <> nil then
    Result:= OldWSARecv(s,lpBuffers,dwBufferCount,lpNumberOfBytesSent,dwFlags,
      lpOverlapped,lpCompletionRoutine)
  else
    Result:= -1;
  i:= dwBufferCount;
  P:= lpBuffers;
  while i > 0 do
  begin
    OutputDebugString(PChar('Recv: ' + BufToString(P.Buf,P.len)));
    dec(i);
    inc(P);
  end;
end;

Grande....
 

Primero que nada, mi admiración y respeto.
Me da una idea lo que comentas en tu post, pero para ser sincero viendo el codigo que pusiste, no tengo ni idea de lo que hiciste; me pregunto cuanto fue lo que dedicaste en tiempo y esfuerzo para llegar a dominar tal nivel dentro de la programación, mi admiración mas sincera y mi envidia mas sana de la que pueda hacer gala, al igual que a otros de los compañeros del club que no los menciono puesto que podria no nombrar a alguno y no sería correcto pero que muchos sabemos quienes son. Gracias por su apoyo y enseñanza.

Un saludo y abrazo a todos ustedes que hacen posible este gran espacio.

¿Nadie se anima a "meter el dedo" en el código? :(

Bueno, yo sigo dándole un lavado de cara, quitando algunas cosas que sobraban y añadiendo algunas otras.

Ahora el objetivo es el FileZilla, es interesante ver como en una conexión FTP todo, incluso las contraseñas, se envían sin cifrar, mientras que usando FTPS todo se vuelve un revoltijo de bytes sin sentido.

El código de la dll:

Código Delphi [-]
library HookIt;

uses
  Windows,
  Sysutils,
  Messages,
  Psapi,
  ImageHlp,
  winsock;

type
  IMAGE_IMPORT_DESCRIPTOR = record
    Characteristics: DWORD;
    TimeDateStamp: DWORD;
    ForwarderChain: DWORD;
    Name: DWORD;
    FirstThunk: DWORD;
  end;
  PIMAGE_IMPORT_DESCRIPTOR = ^IMAGE_IMPORT_DESCRIPTOR;

  TWSABUF = record
    len: u_long;
    buf: PChar;
  end;
  PWSABUF = ^TWSABUF;

  TSendFunc = function (s: TSocket; Buf: Pchar; len, flags: Integer): Integer; stdcall;
  TRecvFunc = function (s: TSocket; Buf: Pchar; len, flags: Integer): Integer; stdcall;
  TWSASendFunc = function(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
    lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
    lpCompletionRoutine: Pointer): Integer; stdcall;
  TWSARecvFunc = function(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
    lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
    lpCompletionRoutine: Pointer): Integer; stdcall;

  TBufType = (btSend, btRecv);

const         
  //strTarget = 'C:\Archivos de programa\MSN Messenger\msnmsgr.exe';
  strTarget = 'C:\Archivos de programa\FileZilla\FileZilla.exe';

var
  OldSend: TSendFunc;
  OldRecv: TRecvFunc;
  OldWSASend: TWSASendFunc;
  OldWSARecv: TWSARecvFunc;

function BufToString(Buf: PChar; Len: Integer): String;
var
  i: Integer;
begin
  Result:= EmptyStr;
  for i:= 1 to Len do
  begin
    if (Buf^ in [#32..#126]) then
      Result:= Result + Buf^
    else
      Result:= Result + '.';
    inc(Buf);
  end;
end;

// Todos los hooks apuntan hacia aqui
procedure SaveBuf(S: TSocket; Buf: PChar; Len: Integer; Tipo: TBufType);
var
  Str: String;
begin
  Str:= BufToString(Buf,len);
  if Tipo = btSend then
    Str:= Format('Send(%d): %s',[S,Str])
  else if Tipo = btRecv then
    Str:= Format('Recv(%d): %s',[S,Str]);
  OutputDebugString(PChar(Str));
end;

function NewSend(s: TSocket; Buf: PChar; len, flags: Integer): Integer; stdcall;
begin
  SaveBuf(s,Buf,len,btSend);
  if @OldSend <> nil then
    Result:= OldSend(s,Buf,len,flags)
  else
    Result:= SOCKET_ERROR;
end;

function NewRecv(s: TSocket; Buf: PChar; len, flags: Integer): Integer; stdcall;
begin
  if @OldRecv <> nil then
    Result:= OldRecv(s,Buf,len,flags)
  else
    Result:= SOCKET_ERROR;
  if Result > 0 then
    SaveBuf(s,Buf,Result,btRecv);
end;

function NewWSASend(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
  lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
  lpCompletionRoutine: Pointer): Integer; stdcall;
var
  i: DWORD;
  P: PWSABUF;
begin
  i:= dwBufferCount;
  P:= lpBuffers;
  while i > 0 do
  begin
    SaveBuf(s,P.Buf,P.len,btSend);
    dec(i);
    inc(P);
  end;
  if @OldWSASend <> nil then
    Result:= OldWSASend(s,lpBuffers,dwBufferCount,lpNumberOfBytesSent,dwFlags,
      lpOverlapped,lpCompletionRoutine)
  else
    Result:= SOCKET_ERROR;
end;

function newWSARecv(s: TSocket; lpBuffers: PWSABUF; dwBufferCount: DWORD;
  lpNumberOfBytesSent: Pointer; dwFlags: DWORD; lpOverlapped: Pointer;
  lpCompletionRoutine: Pointer): Integer; stdcall;
var
  i: DWORD;
  P: PWSABUF;
begin
  if @OldWSARecv <> nil then
    Result:= OldWSARecv(s,lpBuffers,dwBufferCount,lpNumberOfBytesSent,dwFlags,
      lpOverlapped,lpCompletionRoutine)
  else
    Result:= SOCKET_ERROR;
  if Result <> SOCKET_ERROR then
  begin
    i:= dwBufferCount;
    P:= lpBuffers;
    while i > 0 do
    begin
      SaveBuf(s,P.Buf,P.len,btRecv);
      dec(i);
      inc(P);
    end;
  end;
end;

function HookFunction(ModName, ProcName: PChar; Nuevo: Pointer): Pointer;
var
  i: Integer;
  hProcess: THandle;
  hModules: array[0..1024] of HMODULE;
  cbNeeded: DWORD;
  hMod: HMODULE;
  ImportDesc: PIMAGE_IMPORT_DESCRIPTOR;
  Size: Cardinal;
  szModName: PChar;
  Thunk: PPointer;
  MBI: MEMORY_BASIC_INFORMATION;
begin
  Result:= nil;
  hMod:= GetModuleHandle(ModName);
  if hMod <> 0 then
  begin
    Result:= GetProcAddress(hMod, ProcName);
    if Result <> nil then
    begin
      hProcess:= OpenProcess(PROCESS_QUERY_INFORMATION  or PROCESS_VM_READ,
        FALSE, GetCurrentProcessId);
      if hProcess <> 0 then
      begin
        if EnumProcessModules(hProcess, @hModules, Sizeof(hModules), cbNeeded) then
          for i:= 0 to (cbNeeded div Sizeof(HMODULE)) - 1 do
          begin
            ImportDesc:= ImageDirectoryEntryToData(Pointer(hModules[i]),
              TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, Size);
            if ImportDesc <> nil then
            begin
              while ImportDesc.Name > 0 do
              begin
                szModName:= PChar(hModules[i] + ImportDesc.Name);
                if StrIComp(szModName,ModName) = 0  then
                begin
                  Thunk:= Pointer(hModules[i] + ImportDesc.FirstThunk);
                  while Thunk^ <> nil do
                  begin 
                    if Thunk^ = Result then
                    begin
                      OutputDebugString(PChar(String(ProcName) + ': ' + 'Hookeado'));
                      VirtualQuery(Thunk,MBI,Sizeof(MEMORY_BASIC_INFORMATION));
                      VirtualProtect(MBI.BaseAddress,MBI.RegionSize,PAGE_READWRITE,
                        MBI.Protect);
                      Thunk^:=  Nuevo;
                      VirtualProtect(mbi.BaseAddress,mbi.RegionSize,mbi.Protect,
                        MBI.Protect);
                    end;
                    inc(Thunk);
                  end;
                end;
                inc(ImportDesc);
              end;
            end;
          end;
      end;
    end;
  end;
end;

procedure Inject(LibPath: PChar); stdcall;
var
  Procesos: array[1..1024] of DWORD;
  Needed, i: DWORD;
  Process, Thread: THandle;
  ModName, Target: array[0..MAX_PATH] of Char;
  RemLibPath: PChar;
  ExitCode: Cardinal;
begin
  FillChar(Target,Sizeof(Target),#0);
  StrLCopy(Target,strTarget,Sizeof(Target)-1);
  if EnumProcesses(@Procesos, SizeOf(Procesos), Needed ) then
  begin
    for i:= 1 to (Needed div Sizeof(DWORD)) do
    begin
      Process := OpenProcess(PROCESS_ALL_ACCESS, FALSE,Procesos[i]);
      if Process <> 0 then
      begin
        if GetModuleFileNameEx(Process,0,ModName,SizeOf(ModName)-1) > 0  then
        begin
          if AnsiStrPos(ModName,Target) <> nil then
          begin
            RemLibPath:= VirtualAllocEx(Process, nil,StrLen(LibPath)+1,
              MEM_COMMIT, PAGE_READWRITE);
            if RemLibPath <> nil then
            begin
              if WriteProcessMemory(Process, RemLibPath, LibPath,
                StrLen(LibPath),PDWORD(nil)^) then
              begin
                Thread:= CreateRemoteThread(Process, nil, 0,
                  GetProcAddress(GetModuleHandle('Kernel32'),'LoadLibraryA'),
                  RemLibPath, 0, PDWORD(nil)^);
                if Thread <> 0 then
                begin
                  WaitForSingleObject(Thread,INFINITE );
                  GetExitCodeThread(Thread,ExitCode);
                  CloseHandle(Thread);
                end;
              end;
              VirtualFreeEx(Process,RemLibPath,StrLen(LibPath)+1,MEM_RELEASE);
            end;
          end;
        end;
        CloseHandle(Process);
      end;
    end;
  end;
end;

procedure ProcessAttach; stdcall;
var
  Process: THandle;
  ModName: array[0..MAX_PATH] of Char;
  Target: array[0..MAX_PATH] of Char;
begin
  Process := OpenProcess(PROCESS_QUERY_INFORMATION or PROCESS_VM_READ, FALSE,
    GetCurrentProcessId);
  if Process <> 0 then
  begin
    if GetModuleFileNameEx(Process, 0, ModName,SizeOf(ModName)-1) > 0  then
    begin
      FillChar(Target,Sizeof(Target),#0);
      StrLCopy(Target,strTarget,Sizeof(Target)-1);
      if AnsiStrPos(ModName,Target) <> nil then
      begin
        OldSend:= HookFunction('Ws2_32.dll','send',@NewSend);
        OldRecv:= HookFunction('Ws2_32.dll','recv',@newRecv);
        OldWSASend:= HookFunction('Ws2_32.dll','WSASend',@NewWSASend);
        OldWSARecv:= HookFunction('Ws2_32.dll','WSARecv',@NewWSARecv);
      end;
    end;
    CloseHandle(Process);
  end;
end;

procedure ProcessDetach; stdcall;
begin
//
end;

procedure DLLEntryPoint(Reason: integer);
begin
  case Reason of
    Dll_Process_Detach: ProcessDetach;
    Dll_Process_Attach: ProcessAttach;
  end;
end;

exports
  Inject;

begin
  ProcessAttach;
  DLLProc:= @DLLEntryPoint;
end.

Y por si alguien tiene curiosidad sobre lo que comentaba del ftp:

FTP normal:
Y esto es FTPS:

Pues yo sigo jugando, así que probé a inyectarme en el Opera, Firebird y IExplorer. Los resultados no fueron los que esperaba, solo tuve éxito en el firebird.

Ejemplo de llamada a google desde firebird:
*(... continua ...) = El mensaje era mas largo pero lo corte, para postearlo aquí

Lo que me tiene extrañado es por que Opera e IExplorer son inmunes. Ahora estoy interceptando las llamada send, recv, wsasend, wsarecv así que supongo que estos dos no utilizan estas funciones, y me pregunto cuales usaran. O acaso están protegidos contra las inyecciones de código.

Seguiré investigando, es decir jugando :p

Hooks a nivel de sistema
 

Que tal

Esta muy interesante el codigo (ojala lo pudieramos ir documentando)
sobre todo cuando haces el inject con WriteProcessMemory

Estuve haciendo unas pruebas pero al principio no veia nada en el debug View, asi que modifique la dll del hook para que escribiera a un archivo de .log y al poco tiempo empezo a mostrarse tambien en el debug viewer, algunas veces parece que no logra hacer el hook hasta despues de varios intentos.
Crees que se podria hacer estos hooks de winsock a nivel de sistema, que sirviera para monitorear la red o hacer algo como un firewall?

Estoy un poco lerdo... se me están pasando mensajes que no se me deberían pasar...

Excelente seoane, si ya por de sí es difícil andar jugando con sockets, parece aún mas parchear las propias funciones de estos. Muy original lo de OutputDebugString,

En todo caso "recuerda" que también es posible interceptar el puerto en cuestión...:D y ahí seguro que ni el Opera ni nadie se resiste.

Una más para tu repositorio...:D :eek:

Hola cheke, me alegro de que alguien se animara a revisar el código.
:o Lo siento, es una costumbre muy fea que tengo, nunca documento el código. Intentare documentar esa función.
Esto es interesante, no debería fallar nuca. Me gustaría saber en que procesos te fallaba la inyección, cual de los código que puse estabas utilizando y si te mostraba en el DebugView "Hookeado" o simplemente ya no te mostraba nada. Yo solo he tenido problemas con el opera y el explorer, pero con los que me ha funcionado, lo ha hecho siempre, al primer intento :confused:
No veo porque no, siendo administradores, o ejecutándolo como un servicio, no hay problema de inyectarnos en todos los procesos del sistema. Y como monitor de red puede ser interesante, pero como firewall, resultaría un firewall bastante malo. Hay muchas formas de hacer un firewall y esta seria la mas mala, no te la aconsejo.

Otra opción interesante es utilizar para inyectarnos la función SetWindowsHookEx, usando la librería como un hook de windows. Así seria el propio windows el encargado de inyectarnos en todos los procesos que tuvieran ventanas, una solución bastante cómoda. Aunque no controlaríamos las aplicaciones de consola.

Yo por ahora el código lo veo mas como un juguete para ver como funcionan los programas "por dentro", que como una herramienta de seguridad. Pero nada impide evolucionarlo un poquito mas, es decir, afinando el proceso de inyección y hook de las apis, interceptando las llamadas a las apis que crean procesos y cargan librerías (para así reajustar los hooks), interceptando mas apis del winsock, etc ...

Hola Ardilla,
Si, ya estabas tardando :p
Pues no creas, como lo que me interesa son los buffer, el resto de los parámetros de las funciones ni se lo que son ni mi importa :p

En cuanto a la función OutputDebugString, desde que la descubrí hace un par de años, es una de mis funciones preferidas. Utilisima y muy recomendable, sobre todo cuando estas escribiendo código que no tiene una salida por pantalla.
:rolleyes: Yo todavía estoy esperando un ejemplo completo, ya sabes, bajar el archivo zip, descomprimir, compilar y ver los resultados. Lo demás es teorizar :p :D
Si, hacia tiempo que no posteaba código. Ya iba siendo hora ...

Lo prometido es deuda:

Código Delphi [-]
// ModName: dll donde se encunetra la funcion
// ProcName: Nombre de la funcion
// Nuevo: Direccion de la nueva funcion
function HookFunction(ModName, ProcName: PChar; Nuevo: Pointer): Pointer;
var
  i: Integer;
  hProcess: THandle;
  hModules: array[0..1024] of HMODULE;
  cbNeeded: DWORD;
  hMod: HMODULE;
  ImportDesc: PIMAGE_IMPORT_DESCRIPTOR;
  Size: Cardinal;
  szModName: PChar;
  Thunk: PPointer;
  MBI: MEMORY_BASIC_INFORMATION;
begin
  Result:= nil;
  // Obtenemos el handle de la dll donde se encuentra la funcion original
  hMod:= GetModuleHandle(ModName);
  if hMod <> 0 then
  begin
    // Obtenemos la direccion de la funcion original
    Result:= GetProcAddress(hMod, ProcName);
    if Result <> nil then
    begin
      // Obtenemos el handle del proceso
      hProcess:= OpenProcess(PROCESS_QUERY_INFORMATION  or PROCESS_VM_READ,
        FALSE, GetCurrentProcessId);
      if hProcess <> 0 then
      begin
        // Enumeramos cada uno de los modulos que tiene cargados el proceso
        if EnumProcessModules(hProcess, @hModules, Sizeof(hModules), cbNeeded) then
          for i:= 0 to (cbNeeded div Sizeof(HMODULE)) - 1 do
          begin
             // Obtenemos la seccion import, que es una array de estructuras
             // del tipo IMAGE_IMPORT_DESCRIPTOR, terminado por una estructura
             // con todos sus campos a cero
            ImportDesc:= ImageDirectoryEntryToData(Pointer(hModules[i]),
              TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, Size);
            if ImportDesc <> nil then
            begin
              // Recorremos el array hasta llegar al elemento con todos
              // los campos a cero.
              while ImportDesc.Name > 0 do
              begin
                // Obtenemos el nombre del modulo importado
                szModName:= PChar(hModules[i] + ImportDesc.Name);
                // Lo comparamos con el que buscamos
                if StrIComp(szModName,ModName) = 0  then
                begin
                  Thunk:= Pointer(hModules[i] + ImportDesc.FirstThunk);
                  // Recorremos cada una de las funciones de ese modulo
                  while Thunk^ <> nil do
                  begin
                    // Si coincide con la que buscamos
                    if Thunk^ = Result then
                    begin
                      OutputDebugString(PChar(String(ProcName) + ': ' + 'Hookeado'));
                      // Obtenemos algunos parametros sobre la memoria
                      VirtualQuery(Thunk,MBI,Sizeof(MEMORY_BASIC_INFORMATION));
                      // Desprotegemos la zona de memoria donde esta
                      // guardada la direccion de la funcion original
                      VirtualProtect(MBI.BaseAddress,MBI.RegionSize,PAGE_READWRITE,
                        MBI.Protect);
                      // Reemplazamos la direccion de memoria de la funcion actual
                      // por la direccion de memoria de nuestra funcion
                      Thunk^:=  Nuevo;
                      // Volvemos a proteger esa zona de memoria
                      VirtualProtect(mbi.BaseAddress,mbi.RegionSize,mbi.Protect,
                        MBI.Protect);
                    end;
                    inc(Thunk);
                  end;
                end;
                inc(ImportDesc);
              end;
            end;
          end;
      end;
    end;
  end;
end;

Espero que se entienda ... :)

Eso me suena a reto.:D :D
Yo lo hice con un programa que se conecta a un servidor de ajedrez y los resultados como comenté fueron fabulosos.

De todas formas, "aquel código" que publique hace unas fechas, es justamente el que utilizaba para monitorizar el puerto, si ya sabes, aquel de la "promiscuidad". Así que solamente sería cuestión de probar ese código y ver los resultados en cualquier puerto que esté ocupado por una aplicación...
Eso código, básicamente en lo que difiere a otros que utilizan sockets, es en los parámetros de conexión, y en lo que hemos/han dado por llamar "modo promiscuo".

Saludos.

Veo que se ha notado, y sigo esperando ese ejemplo :cool: :p :D Es broma, ya se que no todo el mundo dispone de tanto tiempo como yo, y menos para emplearlo en estos asuntos.
El nombre no me lo invente yo, y se utiliza mucho cuando se habla de capturar paquetes. Además suena muy chulo :cool: , este tipo de expresiones son las que te hacen parecer un experto (aunque no lo seas :p )

Precisamente estos asuntos son los que a mi me gustan, el manejar datos "parriba/pabajo", como que resulta tedioso, pero no en vano, parece que es lo que produce ingresos. Y hablando de ingresos.... con este hilo, ya has fastidiado a todas luces un "posible negocio". :D :D

Si, recuerdo que ya lo hablamos en alguna ocasión, que lo que da dinero, y sobre todo si hablamos de delphi, son las bases de datos :( Lo demás esta bien como afición, pero esta difícil ganar dinero con estas cosas.
:D Pues ya me dirás cual, que te parece: "Fisgón 3000: Sepa lo que su hijita habla por el messenger". En serio, últimamente he estado realizando algún código bastante interesante, pero me lo he guardado, precisamente por la posibilidad de hacer negocio. Y no creas que me ha gustado hacerlo, los que me conocéis, aunque solo sea virtualmente, sabéis que me encanta compartir el código, "dejar libre el código cautivo", pero con eso no se saca dinero, y de algo hay que vivir.

Vaya giro inesperado sufrió el tema de este hilo :p :D

Pues nada ArdiIIa, cuando tu quieres montamos un proyecto de los interesantes ¿que se te ocurre?

Hola Seoane.. Bueno vi que estubiste jugando con el msn y me gusto muucho lo que hiciste..

En algun momento estube intentando hacer "Una aplicacion" (va un cacho de codigo loco) que intentase conectarse a la red MSN y obtener la lista de contactos . para luego empezar a jugar.. cosa que no fue muy productiva..


Pero la verdad que voy a probar que informacion se puede obtener con todo eso.. y que se puede modifica! :D

y bueno lo de loguear los mensajes.. tambien peude hacerse con algun snifer.. pero bueno (si es general se complica un poco) pero se puede..


Ardilla!!.. de todos maneras me gusto mucho lo de escuchar directamente el puerto (Podrias darme una idea de como empezar algo asi?).. (ya que no estariamos limitados a injectar un hook en memoria) obvio que con esto estamos limitados solo a nuestra maquina..

con lo que esta poniendo Seoane + alguna que otra cosita.. como que se esconda + un servido FTP. o simplemente.. Capturando el navegador por defecto y cuando esta activo Subri un archivejo con datos Determinados, aun servidor...
mmm creo que se podrian hacer cosas demasiado malas!!!
bueno dejo de soñar tonterias y a seguir trabajando!!
saludos..

Por qué sera tan divertido hacer "cosas malas" :D . Lo malo, es que estos mega-antivirus que están de moda ahora (panda, symantec, etc ...) se ponen muy nerviosos con las inyecciones de código, hooks, etc ... y saltan a la mínima, así le quitan toda la diversión :mad:

Jajaja es verdad. ls cosas malas son lo masdivertido..

Pero se que hay alguna forma de hacer la injeccion de codigo sin que se activen.. bueno no prometo nada.. primero voy a bajar tu Codigo Fuente.. leerlo, entenderlo (si puedo):(
y despues ver que se puede hacer con los anti virus.. (porque algo siempre se puede hacer) jeje

Saludos!

Pues casi que si, no se si editarlo o borrarlo. Es obvio que no trataba de distraer a los contertulios del tema central.... :(

Soy muy poco imaginativo, y cuando hay necesidad, lo interesante pasa a un segundo término...:D
Pero estoy seguro que posibilidades habrá...

Podrías echar un vistazo a esta retaíla

Hola seoane :)
Pues eso que te comento me paso en la maquina de mi casa, utilizando el primer codigo que posteaste, ya no me dio tiempo depurar donde fallaba, pero llegando a mi trabajo empece a realizar pruebas de nuevo y.... todo bien funciono a la primera, lo deje funcionando como 20 min. hasta que se bloqueo el msn y me saco este mensaje:

AppName: msnmsgr.exe AppVer: 8.1.178.0 AppStamp:45b12d6a
ModName: hookit.dll ModVer: 0.0.0.0 ModStamp:2a425e19
fDebug: 0 Offset: 00001c0d

Bueno no se a que se deba tal vez esta muy saturado mi msn, tenia cerca de 60 conectados de un total de 400.. o tal vez el msn despues de un rato se da cuenta que a sido intervenido :p

Y acerca de lo que comentan de hacer dinero con este tipo de programacion, estoy muy seguro de que si se puede, hace poco antes de encontrar este post compre una dll para hacer hooks de sistema para monitorear una impresora esta dll que en realidad son dcus para delphi me costaron 199 dls. pero creo que es mas redituable aun las aplicaciones que se puedan generar a partir de esto.
Por cierto estos dcus que compre (www.madshi.net) hacen un hook del sistema, mi pregunta es como lo haran porque segun lo que comentas habria que inyectarnos en todos los procesos del sistema. Tiene que ser por cada proceso o habra alguna manera general de inyectarse a todo el sistema?

¡Por cierto excelente trabajo seoane! da gusto encontrar este tipo de codigos ;)