Могу ли я зацепить функции в связанных библиотеках?

StackOverflow https://stackoverflow.com/questions/3577074

Вопрос

Используя EasyHook, я успешно подсел как экспортированные функции, так и известные функции VTable для различных классов C ++. Во всех этих случаях целевые программы использовали DLL.

При условии, что я знаю адрес точки входа функции, можно ли сделать то же самое, когда библиотека была связана с целевой программой, а не отдельную библиотеку?

Это было полезно?

Решение

Это появляется с Easyhook. Вы можете подключить любой подпрограмм, чей адрес которого вычисляется.

В моем случае подключение статического связанного SSL_READ и SSL_WRITE в Openssl Было так просто, как идентификация смещений с моим любимым отладчиком, а затем устанавливая крючки.

// delegate for EasyHook:
[UnmanagedFunctionPointer(CallingConvention.Cdecl, 
    SetLastError = true, CharSet = CharSet.Ansi)]
delegate Int32 SLL_readDelegate(IntPtr SSL_ptr, IntPtr buffer, Int32 length);

// import SSL_read (I actually did it manually, but this will work in most cases)
/* proto from ssl_lib.c -> int SSL_read(SSL *s,void *buf,int num) */
[DllImport("ssleay32.dll", SetLastError = true)]
public static extern Int32 SSL_read(IntPtr ssl, IntPtr buffer, Int32 len);

// the new routine
static Int32 SSL_readCallback(IntPtr SSL_ptr, IntPtr buffer, Int32 length)
{
    /* call the imported SSL_read */
    int ret = SSL_read(SSL_ptr, buffer, length);
    /* TODO: your code here, e.g:
     * string log_me = Marshal.PtrToString(buffer, ret);
     */
    return ret;
}

Теперь все, что осталось, это установить крючок:

private LocalHook sslReadHook;

public void Run(RemoteHooking.IContext InContext, String InArg1)
{
    // ... initialization code omitted for brevity

    /* the value for ssl_read_addr is made up in this example
     * you'll need to study your target and how it's loaded(?) to 
     * identify the addresses you want to hook
     */
    int ssl_read_addr = 0x12345678; /* made up for examples sake */
    sslReadHook = LocalHook.Create(new IntPtr(ssl_read_addr),
        new SSL_readDelegate(SSL_readCallback), this);

    // ...
}

Я должен упомянуть, что в этом примере вам понадобится libeay32.dll и sslayy32.dll, поскольку последний зависит от первого.

Счастливое зацепление!

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top