Teo@Unix
04-11-2010, 23:50
Ho scritto un modulo DLL per impostare un hooking fatto manualmente sulle funzioni principali di ws2_32.dll.
Lo scopo di questo è utilizzarlo per monitorare l'attività di rete di certi programmi. il modulo stampa delle righe di log in un file di testo, tutto ok fino a quando termino il programma target. Ho un errore di questo tipo:
"Run-Time Check Failure #0 - The value of ESP was not properly saved across a function call. This is usually a result of calling a function declared with one calling convention with a function pointer declared with a different calling convention."
Credo riferisca ai controlli runtime di integrità di windows... mi trovo su un Win XP, ma stesso problem alo ho anche su 7.
So che è un pò particolare come richiesta, ma qualcuno mi sa dare un diritta? Perchè non so proprio cosa andare a cambiare nella DLL. Fra l'altro non me la sempre dato, solo ultimamente, posso postare il processo detach della dll:
case DLL_PROCESS_DETACH:
#ifdef DEBUG
sprintf_s(debug_string,"Hook: Start IAT restore...");
OutputDebugStringA(debug_string);
#endif
// Start IAT restore
if(g_OriginalAccept) Hook(module,"ws2_32.dll",(PROC)AcceptTrampoline,g_OriginalAccept);
if(g_OriginalWSAAccept) Hook(module,"ws2_32.dll",(PROC)WSAAcceptTrampoline,g_OriginalWSAAccept);
if(g_OriginalConnect) Hook(module,"ws2_32.dll",(PROC)ConnectTrampoline,g_OriginalConnect);
if(g_OriginalWSAConnect) Hook(module,"ws2_32.dll",(PROC)WSAConnectTrampoline,g_OriginalWSAConnect);
if(g_OriginalListen) Hook(module,"ws2_32.dll",(PROC)ListenTrampoline,g_OriginalListen);
if(g_OriginalSend) Hook(module,"ws2_32.dll",(PROC)SendTrampoline,g_OriginalSend);
if(g_OriginalWSASend) Hook(module,"ws2_32.dll",(PROC)WSASendTrampoline,g_OriginalWSASend);
if(g_OriginalRecv) Hook(module,"ws2_32.dll",(PROC)RecvTrampoline,g_OriginalRecv);
if(g_OriginalWSARecv) Hook(module,"ws2_32.dll",(PROC)WSARecvTrampoline,g_OriginalWSARecv);
if(g_Originalclosesocket) Hook(module,"ws2_32.dll",(PROC)ClosesocketTrampoline,g_Originalclosesocket);
if(g_Originalsendto) Hook(module,"ws2_32.dll",(PROC)SendtoTrampoline,g_Originalsendto);
if(g_Originalrecvfrom) Hook(module,"ws2_32.dll",(PROC)RecvfromTrampoline,g_Originalrecvfrom);
#ifdef DEBUG
sprintf_s(debug_string,"Hook: Restore done!\nDetach success.");
OutputDebugStringA(debug_string);
#endif
break;
}
return TRUE;
non so se mi potete aiutare, magari qualcuno esperto di NT...
Lo scopo di questo è utilizzarlo per monitorare l'attività di rete di certi programmi. il modulo stampa delle righe di log in un file di testo, tutto ok fino a quando termino il programma target. Ho un errore di questo tipo:
"Run-Time Check Failure #0 - The value of ESP was not properly saved across a function call. This is usually a result of calling a function declared with one calling convention with a function pointer declared with a different calling convention."
Credo riferisca ai controlli runtime di integrità di windows... mi trovo su un Win XP, ma stesso problem alo ho anche su 7.
So che è un pò particolare come richiesta, ma qualcuno mi sa dare un diritta? Perchè non so proprio cosa andare a cambiare nella DLL. Fra l'altro non me la sempre dato, solo ultimamente, posso postare il processo detach della dll:
case DLL_PROCESS_DETACH:
#ifdef DEBUG
sprintf_s(debug_string,"Hook: Start IAT restore...");
OutputDebugStringA(debug_string);
#endif
// Start IAT restore
if(g_OriginalAccept) Hook(module,"ws2_32.dll",(PROC)AcceptTrampoline,g_OriginalAccept);
if(g_OriginalWSAAccept) Hook(module,"ws2_32.dll",(PROC)WSAAcceptTrampoline,g_OriginalWSAAccept);
if(g_OriginalConnect) Hook(module,"ws2_32.dll",(PROC)ConnectTrampoline,g_OriginalConnect);
if(g_OriginalWSAConnect) Hook(module,"ws2_32.dll",(PROC)WSAConnectTrampoline,g_OriginalWSAConnect);
if(g_OriginalListen) Hook(module,"ws2_32.dll",(PROC)ListenTrampoline,g_OriginalListen);
if(g_OriginalSend) Hook(module,"ws2_32.dll",(PROC)SendTrampoline,g_OriginalSend);
if(g_OriginalWSASend) Hook(module,"ws2_32.dll",(PROC)WSASendTrampoline,g_OriginalWSASend);
if(g_OriginalRecv) Hook(module,"ws2_32.dll",(PROC)RecvTrampoline,g_OriginalRecv);
if(g_OriginalWSARecv) Hook(module,"ws2_32.dll",(PROC)WSARecvTrampoline,g_OriginalWSARecv);
if(g_Originalclosesocket) Hook(module,"ws2_32.dll",(PROC)ClosesocketTrampoline,g_Originalclosesocket);
if(g_Originalsendto) Hook(module,"ws2_32.dll",(PROC)SendtoTrampoline,g_Originalsendto);
if(g_Originalrecvfrom) Hook(module,"ws2_32.dll",(PROC)RecvfromTrampoline,g_Originalrecvfrom);
#ifdef DEBUG
sprintf_s(debug_string,"Hook: Restore done!\nDetach success.");
OutputDebugStringA(debug_string);
#endif
break;
}
return TRUE;
non so se mi potete aiutare, magari qualcuno esperto di NT...