Bonjour à tous ,<br />Aujourd'hui je vais essayer de vous présenter l'api hooking via l'iat patching.<br />En effet notre but lors de ce petit billet sera de détourner l'appel d'apis.<br />J'illustrerais avec un petit exemple de hooking sur le notepad.exe , cependant vous pourriez , après avoir compris le principe , laisser cours à votre imagination afin de creer de multiples attaques.<br />Cette démonstration de hook sera réalisé dans l'userland (ring3).<br /><br />Tout d'abord je vais vous exposer ma façon d'opérer :<br /> - Nous allons coder un programme chargé d'injecter notre dll dans le processus cible ( voir billet sur l'injection ).<br /> - Ensuite nous allons coder une dll qui ira modifier directement l'iat du processus cible ( voir billet sur le dump de l'iat ).<br /><br />Voilà donc les grandes étapes :<br /> - On retrouve le pid de notre processus.<br /> - Nous ouvrons notre processus afin d'avoir un handle sur celui-ci , avec l'api OpenProcess.<br /> - On alloue de la mémoire dans le processus cible , on y écrira le full path de notre dll.<br /> - Nous créons un thread dans le processus sur l'adresse de LoadLibraryA ( exporté par kernel32.dll ) avec comme arguement le path de la dll donc .<br /> - A présent notre dll est loadé par l'application cible.<br /> - Notre dll dès son chargement va aller modifier l'adresse de la fonction à hooker par l'adresse de notre fonction dans l'iat.<br /><br />L'application à chaque appel de l'api hooké appelera enfaite notre fonction , c'est pour cela qu'elle doit posséder le même prototype que la fonction hooké.<br />Je tiens aussi à préciser , que la modification de l'iat ne peut se faire qu'après un appel à l'api VirtualProtect.Et ce pour changer l'acces à la zone mémoire , après la modification<br />nous rétablissons l'accès originel de la zone mémoire.<br /><br />Voici donc les illustrations :<br />Tout d'abord l'injecteur : <a href="http://overclok.free.fr/Codes/IATPatching/InjecteurDll.html">InjecteurDll</a>.<br />La dll pour hooker le ShellAbout de notepad.exe : <a href="http://overclok.free.fr/Codes/IATPatching/HookShellAboutW.html">HookShellAboutW.dll.</a><br />Un petit screenshot pour les plus fainéants :<br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://1.bp.blogspot.com/_kuo-yDTqvqc/Rz7w3brrarI/AAAAAAAAAAU/FSTbS32mzoU/s1600-h/HookIatNotepad.png"><img style="cursor: pointer;" src="http://1.bp.blogspot.com/_kuo-yDTqvqc/Rz7w3brrarI/AAAAAAAAAAU/FSTbS32mzoU/s400/HookIatNotepad.png" alt="" id="BLOGGER_PHOTO_ID_5133805460363373234" border="0" /></a><br /><br />Puis pour terminé j'ai voulu faire un exemple un peu plus concret mais qui reste très simple.<br />Imaginons le code d'une petite application permettant de lister les fichiers et dossiers dans le current directory.<br />Notre but serait de cacher un fichier .<br />Voici les codes : - <a href="http://overclok.free.fr/Codes/IATPatching/HookFindNextFirstFile.html">HookFindNextFirstFile.dll.</a><br /> - <a href="http://overclok.free.fr/Codes/IATPatching/cible.html">cible.exe.</a><br /><br />Et un petit screnshot :<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://1.bp.blogspot.com/_kuo-yDTqvqc/Rz7yKbrrasI/AAAAAAAAAAc/udX_fXoKFA8/s1600-h/HookIatCible.png"><img style="cursor: pointer;" src="http://1.bp.blogspot.com/_kuo-yDTqvqc/Rz7yKbrrasI/AAAAAAAAAAc/udX_fXoKFA8/s400/HookIatCible.png" alt="" id="BLOGGER_PHOTO_ID_5133806886292515522" border="0" /></a><br /><br />J'essairais plus tard de coder un petit rootkit userland prenant le contrôle de l'userland par le biais de hook justement.<br />Sur ce bonne fin de journée , cya.<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/5190877782491799334-6784807800151774926?l=0vercl0k.blogspot.com'/></div>