נושאים פעיליםנושאים פעילים  הצגת רשימה של חברי הפורוםרשימת משתמשים  חיפוש בפורוםחיפוש  עזרהעזרה
  הרשמההרשמה  התחברותהתחברות RSS עדכונים
אבטחת מידע
RSS UnderWarrior Forums : RSS אבטחת מידע
נושא

נושא: hook? wtf is hook?

 שליחת תגובהשליחת נושא חדש
כותב
הודעה << נושא קודם | נושא הבא >>
ShadowBeast
אחראי פורומים
אחראי פורומים
סמל אישי

הצטרף / הצטרפה: 22 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1073
נשלח בתאריך: 20 May 2005 בשעה 00:20 | IP רשוּם
ציטוט ShadowBeast
מישהו יכול להסביר לי בבקשה, מה הפסקה הזאת אומרת?
(לא שאני לא מבין אנגלית, אני לא מבין מה רוצים ממני)
קוד:

At first we hook NtQuerySystemInformation. Does a thread call
it and specifies the query class 5 (SystemProcessInformation; thx
EliCZ) we modify the returned chain of process information structures.
In fact I don't overwrite the whole structure. I enlarge the
SYSTEM_PROCESS_INFORMATION.SizeOfBlock structure item of the process
block being before the block of our process.

נלקח מ http://vx.netlux.org/29a/29a-7/Articles/29A-7.018



__________________
The highest knowledge is to know that we are surrounded by mystery - Albert Schweitzer

He who will not take the hint, must take the consequence - Glenn v. Covey (1854)

ShadowBeast
חזרה לתחילת העמוד הצג את כרטיס החבר של ShadowBeast חפש הודעות אחרות של ShadowBeast
 
cp77fk4r
מנהל פורומים
מנהל פורומים
סמל אישי
מנהל פורום אבטחת מידע

הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
נשלח בתאריך: 20 May 2005 בשעה 01:03 | IP רשוּם
ציטוט cp77fk4r

כלליות, הוא מסביר על Overwriting מסויים שהוא מבצע לפרוצדורה של WinNt/2000.


ולא בכלליות, הוא מסביר פה על זה שהוא רוצה לכתוב רק על SystemProcessInformation שהפרוצדורה NtQuerySystemInformation מחזירה ע"י הגדלת הבלוק של SYSTEM_PROCESS_INFORMATION.SizeOfBlock
וכך הוא "דורס" את החלק שהיה לפניה, שהוא כמובן "SystemProcessInformation".

פרוצדורה NtQuerySystemInformation היא חלק מפונקצית API שקיימת ב Win2000/NT שמאפשרת להשיג מידע על המערכת, אחד מעשרת (אם אני זוכר טוב יש עשרה) ערכי הפרוצדורה הזאת הוא SystemProcessInformation (הוא מוחזר בSystem_Information_Class)

יותר מידע על NtQuerySystemInformation אתה יכול למצוא בMSDN, ואם אתה על XP, שים לב שהיא גם קיימת גם שם אבל באופן טיפה שונה.

 

אגב שים לב לEntryPoint של הפרוצדורה אחרי שאתה מבצע את זה, פשוט כדאי לך לשמור אותו לפני כן- כי לרב, אחרי זה תהיה צריך להחזיר הכל למקום.

לy0da יש הרבה מאמרים טובים, אם אני זוכר טוב יש לו/היה לו גם אתר מצוין, משהו קטן כזה, אבל מאוד מלמד!

 

אגב, נחמד שיש פה עוד אנשים שמתעניינים בזה- כמה זמן אתה בעסק? יש לך עבודות שאפשר לראות?



__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
חזרה לתחילת העמוד הצג את כרטיס החבר של cp77fk4r חפש הודעות אחרות של cp77fk4r בקר בדף הבית של cp77fk4r
 
ShadowBeast
אחראי פורומים
אחראי פורומים
סמל אישי

הצטרף / הצטרפה: 22 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1073
נשלח בתאריך: 20 May 2005 בשעה 13:02 | IP רשוּם
ציטוט ShadowBeast
אני בעסק? i wish
אני מצטער לאכזב אותך, אבל אני רק עכשיו נכנס לעסק(זה עדיין מעניין אותי, מאוד אפילו)
בגלל זה לא הבנתי מלה גם ממה שאמרת
אם תוכל לעזור לי על מה לעשות בדיוק
אולי בסוף אני אכנס לעסק ויהיו לי עבודות להראות



__________________
The highest knowledge is to know that we are surrounded by mystery - Albert Schweitzer

He who will not take the hint, must take the consequence - Glenn v. Covey (1854)

ShadowBeast
חזרה לתחילת העמוד הצג את כרטיס החבר של ShadowBeast חפש הודעות אחרות של ShadowBeast
 
cp77fk4r
מנהל פורומים
מנהל פורומים
סמל אישי
מנהל פורום אבטחת מידע

הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
נשלח בתאריך: 20 May 2005 בשעה 13:25 | IP רשוּם
ציטוט cp77fk4r
אסמבלי אתה יודע?

__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
חזרה לתחילת העמוד הצג את כרטיס החבר של cp77fk4r חפש הודעות אחרות של cp77fk4r בקר בדף הבית של cp77fk4r
 
cp77fk4r
מנהל פורומים
מנהל פורומים
סמל אישי
מנהל פורום אבטחת מידע

הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
נשלח בתאריך: 20 May 2005 בשעה 15:28 | IP רשוּם
ציטוט cp77fk4r

אגב, אם אתה רוצה עוד מידע על Hooking, אני מאוד ממליץ לך לקרוא את זה:

http://www.codeproject.com/system/hooksys.asp

הטקסט אומנם קצת ארוך- אבל הוא נכתב בצורה טובה ביותר אם תמונות והסברים שמוצגים באופן יוצא מהכלל.

 

בהצלחה!



__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
חזרה לתחילת העמוד הצג את כרטיס החבר של cp77fk4r חפש הודעות אחרות של cp77fk4r בקר בדף הבית של cp77fk4r
 
LiGhT
אחראי פורומים
אחראי פורומים


הצטרף / הצטרפה: 13 January 2005
משתמש: מנותק/ת
הודעות: 12
נשלח בתאריך: 03 June 2005 בשעה 13:53 | IP רשוּם
ציטוט LiGhT
בעיקרון "Hook" זו שיטה בה אתה קורא לפונקציית API ובעצם "משכתב אותה" בעצם גורם לה לעשות מה שתרצה בקריאה שלה.

לדוגמא תוכנה מסויימת קוראת לפונקצית api מסויימת על מנת לעשות פעולה מסויימת, נניח שאתה רוצה לקרוא את המידע הנשלח והמידע שמוחזר,מה שתעשה זה הוק לפונקציה עצמה, תקבל את הנתונים ותגרום בעצם למידע לעבור אליך.
אם ראית פעם את ההוקינג שעושים לתוכנת האיסיקיו זה בעצם מבוסס על אותו הדבר, עושים הוק לפונקציות שנמצאות בקבצי ה-dll ששולחות את המידע ובכך רואים מה עובר ומה מוחזר.
חזרה לתחילת העמוד הצג את כרטיס החבר של LiGhT חפש הודעות אחרות של LiGhT
 
ShadowBeast
אחראי פורומים
אחראי פורומים
סמל אישי

הצטרף / הצטרפה: 22 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1073
נשלח בתאריך: 05 June 2005 בשעה 19:32 | IP רשוּם
ציטוט ShadowBeast
cp77fk4r כתב:
אסמבלי אתה יודע?

אני לומד, אבל השפה הזאת מפחידה אותי
היא לא שפה יפה...(כמו למשל c++ שלדעתי הכי יפה שיש)


__________________
The highest knowledge is to know that we are surrounded by mystery - Albert Schweitzer

He who will not take the hint, must take the consequence - Glenn v. Covey (1854)

ShadowBeast
חזרה לתחילת העמוד הצג את כרטיס החבר של ShadowBeast חפש הודעות אחרות של ShadowBeast
 

אם ברצונך להגיב לנושא זה עליך קודם להתחבר
אם אינך רשום/ה כבר עליך להרשם

  שליחת תגובהשליחת נושא חדש
גרסת הדפסה גרסת הדפסה

קפיצה לפורום
אינך יכול/ה לשלוח נושאים חדשים בפורום זה
אינך יכול/ה להגיב לנושאים בפורום זה
אינך יכול/ה למחוק את הודעותיך ותגוביך בפורום זה
אינך יכול/ה לערוך את הודעותיך ותגובותיך בפורום זה
אינך יכול/ה לצור סקרים בפורום זה
אינך יכול/ה להצביע בסקרים בפורום זה