[raczej system] Inline Hook & Acces Denied

0

Zacząłem niedawno eksperymentować z hookami, bo wydaje mi się to poważnym brakiem w wiedzy.

Pierwszy hook (po dwóch godzinach pisania i dwóch kolejnych poprawek i debugowania...) jakoś tam zadziałał. Zabrałem się więc za coś pożyteczniejszego i spróbowałem na systemowym (Win7) notepadzie.

I tutaj niestety nie udaje mi się :/

Błąd pojawia się podczas CreateRemoteThread - zwracane handle == null co oznacza błąd.

Parametry wydają się prawidłowe.

Sprawdziłem dodatkowo za pomocą

DWORD err = GetLastError();
printf("error: %u", err);

(mam 1% wątpliwości czy do DWORD odnosi się %u, ale chyba tak)

i zwraca mi 5, co z kolei według System Error Codes oznacza "ERROR_ACCESS_DENIED".

Wie ktoś z was tutaj obeznanych czemu tak się dzieje? Chłopaki z MS zabezpieczyli notepad (sensowność takiego czegoś mnie poraża, ale kto wie) czy co?

0

Radosny strzal - potrzebujesz konta z prawami admina, zeby sie w to bawic? Bardzo prawdopodobne, ze sie myle, ale sprawdz.

0

@up - jestem full wypas adminem na komputerze :> Ale dzięki za zainteresowanie.

Nawet nie może chodzić o to że jest w system32, bo zrobiłem sobie kopię bezpieczeństwa na której operuje. A tak jak pisałem na innym pliku (spreparowanym przeze mnie) działało.

edit: OMG, jak nad tym myślę to wstrzykiwany kod jest 32 bitowy a notepad na moim systemie 64bitowy [glowa]

edit2: OK, mam prostszy pomysł ;) Bo nie uśmiecha mi się ściąganie kompilatora tylko żeby skompilować jedną bibliotekę...
Jeśli by znalazł się jakiś miły użytkownik 32bit XP-ka to gdyby był tak uprzejmy niech wrzuci gdzieś jakąś kopię notepada ;) Obiecuję że usunę z komputera zaraz po skończeniu testów.

user image

PS. Nikt chyba na świecie nie wpadł na to że ktoś może potrzebować notepada, bo jakoś google nie chce znaleźć.

0

Sprawdz czy nie jest to jakis malware, tylko na razie to znalazlem ;p
http://www.przeklej.pl/plik/notepad-exe-00051n1ibaqc2j6
Pokombinuj z opcjami google, typu inurl, filetype, index of moze sie cos znajdzie jeszcze.

0

A jak uzyskujesz handle Procesu dla CreateRemote.. ?

0

A jak uzyskujesz handle Procesu dla CreateRemote..

OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

Ale tak czy inaczej skoro raz działa to raczej powinno zawsze pobierać poprawne handle ;)

A @t0m_k - plik właśnie jest skanowany przez virustotal - ale wątpie żeby to był on, co to za notatnik które ma 3 mb wielkości...
edit: wszystko jasne ;) ktoś zapomniał dopisać "++" po notepad...

0

Notepad.rar

0

Dzięki wielkie dzejo. Zgłaszam że wszystko ładnie działa i biblioteka się ładuje.

1 użytkowników online, w tym zalogowanych: 0, gości: 1