tangro Feb 20 2014 at 10:42

Хуки — это просто (часть 2)

4 min

20K

Инфопульс Украина corporate blogProgramming*System Programming*

Tutorial

+21

Comments 12

DeXPeriX Feb 20 2014 at 15:07

Минималистичный код, да. Но так и не понял, почему не использовать WinAPI?

tangro Feb 20 2014 at 20:40

В каком моменте и как именно?

shushu Feb 21 2014 at 06:28

Хотел спросить «А что насчет совместимости с Win8», но зашел на сайт проэкта и прочитал:

madCodeHook offers everything you need to hook code (mostly APIs) in all 32 and 64 bit Windows operating systems from Windows 95 to Windows 8.1

tangro Feb 21 2014 at 08:51

Во втором абзаце написано об этом.

twr Feb 21 2014 at 10:15

OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

Неужто для того, чтобы заинжектить код в удалённый процесс, необходимо открыть этот самый процесс со всеми возможными привилегиями?

tangro Feb 21 2014 at 13:56

Ну смотрите, нам точно нужны PROCESS_VM_WRITE и PROCESS_VM_READ (чтобы забросить туда свой код и иметь доступ к нему). SYNCHRONIZE тоже нужен, поскольку неплохо бы знать завершен процесс или нет. PROCESS_VM_OPERATION нужен чтобы иметь возможность сделать VirtualProtectEx (разрешить выполнение кода в определённом блоке памяти). PROCESS_CREATE_THREAD тоже нужен, ведь создание в удалённом процессе своего потока — нужная в 90% случаев функциональность.

В общем, из указанных тут 14 прав штук 10 видятся мне необходимыми. Какой при этом толк отключать оставшиеся 4?

twr Feb 24 2014 at 07:38

Какой при этом толк отключать оставшиеся 4?

Толк в том, что однажды обязательно наступит момент, когда Ваш код перестанет работать из-за того, что система не выдала ему привилегии, которые вообще не нужны для выполнения поставленной задачи. Это плохой тон программирования.

tangro Feb 24 2014 at 09:06

В целом, Вы, конечно, правы — надо просить только то, что нужно. Но вот в чём беда — кода самой библиотеки madCodeHook я не видел, поэтому точно знать, какие права ей нужны, я не могу. А в официальном примере из документации — процесс открывается именно так.

twr Feb 25 2014 at 04:41

Тогда, перед использованием библиотеки, было бы логично задать вопрос о необходимых привилегиях автору. Я бы так и сделал, по крайней мере. Не юзать же кота в мешке?

Hoshi Feb 28 2014 at 10:18

Кстати, для поиграться/поизучать можно потрогать MinHook(опенсорс, лицензия BSD, поддержка x84/x64 кода), немного пользовался ею — остался доволен.

tangro Feb 28 2014 at 14:57

Я правильно понимаю, что это хукинг функций в текущем процессе, или инжект в другие там тоже есть?

Hoshi Mar 30 2014 at 21:21

В текущем процессе, но никто не мешает запулить свою дллку в процесс чужой, дело 30 строчек кода, про это ещё ms-rem писал.