SNIFFER MSN MESSENGER GRACE AU HOOK DES FONCTIONS WINSOCK

Signaler
Messages postés
706
Date d'inscription
mardi 30 décembre 2003
Statut
Membre
Dernière intervention
27 janvier 2009
-
Messages postés
1
Date d'inscription
samedi 27 novembre 2010
Statut
Membre
Dernière intervention
27 novembre 2010
-
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/32374-sniffer-msn-messenger-grace-au-hook-des-fonctions-winsock

Messages postés
1
Date d'inscription
samedi 27 novembre 2010
Statut
Membre
Dernière intervention
27 novembre 2010

Tres bonne source malheureusement, chez moi, rien ne marche : pas moyen de rien compiler avec devcpp, ni codeblocks, et renommer le .ex\ en .exe me donne une erreur :
Le point d'entree de procedure _DLLInjecteddd@0 est introuvable dans la DLL wsock32_hook.dll
Messages postés
4
Date d'inscription
lundi 11 juillet 2005
Statut
Membre
Dernière intervention
16 mai 2010

@KoRsh: testé ta méthode aussi, ne marche pas, y'a un stack overflow quand le processus démarre... Le fait que je sois sous XP sp3 peut peut-être changer quelque chose, mais toujours est-il que ça fonctionne pas :p.

je précise aussi que j'ai testé avec les versions d'origine de vos codes, seul l'injecteur diffère (mais bon, il est correct).

Vouala!
Messages postés
4
Date d'inscription
lundi 11 juillet 2005
Statut
Membre
Dernière intervention
16 mai 2010

Je suis retombé sur cette source, et en essayant de l'adapter, je me heurte à un problème:

En essayant sur firefox, je me rend compte, avec un outputdebugstring, que tous les import descriptors ne sont pas trouvés, je ne vois que:
xul.dll
xpcom.dll
nspr4.dll
plc4.dll
USER32.dll
MOZCRT19.dll
KERNEL32.dll

et pas la pléthore d'autres dll, dont WS2_32.dll :/

Le code du début de la fonction:

for (; pImportDesc->Name; pImportDesc++)
{

PSTR pszModName = (PSTR)
((PBYTE) hmodCaller + pImportDesc->Name);

OutputDebugString((char*)pszModName);

if (lstrcmpiA(pszModName, DLLName) == 0)
break;
}

Merci d'avance ;)
Messages postés
2
Date d'inscription
dimanche 31 décembre 2000
Statut
Membre
Dernière intervention
17 mars 2010

C'est assez génial comme technique !

Ca se passe en 2 étapes :

- Injection de wsock32.dll dans le processus cible grace au hook global de WH_CBT, méthode reprise de Arnotic. -> dllmain.cpp

- Puis une fois la dll chargee par le processus cible, recherche de l'adresse de la fonction cible dans l'Import Address Table (cf Richter), puis remplacement cette adresse par celle de la nouvelle fonction. -> CApiHook.cpp

Pour plus d'informations : http://msdn.microsoft.com/en-us/magazine/cc301805.aspx
Afficher les 101 commentaires