1. Pascal / Говнокод #14988

    +115

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    21. 21
    22. 22
    23. 23
    24. 24
    25. 25
    26. 26
    27. 27
    28. 28
    29. 29
    30. 30
    31. 31
    32. 32
    33. 33
    34. 34
    35. 35
    36. 36
    37. 37
    38. 38
    39. 39
    40. 40
    41. 41
    42. 42
    43. 43
    44. 44
    45. 45
    46. 46
    47. 47
    48. 48
    49. 49
    50. 50
    51. 51
    52. 52
    53. 53
    54. 54
    55. 55
    56. 56
    57. 57
    58. 58
    59. 59
    60. 60
    61. 61
    62. 62
    63. 63
    64. 64
    65. 65
    66. 66
    67. 67
    68. 68
    69. 69
    70. 70
    71. 71
    72. 72
    73. 73
    74. 74
    75. 75
    76. 76
    77. 77
    78. 78
    79. 79
    80. 80
    81. 81
    82. 82
    83. 83
    84. 84
    85. 85
    86. 86
    87. 87
    88. 88
    89. 89
    90. 90
    91. 91
    92. 92
    93. 93
    94. 94
    95. 95
    96. 96
    97. 97
    98. 98
    library ch;
uses
  Windows,SysUtils,controls,graphics,extctrls,shellapi,Unit1 in 'Unit1.pas' {Form1};
type
  NTStatus = cardinal;
  far_jmp = packed record
    push: byte;
    PProc: pointer;
    ret: byte;
  end;
  OldCode = packed record
    one: dword;
    two: dword;
  end;
const
  STATUS_ACCESS_DENIED = NTStatus($C0000022);
  STATUS_SUCCESS = NTStatus($00000000);
function CreateProcessW(lpApplicationName: PWideChar; lpCommandLine: PWideChar;
  lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
  bInheritHandles: BOOL; dwCreationFlags: dword; lpEnvironment: pointer;
  lpCurrentDirectory: PWideChar; const lpStartupInfo: TStartupInfo;
  var lpProcessInformation: TProcessInformation): BOOL; stdcall;
  external 'kernel32.dll' name 'CreateProcessW';
var
  CPA: pointer;
  OldCPA: OldCode;
  JmpCPA: far_jmp;
  b:cardinal;

procedure UnHook;
begin
  WriteProcessMemory(INVALID_HANDLE_VALUE, CPA, @OldCPA, sizeof(OldCode), b);
end;

function FalseCreateProcessW():boolean;
begin
  SetLastError(ERROR_ACCESS_DENIED);
  result:=falsecreateprocessw
end;
function TrueCreateProcessW(lpApplicationName: PWideChar;
  lpCommandLine: PWideChar; lpProcessAttributes, lpThreadAttributes
  : PSecurityAttributes; bInheritHandles: BOOL; dwCreationFlags: dword;
  lpEnvironment: pointer; lpCurrentDirectory: PWideChar;
  const lpStartupInfo: TStartupInfo;
  var lpProcessInformation: TProcessInformation): BOOL; stdcall;
begin
  WriteProcessMemory(INVALID_HANDLE_VALUE, CPA, @OldCPA, sizeof(OldCode), b);
  Result := CreateProcessW(lpApplicationName, lpCommandLine,
    lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags,
    lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation);
  WriteProcessMemory(INVALID_HANDLE_VALUE, CPA, @JmpCPA, sizeof(far_jmp), b);
end;
 function NewCreateProcessW(lpApplicationName: PWideChar;
  lpCommandLine: PWideChar; lpProcessAttributes, lpThreadAttributes
  : PSecurityAttributes; bInheritHandles: BOOL; dwCreationFlags: dword;
  lpEnvironment: pointer; lpCurrentDirectory: PWideChar;
  const lpStartupInfo: TStartupInfo;
  var lpProcessInformation: TProcessInformation): bool; stdcall;
  var
    reason:string;
begin
  result:=true;// подавляем ошибку "Доступ запрещен"
 // если что-то нам не понравилось, выходм
  else
  // или выполняем командную строку 
    Result := TrueCreateProcessW(lpApplicationName, lpCommandLine,
    lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags,
    lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation);
end;
procedure SetHook;
begin
   CPA := GetProcAddress(getmodulehandle('kernel32.dll'), 'CreateProcessW');
   ReadProcessMemory(INVALID_HANDLE_VALUE, CPA, @OldCPA, sizeof(OldCode), b);
   JmpCPA.push := $68;
   JmpCPA.PProc := @NewCreateProcessW;
   JmpCPA.ret := $C3;
   WriteProcessMemory(INVALID_HANDLE_VALUE, CPA, @JmpCPA, sizeof(far_jmp), b);

end;
function MessageProc(code: integer; wParam: word; lParam: longint)
  : longint; stdcall;
begin
  Result := CallNextHookEx(0, code, wParam, lParam);
end;
procedure SetGlobalHookProc();
begin
  SetWindowsHookEx(WH_GETMESSAGE, @MessageProc, HInstance, 0);
  sleep(infinite);
end;
procedure SetGlobalHook();
var
  //hMutex: dword;
  TrId: dword;
begin
    CreateMutex(nil, False, 'Vhook@016');
    if GetLastError = 0 then
    CreateThread(nil, 0, @SetGlobalHookProc, nil, 0, trid)
end;

    procedure DLLEntryPoint(dwReason: dword);
    
begin
    
  case dwReason of
    
    DLL_PROCESS_ATTACH:
    
      begin
    
        SetHook;
    
        SetGlobalHook;
    
      end;
    
    DLL_PROCESS_DETACH:
    
      begin
    
        UnHook;
    
      end;
    
  end;
    
end;
    
begin
    
  DllProc := @DLLEntryPoint;
    
  DLLEntryPoint(DLL_PROCESS_ATTACH);
    
end.


    Товарищи, как можно поправить этот код, чтобы библиотека подгружалась только к процессу "explorer.exe" и патчила в его памяти CreateProcessW?

    Запостил: Stertor, 26 Февраля 2014

    Комментарии (16) RSS

    • ava Konardo 26.02.2014 12:06 # −13

      показать все, что скрыто"Pascal" - говно. Истинные специалисты даже системные программы пишут на "PHP". Жду плюсов от тех, кто согласен со мною.
      Ответить

    • ava TarasB 26.02.2014 13:08 # 0

      у нас тут не впф
      Ответить

      • ava Stertor 27.02.2014 20:33 # 0

        И тебе не стыдно это писать?
        Ответить

        • ava Lokich 28.02.2014 10:32 # −2

          а тебе не стыдно это постить? :)
          Ответить

        • ava TarasB 28.02.2014 10:51 # −2

          нет
          почему я должен стыдиться того, что у нас тут не впф?
          Ответить

          • ava bormand 28.02.2014 10:57 # 0

            Что такое впф?
            Ответить

            • ava defecate-plusplus 28.02.2014 10:57 # +1

              Высшие психические функции?
              Ответить

            • ava roman-kashitsyn 28.02.2014 11:02 # 0

              Волосяной покров фаланг?
              Ответить

            • ava TarasB 28.02.2014 11:12 # −2

              да хз, попытался вспомнить стереотипный известный форум, на котором не западло отвечать на тупые вопросы
              Ответить

              • ava Stertor 28.02.2014 12:39 # 0

                Это не тупой вопрос. Я понимаю, вы не обязаны мне помогать, бля, но в таком случае просто пройди мимо, зачем постить хуйню? 12 постов, в которых нет ровным счетом, ничего, хотя достаточно было всего 1 строчки:
                >> как можно поправить этот код, чтобы библиотека подгружалась только к процессу "explorer.exe" и патчила в его памяти CreateProcessW?

                Создать удаленный поток к explorer.exe и внедрить эту библиотеку И все!!!
                Ответить

            • ava absolut 28.02.2014 11:32 # +1

              Вениамин Павлович Франкенштейн?
              Ответить

    • ava cmepmop 08.03.2019 13:14 # 0

      Удаленный поток вызови
      Ответить

    Добавить комментарий