15 respuestas en este tema

[escafandra]

Para confeccionar un sistema que proteja a nuestras aplicaciones de las inyecciones dll no deseadas de código hay que entender cómo se realiza el proceso de inyección. Todo proceso de inyección precisa de varias acciones comunes como son abrir un proceso externo, escribir en su espacio de direcciones de memoria, crear un hilo remoto en dicho proceso y obligarle con ello a cargar una dll no deseada. Existe otro tipo de inyección, más sofisticada, que no necesita crear un hilo remoto sino que suspende un hilo ya existente para inyectarle de forma directa  un pequeño shellcode que se encargará de cargar la dll. Ambas inyecciones han sido tratadas en el foro en diversas ocasiones. Las API implicadas en estas técnicas son varias pero las más importantes son:

 

OpenProcess
WriteProcessMemory
CreateRemoteThread
OpenThread
LoadLibrary
SetWindowsHookEx
 
Conocidas estas bases, la forma de evitar la inyección, requeriría del bloqueo del uso de esas APIs, pero nos encontramos con un problema, son legales. De todas ellas, quizás CreateRemoteThread es la más sospechosa, ¿Qué hace un proceso externo tratando de ejecutar un hilo en mi aplicación? Es por eso que muchos antivirus la consideran heurísticamente perniciosa.

 

La inyección dll siempre termina provocando una llamada a LoadLibrary en el proceso atacado, si la bloqueamos, bloqueamos la inyección, pero también impediremos la carga dinámica de APIs, costumbre que muchas aplicaciones tienen.

 

Quizás la mejor forma de protegerse contra inyecciones de código sea en el mismo momento de escribir nuestra nueva aplicación, sabiendo de antemano cuantas y cuales dlls han de cargarse y evitar el resto.
En definitiva, el asunto no es fácil de manejar, sobre todo cuando tratamos de proteger aplicaciones de terceros.

La siguiente pregunta que nos hacemos es como conseguimos bloquear las APIs, la respuesta es mediante un Hook a las mismas y la inyección a todos los procesos del sistema y los nacientes. Además deberemos intentar discernir cuando su uso es legal y cuando es un ataque.
 
Otra cuestión es si la protección la queremos a nivel usuario o Kernel, En el segundo caso precisamos de un driver para cada versión de S.O. que realice el Hook a las Apis que queremos controlar. Sobre este tema ya publique alguna cosa en el foro platino y la necesidad de ser muy cuidadosos, no solo para no provocar la caída del S.O. sino para evitar los propios A.V. También os mostré una técnica para ello.
 
Lo que ahora os voy a mostrar es una prueba de concepto de un sistema de protección general que inyecta una dll a todos los procesos del sistema y a los nacientes para realizar un hook a tres APIs: OpenProcess, CreateRemoteThread y LdrLoadDll. La última API es donde termina cualquier llamada a LoadLibrary y últimamente puesta de moda por ser indocumentada, se está usando para saltarse cualquier control de LoadLibrary. También incluiré un sistema de control que informará del proceso sobra el que esas APIs no tienen permiso de actuación, dejándolas libres para el resto. Esto es así para evitar el bloqueo en acciones legales.
 
Ya publiqué como realizar un Hook a la API y las diferentes técnicas, en este caso hay que hacerlo mediante un trampolín.
 
El sistema de comunicación entre la dll que inyectaremos y el proceso de control, será la memoria compartida, enviando el Pid del proceso que queremos proteger.
 

delphi

//----------------------------------------------------------------------------
// La APIs Hookeadas
function NewOpenProcess(dwDesiredAccess: DWORD; bInheritHandle: BOOL; dwProcessId: DWORD): THANDLE; stdcall;
begin
  Result:= THANDLE(0);
  if (dwProcessId = PDWORD(Memory.Buffer)^) and (dwDesiredAccess and PROCESS_VM_WRITE = PROCESS_VM_WRITE) then
    LockMessage('OpenProcess')
  else
    Result:= OldOpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);
end;
 
function NewCreateRemoteThread(hProcess: THandle; lpThreadAttributes: Pointer;
                               dwStackSize: DWORD; lpStartAddress: TFNThreadStartRoutine; lpParameter: Pointer;
                               dwCreationFlags: DWORD; var lpThreadId: DWORD): THandle; stdcall;
begin
  Result:= THANDLE(0);
  LockMessage('CreateRemoteThread');
end;
 
function NewLdrLoadDll(PathToFile: PWCHAR; Flags: ULONG; ModuleFileName: PUNICODE_STRING; ModuleHandle: PHANDLE): DWORD; stdcall;
begin
  Result:= ERROR_ACCESS_DENIED;
  if GetCurrentProcessId = PDWORD(Memory.Buffer)^ then
    LockMessage('LdrLoadDll')
  else
    Result:= OldLdrLoadDll(PathToFile, Flags, ModuleFileName, ModuleHandle);
end;

Este código forma parte de la dll que inyectaremos en todos los procesos. Como podéis observar, el bloqueo de  CreateRemoteThread es total para todos los procesos, el bloqueo de OpenProcess se circunscribe al permiso de escritura sobre el proceso a proteger y  LdrLoadDll se bloquea totalmente para el proceso a proteger, esto le va a impedir la carga dinámica de funciones en dlls aunque sea legal. Solo sabiendo previamente que dll necesita, o conociendo la dll maligna podríamos hacer un control selectivo.
 
LockMessage se encarga de avisar del bloqueo informando del proceso inyector, en este punto se pueden añadir acciones como matar dicho proceso.
 
La técnica del Hook a las APIs es la misma que usé en el tutorial HOOK a la API en delphi y en C (trampolín). Se tata se un sistema automatizado para realizar un hook a cualquier API en modo usuario, no sirve para Ring0.
 
La forma de conseguir una inyección en todos los procesos se la vamos a dejar al mismo Windows realizando un hook global. La dll también incorpora un sistema de liberación. Puede cambiarse por inyección individualizada con un código como este, pero deberemos conocer que proceso nos ataca:

delphi

function InjectCRT(Pid: integer; dll: PCHAR): BOOL;
var
   hThread:  THANDLE;
   ExitCode: DWORD;
   hLib:     Pointer;//LPTHREAD_START_ROUTINE;
   hProc:    THANDLE;
   Buffer:   Pointer;
begin
   Result:= false;
   if(dll^ = #0) then exit;
 
   hThread:= 0;
   ExitCode:= 0;
   hProc:= OpenProcess(PROCESS_ALL_ACCESS, false, Pid);
   if hProc<>0 then
   begin
     Buffer:= VirtualAllocEx(hProc, nil, lstrlen(dll)+1, MEM_COMMIT or MEM_RESERVE, PAGE_READWRITE);
     if Buffer<>nil then
     begin
       if WriteProcessMemory(hProc, Buffer, dll, lstrlen(dll)+1, PDWORD(0)^) then
       begin
         hLib:= GetProcAddress(GetModuleHandle('Kernel32.dll'), 'LoadLibraryA');
         if hLib <> nil then
         begin
           hThread:= CreateRemoteThread(hProc, nil, 0, hLib, Buffer, 0, PDWORD(0)^);
           if hThread <> 0 then
           begin
             // libero la memoria localizada...
             WaitForSingleObject(hThread, INFINITE);  // Espero a que se cree y termine el Thread
             GetExitCodeThread(hThread, ExitCode);    // Extraigo el código de terminación del Thread
             CloseHandle(hThread);                    // Cierro el Handle hThread
           end;
         end;
       end;
       VirtualFreeEx(hProc, Buffer, 0, MEM_RELEASE);  // Libero memoria
     end;
     CloseHandle(hProc);                       // Cierro el Handle hProc
   end;
   Result:= (ExitCode <> 0);
end;

He de decir que la inyección solo se va a producir en procesos de 32 bits si nuestro código se escribe en esa plataforma. También he de decir que a la hora de desinstalar el sistema puede haber problemas con alguna aplicación, en concreto Acrobat Reader se cae porque tiene un sistema de protección anti hook, también Firefox puede caer en la batalla por su costumbre de cargar APIs de forma dinámica, son daños colaterales que se evitan seleccionando un poco mejor nuestro ataque defensivo y según la circunstancia particular, puede que no importe mucho.
 
He probado la protección con una aplicación inyectora de mi autoría que nunca he publicado y que me permite seleccionar la inyección o liberarla. No estaría de más usar otro tipo de inyectores que pueden encontrarse en la web y cuya seguridad en cuanto a portar malware es dudosa.
 
Subo el código completo y funcional, con un programita control que se encarga de realizar la inyección global, cuya funcionalidad está en la propia dll y de la comunicación con la misma. En principio solo protege a un proceso, pero nada nos impide enviar un array de procesos.
 
El tema queda abierto a sugerencias, ya que alguien me pidió que lo tratara en el foro.
 
 
Espero que sea de utilidad.
 
 
Saludos.

Archivos adjuntos

•  AntiInject.rar   187,11KB   60 descargas

[escafandra]

Como complemento subo un programita que va a usar las APIs bloqueadas contra si mismo para que comprobéis el resultado.

 

 

Saludos.

Archivos adjuntos

•  Victima.rar   157,88KB   45 descargas

[enecumene]

Eres un crack!! como dicen la juventud de ahora jajaja

[retxel]

Increible aporte, gran solución contra las inyecciones, funciona perfecto a nivel de usuario... Sin palabrasssssss.

[Dante]

eso esta ultra ya lo estoy probando

[Dante]

escafandra me podrias mandar los parametros para agregar WriteProcessMemory

[escafandra]

Quizás sea más interesante que estudies NtWriteVirtualMemory.
 
 
Saludos.

[Dante]

e intentedo agregar la aip NtWriteVirtualMemory

delphi

library Hookdll;
 
uses
  SysUtils, Windows, APIHook, SharedMemory;
 
function GetProcessId(hProcess: THANDLE): DWORD; stdcall;  external  Kernel32;
 
type
PUNICODE_STRING = ^UNICODE_STRING;
UNICODE_STRING = record
  Length: WORD; //USHORT;
  MaximumLength: WORD; //USHORT;
  Buffer: PWCHAR; //PWSTR;
end;
 
POpenProcess = function(dwDesiredAccess: DWORD; bInheritHandle: BOOL; dwProcessId: DWORD): THANDLE; stdcall;
PCreateRemoteThread = function(hProcess: THandle; lpThreadAttributes: Pointer;
                               dwStackSize: DWORD; lpStartAddress: TFNThreadStartRoutine; lpParameter: Pointer;
                               dwCreationFlags: DWORD; var lpThreadId: DWORD): THandle; stdcall;
PLdrLoadDll = function(PathToFile: PWCHAR; Flags: ULONG; ModuleFileName: PUNICODE_STRING; ModuleHandle: PHANDLE): DWORD; stdcall;
PNtWriteVirtualMemory = function(ProcessHandle: THandle; BaseAddress: Pointer; Buffer: Pointer;
                            NumberOfBytesToWrite: ULONG ; NumberOfBytesWritten: PULONG): DWORD; stdcall;
var
  OldOpenProcess: POpenProcess = nil;
  OldCreateRemoteThread: PCreateRemoteThread = nil;
  OldLdrLoadDll: PLdrLoadDll = nil;
  OldNtWriteVirtualMemory: PNtWriteVirtualMemory = nil;
  WinHook: HHOOK = 0;
  Module: HMODULE = 0;
  Memory: TSharedMemory;
 
 
 
//----------------------------------------------------------------------------
 
 
// Mensaje de bloqueo
procedure LockMessage(APIName: PCHAR); stdcall;
var
  AppName: array[0..259] of CHAR;
begin
 
  SetLastError(5);
  GetModuleFileNameA(0, AppName, 260);
  MessageBox(0,  PCHAR('No se permiten inyecciones '+#13+#10 + String(AppName)), PCHAR('Error ' + String(APIName)), MB_ICONEXCLAMATION)
 
  end;
 
//----------------------------------------------------------------------------
// La APIs Hookeadas
function NewOpenProcess(dwDesiredAccess: DWORD; bInheritHandle: BOOL; dwProcessId: DWORD): THANDLE; stdcall;
begin
 
  Result:= THANDLE(0);
  if (dwProcessId = PDWORD(Memory.Buffer)^) and (dwDesiredAccess and PROCESS_VM_WRITE = PROCESS_VM_WRITE) then
    LockMessage('OpenProcess')
  else
    Result:= OldOpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);
 
end;
 
function NewCreateRemoteThread(hProcess: THandle; lpThreadAttributes: Pointer;
                               dwStackSize: DWORD; lpStartAddress: TFNThreadStartRoutine; lpParameter: Pointer;
                               dwCreationFlags: DWORD; var lpThreadId: DWORD): THandle; stdcall;
begin
 
  Result:= THANDLE(0);
  LockMessage('CreateRemoteThread');
{
  if (GetProcessId(hProcess) <> 0) and (GetProcessId(hProcess) = PDWORD(Memory.Buffer)^) then
    MessageBox(0, 'No se permiten inyecciones', 'Error', MB_ICONEXCLAMATION)
  else if lpStartAddress <> nil then
    try
      Result:= OldCreateRemoteThread(hProcess, lpThreadAttributes, dwStackSize, lpStartAddress, lpParameter, dwCreationFlags, lpThreadId);
    finally
    end;
}    
end;
 
function NewLdrLoadDll(PathToFile: PWCHAR; Flags: ULONG; ModuleFileName: PUNICODE_STRING; ModuleHandle: PHANDLE): DWORD; stdcall;
begin
  Result:= ERROR_ACCESS_DENIED;
  if GetCurrentProcessId = PDWORD(Memory.Buffer)^ then
    LockMessage('LdrLoadDll')
  else
   Result:= OldLdrLoadDll(PathToFile, Flags, ModuleFileName, ModuleHandle);
end;
 
function NewNtWriteVirtualMemory(ProcessHandle: THandle; BaseAddress: Pointer; Buffer: Pointer;
                            NumberOfBytesToWrite: ULONG ; NumberOfBytesWritten: PULONG): DWORD; stdcall;
     begin
     Result:= ERROR_ACCESS_DENIED;
  if GetCurrentProcessId = PDWORD(Memory.Buffer)^ then
    LockMessage('NtWriteVirtualMemory')
  else
   Result:= OldNtWriteVirtualMemory(ProcessHandle, BaseAddress, Buffer, NumberOfBytesToWrite,NumberOfBytesWritten);
end;
 
 
 
 
 
 
 
 
//----------------------------------------------------------------------------
// Instalando los Hooks a las API
procedure InstallHooks;
begin
  InstallHook(@NewOpenProcess, @OldOpenProcess, 'Kernel32.dll', 'OpenProcess', true);
  InstallHook(@NewCreateRemoteThread, @OldCreateRemoteThread, 'Kernel32.dll', 'CreateRemoteThread', true);
  InstallHook(@NewLdrLoadDll, @OldLdrLoadDll, 'ntdll.dll', 'LdrLoadDll', true);
  InstallHook(@NewNtWriteVirtualMemory, @OldNtWriteVirtualMemory, 'ntdll.dll', 'NewNtWriteVirtualMemory', true);
end;
 
//----------------------------------------------------------------------------
// Desinstalando todos los Hooks
procedure UnInstallHooks;
begin
  UnInstallHook(@OldOpenProcess, 'Kernel32.dll', 'OpenProcess');
  UnInstallHook(@OldCreateRemoteThread, 'Kernel32.dll', 'CreateRemoteThread');
 UnInstallHook(@OldLdrLoadDll, 'ntdll.dll', 'LdrLoadDll');
 UnInstallHook(@OldNtWriteVirtualMemory, 'ntdll.dll', 'NewNtWriteVirtualMemory');
end;

me compila bien pero cuando lo voy a usar me da error

[escafandra]

Varias cosas:

delphi

InstallHook(@NewNtWriteVirtualMemory, @OldNtWriteVirtualMemory, 'ntdll.dll', 'NewNtWriteVirtualMemory', true);

1. La API que pretendes enganchar es NtWriteVirtualMemory no NewNtWriteVirtualMemory. No la encuentra en ntdll.dll y tienes un error de ejecución. Lo mismo pasa con la linea que libera el Hook.
2. NewNtWriteVirtualMemory nunca hará el trabajo que deseas con ese código, debes encontrar el PId del proceso donde pretende escribir y compararlo que el que pretendes proteger.
3. Fue un error mío sugerirte NtWriteVirtualMemory, sería correcto para WinXP pero no en Win10, al memos. Así que el hook debe hacerse a WriteProcessMemory que está en Kernel32.dll

delphi

PWriteProcessMemory = function(ProcessHandle: THandle; BaseAddress: Pointer; Buffer: Pointer;
                            NumberOfBytesToWrite: ULONG; var NumberOfBytesWritten: ULONG): BOOL; stdcall;
 
.....................
 
 
InstallHook(@NewWriteProcessMemory, @OldWriteProcessMemory, 'Kernel32.dll', 'WriteProcessMemory', true);

delphi

function NewWriteProcessMemory(ProcessHandle: THandle; BaseAddress: Pointer; Buffer: Pointer;
                            NumberOfBytesToWrite: ULONG; var NumberOfBytesWritten: ULONG): BOOL; stdcall;
begin
  Result:= FALSE;
  if GetProcessId(ProcessHandle) = PDWORD(Memory.Buffer)^ then
    LockMessage('NtWriteVirtualMemory')
  else
    Result:= OldWriteProcessMemory(ProcessHandle, BaseAddress, Buffer, NumberOfBytesToWrite,NumberOfBytesWritten);
end;

Además de las protecciones con Hooks, se debe considerar un sistema que evite la ejecución de determinados programas prohibidos, en este sentido, recordar este tema: TerminateMD5_Process, a la caza de un virus...
Otra posibilidad es bloquearlos en el Registro de Windows o implementar un escritorio que no permita hacer nada más que lo que queramos, claro, que eso altera totalmente la funcionalidad del PC que pretende la inyección.
 
Se debe recordar que esto no protege frente una escritura desde el Kernel mediante la API KeStackAttachProcess
 
 
Saludos.

[Dante]

tengo un grabe problema ahora:

esta ultima dll   Client+Hook.rar pincho demasido bien tanto q ve a  todo el sistema corrupto, trate de quitarle el GlobalDllInject para que me hookeara solo a la proceso q deseo pero me da error, entonces trate de hardcodeada la del  AntiInject.rar  pero no me trabaja, comproble q se ejecutaba el procedimiento GlobalHook con un mensaje pero no me hookea nada, ahora la ejecuto sin hardcodeada y me funciona de maravilla

[escafandra]

tengo un grabe problema ahora:

esta ultima dll   Client+Hook.rar pincho demasido bien tanto q ve a  todo el sistema corrupto, trate de quitarle el GlobalDllInject para que me hookeara solo a la proceso q deseo pero me da error, entonces trate de hardcodeada la del  AntiInject.rar  pero no me trabaja, comproble q se ejecutaba el procedimiento GlobalHook con un mensaje pero no me hookea nada, ahora la ejecuto sin hardcodeada y me funciona de maravilla

 

No entiendo bien lo que quieres decir.

 

Si cambias el código de la dll, ten en cuenta:

1.- Que su nombre está encriptado

2.- Que usa MD5 para comprobar su integridad, con lo que deberás cambiar su valor o el cliente se interrumpe impidiendo que el jugador conecte al servidor.

3.- Que deberás hardcodear el nuevo binario de la dll.

4.- Para los puntos 2 y 3 usa FileToCode.exe

 

 

Saludos.

[Dante]

comprobe que la dll se desencriptaba bien poniendole un mensage en el procedimiento GlobalHook y cuando invoco este procedimiento me mostro el mensage pero no me hookio las apis, q otra cosa podria estar haciendo mal, sin hardcodeada la dll me funciona de maravilla.

[escafandra]

Tendrás que poner el código para ver que pasa. El de mi ejemplo me funciona Ok.

 

Saludos.

[Dante]

este es el codigo de la dll

delphi

library Hookdll;
 
uses
   APIHook,
  SharedMemory,
  winapi.Windows;
 
function GetProcessId(hProcess: THANDLE): DWORD; stdcall;  external  Kernel32;
 
type
PUNICODE_STRING = ^UNICODE_STRING;
UNICODE_STRING = record
  Length: WORD; //USHORT;
  MaximumLength: WORD; //USHORT;
  Buffer: PWCHAR; //PWSTR;
end;
 
POpenProcess = function(dwDesiredAccess: DWORD; bInheritHandle: BOOL; dwProcessId: DWORD): THANDLE; stdcall;
PCreateRemoteThread = function(hProcess: THandle; lpThreadAttributes: Pointer;
                               dwStackSize: DWORD; lpStartAddress: TFNThreadStartRoutine; lpParameter: Pointer;
                               dwCreationFlags: DWORD; var lpThreadId: DWORD): THandle; stdcall;
PLdrLoadDll = function(PathToFile: PWCHAR; Flags: ULONG; ModuleFileName: PUNICODE_STRING; ModuleHandle: PHANDLE): DWORD; stdcall;
 
var
  OldOpenProcess: POpenProcess = nil;
  OldCreateRemoteThread: PCreateRemoteThread = nil;
  OldLdrLoadDll: PLdrLoadDll = nil;
 
  WinHook: HHOOK = 0;
  Module: HMODULE = 0;
  Memory: TSharedMemory;
 
//----------------------------------------------------------------------------
 
 
// Mensaje de bloqueo
procedure LockMessage(APIName: PCHAR); stdcall;
var
  AppName: PAnsichar;
begin
  SetLastError(5);
 GetModuleFileNameA(0,AppName , 260);
 MessageBox(0,  PCHAR('No se permiten inyecciones '+#13+#10 + AppName), PCHAR('Error ' + String(APIName)), MB_ICONEXCLAMATION);
 
  end;
 
//----------------------------------------------------------------------------
// La APIs Hookeadas
function NewOpenProcess(dwDesiredAccess: DWORD; bInheritHandle: BOOL; dwProcessId: DWORD): THANDLE; stdcall;
begin
  Result:= THANDLE(0);
  if (dwProcessId = PDWORD(Memory.Buffer)^) and (dwDesiredAccess and PROCESS_VM_WRITE = PROCESS_VM_WRITE) then
    LockMessage('OpenProcess')
  else
    Result:= OldOpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId);
end;
 
function NewCreateRemoteThread(hProcess: THandle; lpThreadAttributes: Pointer;
                               dwStackSize: DWORD; lpStartAddress: TFNThreadStartRoutine; lpParameter: Pointer;
                               dwCreationFlags: DWORD; var lpThreadId: DWORD): THandle; stdcall;
begin
  Result:= THANDLE(0);
  LockMessage('CreateRemoteThread');
    {
  if (GetProcessId(hProcess) <> 0) and (GetProcessId(hProcess) = PDWORD(Memory.Buffer)^) then
   LockMessage('CreateRemoteThread')
  else if lpStartAddress <> nil then
    try
      Result:= OldCreateRemoteThread(hProcess, lpThreadAttributes, dwStackSize, lpStartAddress, lpParameter, dwCreationFlags, lpThreadId);
    finally
    end;
    }
end;
 
function NewLdrLoadDll(PathToFile: PWCHAR; Flags: ULONG; ModuleFileName: PUNICODE_STRING; ModuleHandle: PHANDLE): DWORD; stdcall;
begin
 Result:= ERROR_ACCESS_DENIED;
 if GetCurrentProcessId = PDWORD(Memory.Buffer)^ then
   LockMessage('LdrLoadDll')
 else
   Result:= OldLdrLoadDll(PathToFile, Flags, ModuleFileName, ModuleHandle);
end;
 
//----------------------------------------------------------------------------
// Instalando los Hooks a las API
procedure InstallHooks;
begin
  InstallHook(@NewOpenProcess, @OldOpenProcess, 'Kernel32.dll', 'OpenProcess', true);
  InstallHook(@NewCreateRemoteThread, @OldCreateRemoteThread, 'Kernel32.dll', 'CreateRemoteThread', true);
  InstallHook(@NewLdrLoadDll, @OldLdrLoadDll, 'ntdll.dll', 'LdrLoadDll', true);
end;
 
//----------------------------------------------------------------------------
// Desinstalando todos los Hooks
procedure UnInstallHooks;
begin
  UnInstallHook(@OldOpenProcess, 'Kernel32.dll', 'OpenProcess');
  UnInstallHook(@OldCreateRemoteThread, 'Kernel32.dll', 'CreateRemoteThread');
  UnInstallHook(@OldLdrLoadDll, 'ntdll.dll', 'LdrLoadDll');
end;
 
//----------------------------------------------------------------------------
// Provocamos el Hook Global. La dll se inyectará en todo el sistema de ventanas
function HookPorc(nCode: integer; wParam, lParam: DWORD): DWORD; stdcall;
begin
  Result:= CallNextHookEx(WinHook, nCode, wParam, lParam);
end;
 
procedure GlobalHook; stdcall;
begin
MessageBox(0,'Prueba','Prueba',MB_OK);
  if WinHook = 0 then
    WinHook:= SetWindowsHookEx(WH_CALLWNDPROC, @HookPorc, Module, 0);
 
end;
 
procedure GlobalUnHook; stdcall;
begin
  if WinHook <> 0 then
    UnhookWindowsHookEx(WinHook);
end;
 
//----------------------------------------------------------------------------
procedure DllMain(reason: integer);
begin
   case reason of
     DLL_PROCESS_ATTACH:
     begin
       Memory:= TSharedMemory.Create('_AntiInjector_', 32);
       InstallHooks;
     end;
     DLL_PROCESS_DETACH:
     begin
       UnInstallHooks;
       Memory.Free;
     end;
   end;
end;
 
//----------------------------------------------------------------------------
exports
GlobalHook,
GlobalUnHook;
 
//----------------------------------------------------------------------------
begin
 Module:= GetModuleHandle('Hookdll.dll');
 DllProc := @DllMain;
 DllProc(DLL_PROCESS_ATTACH);
 
end.

[Dante]

esa es una de las primeras q subistes pues la ultima me bloquea todo

[escafandra]

GlobalDllInject es la causante de que se inyecte en todos los procesos y se ejecuta en un thread:
 

delphi

function ThInyect(Param: Pointer): DWORD; stdcall;
begin
  repeat
    GlobalDllInject(FulDllName);
    Sleep(30000);
  until Terminated;
  Result:= 0;
end;

GlobalHook provoca también la inyección en todo el sistema de ventanas. ThInyect está de apoyo.

GlobalHook inyecta automáticamente y no se ejecuta al iniciar la dll, al contrario que ThInyect. Para que se ejecute debes llamarla una vez cargada la dll en el proceso que la porta, eso solo puede ocurrir tras liberala, esperar a que esté liberada y hacer un LoadLibrary. En los ejemplos que subí, así lo hace. Si tratas de cargarla antes, no funcionará.

Si solo quieres inyectar en procesos determinados, debes hacerlo con InjectCRT, pero OJO, puede bloquear la inyección si el PID del proceso que trata de hacerlo está en la lista de procesos a proteger, pues esa es la verdadera función de la dll, bloqueando la inyección.

 

Posiblemente no estés esperando bien a que la dll hardcodeada esté escrita correctamente en el HD y por eso te falla.

 

Este es el código que la libera y arranca:

delphi

Crypt(@DllName[0], sizeof(DllName)-1, Clave, 0);
  if ExtractHookdll then
  begin
    hLib:= LoadLibrary(DllName);
    if hLib <> 0 then
    begin
      GlobalHook:= GetProcAddress(hLib, 'GlobalHook');
      if @GlobalHook <> nil then
      begin
        GlobalHook;
        Client;
      end;
    end;
  end;

Si no está liberada, hLib:= LoadLibrary(DllName); hLib será 0. Juega con esa parte del código. Un truco es meter hLib:= LoadLibrary(DllName) en un bucle que se repita unas cuantas veces con un sleep de 100 ms, por ejemplo. Pero debería cargar a la primera.

 

Saludos.