17 respuestas en este tema

[Dante]

Buenas, estoy tratando de hacer mi propio lancador del juego call of duty Modern Warfare 3 para un server TeknoGonds para juegos offline, e logrado desensamblar el lancador del TeknoGonds pero tengo el codigo en C# quisiera pasarlo a Delphi, alguien me podria ayudar. Esta es la parte del codigo q al parecer inyecta la dll al juego para que vea el server TeknoGonds:

csharp

private void BAAAA(object ᙂ, RoutedEventArgs \u0031AAAA)
    {
      byte[] bytes = Encoding.ASCII.GetBytes("teknomw3.dll");
      if (MessageBox.Show("This is only intented if you have the game running in the backround connected to Steam and it is recommented that you are in the barracks.", "Are you sure you want to continue?", MessageBoxButton.YesNo, MessageBoxImage.Question) == MessageBoxResult.No)
        return;
      Process[] processArray = MainWindow.ᙃ("iw5mp.exe");
      if (processArray == null)
      {
        int num1 = (int) MessageBox.Show("Target process not found");
      }
      else
      {
        IntPtr num2 = Win32Apis.OpenProcess(2035711, false, processArray[0].Id);
        if (num2 == IntPtr.Zero)
        {
          int num3 = (int) MessageBox.Show("Target process pointer is invalid");
        }
        else
        {
          IntPtr procAddress = (IntPtr) ((int) (uint) Win32Apis.GetProcAddress(Win32Apis.GetModuleHandle("Kernel32.dll"), "LoadLibraryA"));
          if (procAddress == (IntPtr) 0)
          {
            int num4 = (int) MessageBox.Show("Loadlibrary unreachable");
          }
          else
          {
            int num5 = bytes.Length + 1;
            IntPtr num6 = Win32Apis.VirtualAllocEx(num2, new IntPtr(0), (uint) num5, Win32Apis.AllocationType.COMMIT, Win32Apis.MemoryProtection.READWRITE);
            if (num6 == (IntPtr) 0)
            {
              int num7 = (int) MessageBox.Show("Virtual alloc failure");
            }
            else
            {
              UIntPtr lpNumberOfBytesWritten;
              Win32Apis.WriteProcessMemory(num2, num6, bytes, (uint) num5, out lpNumberOfBytesWritten);
              if (lpNumberOfBytesWritten == (UIntPtr) 0U)
              {
                int num8 = (int) MessageBox.Show("Write process mem failure");
              }
              else
              {
                Mutex mutex = new Mutex(false, "TeknoPDump" + (processArray[0].Id ^ 128).ToString("X8"));
                Win32Apis.CreateRemoteThread(num2, new IntPtr(0), new IntPtr(0), procAddress, num6, 0U, (IntPtr) 0);
                Win32Apis.CloseHandle(num2);
                Thread.Sleep(6000);
                mutex.Close();
              }
            }
          }
        }
      }
    }

teknomw3.dll: es la dll q se quiere inyectar al juego
iw5mp.exe: es el ejecutable de juego

[escafandra]

Ese código es un inyector de dll. Me extraña que un juego se lance inyectando una dll al mismo juego.

 

Una traducción a delphi puede ser esta:

delphi

uses
  Tlhelp32;
 
function GetProcessId(FileName: PCHAR): DWORD;
var
  proc: TProcessEntry32;
  hSysSnapshot: THandle;
begin
  Result:= 0;
  proc.dwSize := SizeOf(TProcessEntry32);
  hSysSnapshot:= CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if (hSysSnapshot <> INVALID_HANDLE_VALUE) and Process32First(hSysSnapshot, proc) then
  repeat
    if lstrcmpi(proc.szExeFile, FileName) = 0 then
    begin
      Result:= proc.th32ProcessID;
      break;
    end;
  until not (Process32Next(hSysSnapshot, proc));
  CloseHandle(hSysSnapshot);
end;
 
procedure BAAAA; 
const
  DllName = 'teknomw3.dll';
  Process = 'iw5mp.exe';
var
  hProcess: THANDLE;
  ProcessId: integer;
  PLoadLibrary: Pointer;
  SizeDllName: integer;
  Buffer: Pointer;
  NumberOfBytesWritten: DWORD;
  Mutex: THANDLE;
begin
  if MessageBox(0, 'This is only intented if you have the game running in the backround connected to Steam and it is recommented that you are in the barracks.', 'Are you sure you want to continue?', MB_YESNO or MB_ICONQUESTION) = IDNO then
    exit;
  ProcessId:= GetProcessId(Process);
  hProcess:= OpenProcess(2035711, false, ProcessId);
  if hProcess = 0 then
    MessageBox(0, 'Target process pointer is invalid', 'Error', MB_ICONEXCLAMATION)
  else
  begin
    PLoadLibrary:= GetProcAddress(GetModuleHandle('Kernel32.dll'), 'LoadLibraryA');
    if PLoadLibrary = nil then
       MessageBox(0, 'Loadlibrary unreachable', 'Error', MB_ICONEXCLAMATION)
    else
    begin
      SizeDllName:= lstrlen(DllName) + 1;
      Buffer:= VirtualAllocEx(hProcess, nil, SizeDllName, MEM_COMMIT, PAGE_READWRITE);
      if Buffer = nil then
        MessageBox(0, 'Virtual alloc failure', 'Error', MB_ICONEXCLAMATION)
      else
      begin
        WriteProcessMemory(hProcess, Buffer, PCHAR(DllName), SizeDllName, NumberOfBytesWritten);
        if NumberOfBytesWritten = 0 then
          MessageBox(0, 'Write process mem failure', 'Error', MB_ICONEXCLAMATION)
        else
        begin
          Mutex:= CreateMutex(nil, false, PCHAR('TeknoPDump' + IntToStr(ProcessId xor 128)));
          CreateRemoteThread(hProcess, nil, 0, PLoadLibrary, Buffer, 0, PDWORD(0)^);
          CloseHandle(hProcess);
          Sleep(6000);
          CloseHandle(Mutex);
        end;
      end;
    end;
  end;
end;

También puedes inyectar con la función que ya mostré:

delphi

uses
  Windows, Tlhelp32;
 
function GetProcessId(FileName: PCHAR): DWORD;
var
  proc: TProcessEntry32;
  hSysSnapshot: THandle;
begin
  Result:= 0;
  proc.dwSize := SizeOf(TProcessEntry32);
  hSysSnapshot:= CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if (hSysSnapshot <> INVALID_HANDLE_VALUE) and Process32First(hSysSnapshot, proc) then
  repeat
    if lstrcmpi(proc.szExeFile, FileName) = 0 then
    begin
      Result:= proc.th32ProcessID;
      break;
    end;
  until not (Process32Next(hSysSnapshot, proc));
  CloseHandle(hSysSnapshot);
end;
 
// Inyecta en el proceso abierto con el PID dado
function InjectCRT(Pid: integer; dll: PCHAR): BOOL; overload;
var
   hThread:  THANDLE;
   ExitCode: DWORD;
   hLib:     Pointer;//LPTHREAD_START_ROUTINE;
   hProc:    THANDLE;
   Buffer:   Pointer;
begin
   Result:= false;
   if(dll^ = #0) then exit;
 
   ExitCode:= 0;
   hProc:= OpenProcess(PROCESS_ALL_ACCESS, false, Pid);
   if hProc<>0 then
   begin
     Buffer:= VirtualAllocEx(hProc, nil, lstrlen(dll)+1, MEM_COMMIT or MEM_RESERVE, PAGE_READWRITE);
     if Buffer<>nil then
     begin
       if WriteProcessMemory(hProc, Buffer, dll, lstrlen(dll)+1, PDWORD(0)^) then
       begin
         hLib:= GetProcAddress(GetModuleHandle('Kernel32.dll'), 'LoadLibraryA');
         if hLib <> nil then
         begin
           hThread:= CreateRemoteThread(hProc, nil, 0, hLib, Buffer, 0, PDWORD(0)^);
           if hThread <> 0 then
           begin
             // libero la memoria localizada...
             WaitForSingleObject(hThread, INFINITE);  // Espero a que se cree y termine el Thread
             GetExitCodeThread(hThread, ExitCode);    // Termino el Thread
             CloseHandle(hThread);                    // Cierro el Handle hThread
           end;
         end;
       end;
       VirtualFreeEx(hProc, Buffer, 0, MEM_RELEASE);  // Libero memoria
     end;
     CloseHandle(hProc);                       // Cierro el Handle hProc
   end;
   Result:= (ExitCode <> 0);
end;
 
// Inyecta procesos por su nombre, devuelve el número de inyectados
function InjectCRT(FileName: PCHAR; DllFullName: PCHAR): DWORD; overload;
var
  i: integer;
  proc: TProcessEntry32;
  hSysSnapshot: THandle;
begin
  i:= 0;
  proc.dwSize := SizeOf(TProcessEntry32);
  hSysSnapshot:= CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if (hSysSnapshot <> INVALID_HANDLE_VALUE) and Process32First(hSysSnapshot, proc) then
  repeat
    if lstrcmpi(proc.szExeFile, FileName) = 0 then
    begin
      InjectCRT(proc.th32ProcessID, DllFullName);
      inc(i);
    end;
  until not (Process32Next(hSysSnapshot, proc));
  CloseHandle(hSysSnapshot);
  Result:= i;
end;

Saludos.

[Dante]

TeknoGonds es hecho por terceros no es del juego en si, ellos crearon un server para juegar ese juego offline ya q solo se podia jugar en steam, pero yo quiero hacer un lansador propio pa q se conecte direto al server que montamos.

[escafandra]

TeknoGonds es hecho por terceros no es del juego en si, ellos crearon un server para juegar ese juego offline ya q solo se podia jugar en steam, pero yo quiero hacer un lansador propio pa q se conecte direto al server que montamos.

 

En ese caso, ya tienes la traducción que solicitabas.

 

 

Saludos.

[Dante]

Me da un error "types of actual and formal var parameters must be identical" en la linea

WriteProcessMemory(hProcess, Buffer, PCHAR(DllName), SizeDllName, NumberOfBytesWritten);

 

lo traduje y me dio esto "Los tipos de parámetros var reales y formales deben ser idénticos"  a q se refiero eso?

[escafandra]

¿Qué Delphi usas? es ¿Lazarus?. Dependiendo de la declaración de la API así son los tipos. En la declaración de M$ en C,  NumberOfBytesWritten debe ser puntero. En Delphi 7 es una referencia.

 

Saludos.

[Dante]

estoy compilando con delphi rad studio berlin

[escafandra]

Berlin la declara así:

php

WriteProcessMemory(cardinal, pointer, pointer, cardinal, @cardinal);

Al contrario que delphi7 en realidad debería declararse como Berlin porque es como la declara M$. Debes usarla así en Berlin:

php

WriteProcessMemory(hProcess, Buffer, PCHAR(DllName), SizeDllName, @NumberOfBytesWritten);

Saludos.

[Dante]

asi me sige dando el mismo error, pero con lo de SIZE_T se lo trago eso lo busque en un sitio en chino asi q no se q tipo de variable es

otra cosa: como puedo subir el proyecto de teknoGods pa q lo revises proque parece q el pone un hilo a trabajar q chequea cuando el exe se levanta y le hace mas cosa, lo trace con el JetBrains y me dio esta funcion

delphi

private void ᙅ()
    {
      STARTUPINFO lpStartupInfo = new STARTUPINFO();
      PROCESS_INFORMATION lpProcessInformation = new PROCESS_INFORMATION();
      byte[] arrayToSearchThrough = File.ReadAllBytes(this.ExecutableName);
      byte[] input1 = new byte[4];
      Array.Copy((Array) arrayToSearchThrough, 60, (Array) input1, 0, 2);
      byte[] input2 = new byte[4];
      int num1 = RunProc.BytesToInt(input1);
      int sourceIndex1 = num1 + 296;
      int sourceIndex2 = num1 + 300;
      int sourceIndex3 = num1 + 304;
      int sourceIndex4 = num1 + 308;
      Array.Copy((Array) arrayToSearchThrough, sourceIndex3, (Array) input2, 0, 4);
      int num2 = RunProc.BytesToInt(input2);
      Array.Copy((Array) arrayToSearchThrough, sourceIndex4, (Array) input2, 0, 4);
      int num3 = RunProc.BytesToInt(input2);
      Array.Copy((Array) arrayToSearchThrough, sourceIndex2, (Array) input2, 0, 4);
      int num4 = RunProc.BytesToInt(input2) + 4194304;
      Array.Copy((Array) arrayToSearchThrough, sourceIndex1, (Array) input2, 0, 4);
      int num5 = RunProc.ᙃ(RunProc.BytesToInt(input2));
      int num6 = RunProc.IndexOf(arrayToSearchThrough, Encoding.ASCII.GetBytes("steam_api.dll"));
      if (num6 < num3 && num6 > num3 + num2)
      {
        int num7 = (int) MessageBox.Show("Cannot find steam_api.dll string in executable, make sure you have the proper original files!");
      }
      else
      {
        int num8 = num6 - num3;
        if (!Win32Apis.CreateProcess(this.ExecutableName, this.Commandargs, IntPtr.Zero, IntPtr.Zero, false, 516U, IntPtr.Zero, (string) null, ref lpStartupInfo, out lpProcessInformation))
        {
          int num9 = (int) MessageBox.Show("Cannot create process!");
        }
        else
        {
          this.CAAA0 = lpProcessInformation.hThread;
          uint lpflOldProtect1;
          Win32Apis.VirtualProtectEx(lpProcessInformation.hProcess, new IntPtr(num4), new UIntPtr((uint) num5), 64U, out lpflOldProtect1);
          UIntPtr lpNumberOfBytesWritten;
          Win32Apis.WriteProcessMemory(lpProcessInformation.hProcess, new IntPtr(num4 + num8), Encoding.ASCII.GetBytes("teknomw3.dll"), 13U, out lpNumberOfBytesWritten);
          uint lpflOldProtect2;
          Win32Apis.VirtualProtectEx(lpProcessInformation.hProcess, new IntPtr(num4), new UIntPtr((uint) num5), lpflOldProtect1, out lpflOldProtect2);
          if (lpNumberOfBytesWritten == (UIntPtr) 0U)
          {
            int num10 = (int) MessageBox.Show("Cannot write to process memory!");
            Win32Apis.TerminateProcess(lpProcessInformation.hProcess, 0U);
            Win32Apis.TerminateThread(lpProcessInformation.hThread, 0U);
          }
          else
          {
            this.BAAAA = new Mutex(false, "TeknoMW3" + (lpProcessInformation.dwProcessId ^ 87U).ToString("X8"));
            int num10 = (int) Win32Apis.ResumeThread(lpProcessInformation.hThread);
          }
        }
      }
    }

 q llama a

delphi

public static int IndexOf(byte[] arrayToSearchThrough, byte[] patternToFind)
    {
      if (patternToFind.Length > arrayToSearchThrough.Length)
        return -1;
      for (int index1 = 0; index1 < arrayToSearchThrough.Length - patternToFind.Length; ++index1)
      {
        bool flag = true;
        for (int index2 = 0; index2 < patternToFind.Length; ++index2)
        {
          if ((int) arrayToSearchThrough[index1 + index2] != (int) patternToFind[index2])
          {
            flag = false;
            break;
          }
        }
        if (flag)
          return index1;
      }
      return -1;
    }

[escafandra]

asi me sige dando el mismo error, pero con lo de SIZE_T se lo trago eso lo busque en un sitio en chino asi q no se q tipo de variable es

SIZE_T = Cardinal = DWORD
sizeof(SIZE_T) = sizeof(Cardinal) = sizeof(DWORD) = 4

Debe ser un bug de Berlin porque estas variables son idénticas.

Lamentablemente no localizo el fuente en mi versión delphi Berlin para ver como declara exactamente WriteProcessMemory no se si es porque primero instalé Builder C

Yo he usado delphi7 para todo el código que te mostré y con lo que dices, deberías haber encontrado más errores con Berlin, pues WriteProcessMemory la uso en las funciones de inyección que lleva la dll.

Saludos.

[escafandra]

Sobre la traducción, es muy difícil que pueda ayudarte sin tener todo el sistema en mis manos.

Ese código parece que escribe en la memoria de un proceso que crea, cuyo nombre no está presente, para cambiar probablemente en la IAT, el nombre de una dll por teknomw3.dll. El objeto de esto, puede ser para cambiar el comportamiento de ciertas funciones que sobreescribe con la nueva dll (teknomw3.dll).

 

El código decompilado es complejo de entender puesto que se pierde el nombre de las variables y muchas veces es impreciso hasta el punto que no compilaría. Para entender lo que sucede, hay que usar una herramienta tipo Ollydbg que te permite ver los valores tomados y realizar ingeniería inversa.

 

No creo que te sea muy rentable ese trabajo. Es más sencillo usar la lanzadera original para luego hacer lo que precises.

 

 

Saludos.

[Dante]

el problema de usar la lansadera original es q ya existen crack q se ejecuntan y no muestran ventanas solo esperan a q el proceso del juego aparesca y lo inyectan, entonces seria una competencia entre el antihook y el crack a ver quien encuentra primero el procesos por eso quiero poner como lansador al antihook pa q capture el PID del proceso al crearlo el. La inyeccion al sistema completo no me fue factible porque me da alertas de casi todos los programas q tenga ejecutados. Quiero subirte el proyecto completo de Teknogods pero no me deja este sitio, lo subi a mega https://mega.nz/#!wA...mHgdKgNm81eUfyc

dime si lo puedes descagar

[escafandra]

La clave para que la dll inyectada globalmente no provoque falsos avisos es el control de los PID que debe proteger. Para eso está la lista de PIDS.  Es decir el proceso del o los juegos y de sus lanzadores. Si usas el lanzador original con otro usando Createprocess obtienes inmediatamente su PID dese PROCESS_INFORMATION. eso te permite inyectarle la dll e introducirlo en la lista de PIDs.

 

Si conoces las dlls que carga el lanzador original puedes compararla con la que realmente tenga. las sobrantes están inyectadas y las descargas, exceptuando la que te interese. Esa lista la puedes hacer analizando el proceso en ejecucíon. También en la IAT pero es menos seguro.

 

 

Saludos.

[Dante]

no entienddo esta parte

 

Si usas el lanzador original con otro usando Createprocess obtienes inmediatamente su PID dese PROCESS_INFORMATION. eso te permite inyectarle la dll e introducirlo en la lista de PIDs.

el lansador original q tiene el juego cuando se ejecuta salen muchas opciones para cotectarse o crear un server con el mismo por lo q no es automatico y el usuario puede estar en la ventana del lansador el tiempo q desee por lo q tengo q crear un ciclo q este chequeando cuando el proseso 'iw5mp.exe'

se levante.

[escafandra]

no entienddo esta parte

el lansador original q tiene el juego cuando se ejecuta salen muchas opciones para cotectarse o crear un server con el mismo por lo q no es automatico y el usuario puede estar en la ventana del lansador el tiempo q desee por lo q tengo q crear un ciclo q este chequeando cuando el proseso 'iw5mp.exe'

se levante.

 

Un Hook a CreateProcessInternal.

 

Saludos.

[escafandra]

Quiero subirte el proyecto completo de Teknogods pero no me deja este sitio, lo subi a mega https://mega.nz/#!wA...mHgdKgNm81eUfyc
dime si lo puedes descagar

404 Not Found

Saludos.

[Dante]

ya consegui desemsamblar el proyecto sin tantos errores este es el link http://mega.nz/#!sRx...jy9EOsZ4vpbPscw

[escafandra]

Tu plan es sustituir una app lanzadora por otra propia decompilando la original y realizando algunos cambios, en concreto inyectando una determinada dll defensiva antes de que te ataquen. El problema es el trabajo de interpretación de un código decompilado que suele tener partes incomprensibles y que la mayoría de las veces genera un proyecto que no compilará. En mi opinión, hay que facilitarse la vida por caminos menos trabajosos, bien consiguiendo el fuente original, o bien con aproximaciones. Entiendo que esa lanzadera no ejecuta inmediatamente el proceso que lanza hasta que el usuario configure ciertos parámetros, momento en que el atacante aprovecha y por eso hay que diseñarlo bien.

 

Como quiera que el fuente original no lo puedes conseguir, por lo que hay que aproximarse. Ya te  sugerí un hook a la API CreateProcess y mejor a CreateProcessInternal que es indoumentada y cuya declaración en C es como sigue:

php

bool   __stdcall CreateProcessInternalW(HANDLE hToken,
                        LPCWSTR lpApplicationName,
                        LPWSTR lpCommandLine,
                        LPSECURITY_ATTRIBUTES lpProcessAttributes,
                        LPSECURITY_ATTRIBUTES lpThreadAttributes,
                        BOOL bInheritHandles,
                        DWORD dwCreationFlags,
                        LPVOID lpEnvironment,
                        LPCWSTR lpCurrentDirectory,
                        LPSTARTUPINFOW lpStartupInfo,
                        LPPROCESS_INFORMATION lpProcessInformation,
                        PHANDLE hNewToken);
// "kernel32.dll", "CreateProcessInternalW"

El proceso 'iw5mp.exe' será creado en última instancia por CreateProcessInternalW. Teniendo el control de esa API mediante un Hook a la propia lanzadera original, vas a tener inmediatamente su PId a través de la estructura PROCESS_INFORMATION determinada por un puntero lpProcessInformation. De esta forma no esperas a que un bucle analice los procesos en ejecución cada cierto tiempo, sino que no esperas. En cuanto tengas el PId inyectas tu dll y listo.

 

En este punto puedes dudar si eres el primero en detectar la ejecución de 'iw5mp.exe', puedes no ser el primero si previamente a tu Hook a CreateProcessInternalW se te han adelantado, cosa improbable pero que puedes solventar:

 

1.- Deshaciendo dicho hook antes de realizar el tuyo: API UnHooker deshaciendo un Hook a la API tipo trampolín

2.- Detectando dlls indeseables: CreateToolHelp32SnapShot(TH32CS_SNAPMODULE, 0)

3.- Usando otra lanzadera que lance a la lanzadera original inyectando el Hook a CreateProcessInternalW.

 

El tercer punto puede ser más atractivo, pero deberás conseguir que el uso de la lanzadera original, aún levantando el proceso 'iw5mp.exe', no cumpla su cometido. Debes tener en cuenta que tus atacantes tendrán copia de esos archivos. Conseguido esto, el truco estaría en cambiar el nombre del proceso lanzadera para que sea tu lanzadera quien lo conozca y la única que pueda encontrarlo, incluso hardcodear en tu lanzadera toda la lanzadera original. No creo que con esta técnica se adelante nadie a inyectar un proceso que ni tiene archivo en disco y cuyo nombre desconocen. Puestos a rizar el rizo, pueden usarse técnicas que suplanten al loader de windows cargando en memoria el ejecutable y lanzándolo desde ahí (RunPE), aunque sinceramente no creo que esto último sea necesario ya que es una técnica usada para esconder procesos de los mismos antivirus.

 

Creo que con las pautas dadas puedes solucionar el problema sin necesidad de decompilar, cambiar y recompilar la lanzadera original evitando que te ataquen,

 

Saludos.