WinAPI hook

[skizy]

Есть ли возможность хукнуть ту или иную функцию в kernel32.dll глобально без длл инжекта? Хочу хукнуть ReadProcessMemory для предотвращение чтения памяти моей апплы

 

[skizy]

Как я понимаю единственное решение - хукать определенную функцию во всех процессах?

 

[h1z1]

If you wan't to inject a dll for every running process manualy you can use Global dll injection

See this may help : https://github.com/Vicshann/GInjer

 

[x64boy]

Задача невыполнима из юзермода. Ты не сможешь ГЛОБАЛЬНО запретить приложениям читать твою память как минимум потому, что не во все приложения у тебя будет возможность проинжектиться либо из за недостатка прав, либо из за защиты процесса. Тем более, если ты таким образом хочешь противодействовать антивирусным продуктам, память может читать и ядерный драйвер которому из юзермода ты абсолютно ничего не сделаешь. А без инжекта, как ты хочешь это сделать, можешь запротектить требуемый регион памяти правами PAGE_NOACCESS, но при желании твою память без особых усилий прочитают

 

[waahoo]

Можешь попробовать пересоздать секцию \KnownDlls\kernel32.dll, если все сделаешь правильно, система будет грузить твою версию kernel32.dll в каждый новый процесс на любом IntegrityLevel. Права администратора только нужны, да и от АВ это тебя не спасет.
Тестил это еще во времена Windows 7, сейчас не могу сказать работает тема или нет.
Вот тут можешь посмотреть какие API гуглить https://www.codeproject.com/Articles/325603/Injection-into-a-Process-Using-KnownDlls
Вот тут расписано почему это происходит https://learn.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order

 

[skizy]

Задача невыполнима из юзермода. Ты не сможешь ГЛОБАЛЬНО запретить приложениям читать твою память как минимум потому, что не во все приложения у тебя будет возможность проинжектиться либо из за недостатка прав, либо из за защиты процесса. Тем более, если ты таким образом хочешь противодействовать антивирусным продуктам, память может читать и ядерный драйвер которому из юзермода ты абсолютно ничего не сделаешь. А без инжекта, как ты хочешь это сделать, можешь запротектить требуемый регион памяти правами PAGE_NOACCESS, но при желании твою память без особых усилий прочитают

у меня скорее задача не запретить чтение, а при таковой попытке завершать работу процесса

 

[DildoFagins]

у меня скорее задача не запретить чтение

Если на системе есть поддержка анклавов, то держи данные в анклавах: https://learn.microsoft.com/en-us/windows/win32/api/enclaveapi/nf-enclaveapi-createenclave - если нет, то держи данные зашифрованными, и расшифровывай порционно при необходимости, для кода можно что-то типа такого попробовать: https://xss.pro/threads/64259/

 

[s0nus]

You can try hooking the IAT (Import Address Table). So any call to kernel32!ReadProcessMemory will be proxied to our specified address.

 

[0x43rypt0n]

See my topic http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/92005/ i add about hooking you can make same steps i do but with ReadProcessMemory

 

[Super Crypt]

Можешь попробовать пересоздать секцию \KnownDlls\kernel32.dll, если все сделаешь правильно, система будет грузить твою версию kernel32.dll в каждый новый процесс на любом IntegrityLevel. Права администратора только нужны, да и от АВ это тебя не спасет.
Тестил это еще во времена Windows 7, сейчас не могу сказать работает тема или нет.
Вот тут можешь посмотреть какие API гуглить https://www.codeproject.com/Articles/325603/Injection-into-a-Process-Using-KnownDlls
Вот тут расписано почему это происходит https://learn.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order

что имеется ввиду под пересоздать секцию?

 

[DildoFagins]

Так эта апиха использует тот же мёртвый SGX. Или ты хочешь, чтоб использовали VBS? (никогда не понимал VBS, кстати)

Зависит от того, что он хочет сделать. Если это малварь или античит какой-та, то "хардварные анклавы" (с) тут вряд ли подойдут, так как на реальных мирских десктопах, на которых это должно работать, скорее всего не будет ни SGX, ни VBS.