Api Hoock problem ?

[celtic88]

slt tout membre de ce forum FR
bon voilla j ai traduit un source c++
ver Pb pour faire "Hooking Windows API".... son entrée dans les détails le hook est sur "ShellExecuteEx", malheureusement marche pas ,pourtant j'ai tout vérifier?

quelqu'un de généreux peut me dire why et merci

Code : Tout sélectionner

;Coder : celtic88 (c)

Import "kernel32.lib"
  GetProcAddress_(handle.l, string.p-ascii) As "_GetProcAddress@8"
EndImport

Structure IMAGE_IMPORT_DESCRIPTOR
  DUMMYUNIONNAME.d
  TimeDateStamp.d
  ForwarderChain.d
  Name.d
  FirstThunk.d
EndStructure
Structure IMAGE_THUNK_DATA
  ul.d
EndStructure

Procedure _AddHookApi(ModuleName.s, FunctionName.s, *NewProcAddress)
  ; Get base address of our app
  *hInstance = GetModuleHandle_(0)
  Debug *hInstance
  ;; Get module of the module that the function resides in
  *Module = GetModuleHandle_(ModuleName)
  Debug *Module
  
  ; Get the original function address
  *OrigAddress = GetProcAddress_(*Module, FunctionName)
  Debug *OrigAddress
  ;; Get the address of the Import directory
  ulSize.l
  *ptrtoiid=ImageDirectoryEntryToData_(*hInstance,  #True, #IMAGE_DIRECTORY_ENTRY_IMPORT, @ulSize)
  Debug *ptrtoiid
  
  *iid.IMAGE_IMPORT_DESCRIPTOR=*ptrtoiid
  
  ;; Loop through all loaded modules.
  Debug *iid\Name
  
  While *iid\Name
    ; get the name...
    
    str$ = PeekS(*hInstance + *iid\Name)
    
    ; If the name matches, we've found what we're looking for.
    If str$ = ModuleName : Break : EndIf
    
    ; Move to the next directory item
    *ptrtoiid + SizeOf(*iid)
    *iid.IMAGE_IMPORT_DESCRIPTOR=*ptrtoiid
    
  Wend
  
  *ptrtoitd = *hInstance + *iid\FirstThunk
  
  *itd.IMAGE_THUNK_DATA= *ptrtoitd
  
  While *itd\ul
    
    ; We have found where the original address is stored
    If *itd\ul = *OrigAddress
      
      ;; Prepare the memory for writing
      *mbi.MEMORY_BASIC_INFORMATION
      VirtualQuery_(*itd\ul, @*mbi, SizeOf(*mbi))
      VirtualProtect_(*mbi\BaseAddress, *mbi\RegionSize,#PAGE_READWRITE, @*mbi\Protect)
      
      ;; Here's where the magic happens
      *itd\ul= *NewProcAddress
      
      randomdword.d
      VirtualProtect_(*mbi\BaseAddress,*mbi\RegionSize,*mbi\Protect, @randomdword)
      
      Break
    EndIf
    
    *ptrtoitd + SizeOf(*itd)
    *itd.IMAGE_THUNK_DATA= *ptrtoitd
    
  Wend
  
  ProcedureReturn *itd
EndProcedure

Procedure _ChangeHookApi(*ITDSTRUCT.IMAGE_THUNK_DATA, *NewProc)
  ;; Prepare the memory for writing
  *mbi.MEMORY_BASIC_INFORMATION
  VirtualQuery_(*ITDSTRUCT\ul, @*mbi, SizeOf(*mbi))
  VirtualProtect_(*mbi\BaseAddress, *mbi\RegionSize,#PAGE_READWRITE, @*mbi\Protect)
  
  ;; Here's where the magic happens
  *ITDSTRUCT\ul= *NewProc
  
  randomdword.d
  VirtualProtect_(*mbi\BaseAddress,*mbi\RegionSize,*mbi\Protect, @randomdword)
EndProcedure


Procedure MyTest(*ptr)
  *SHELLEXECUTEINFO.SHELLEXECUTEINFO=*ptr
  MessageRequester("","Voulez vous exécuter ce fichier : " + str(*SHELLEXECUTEINFO\lpFile))
  ProcedureReturn #False
EndProcedure   ;==>MyTest

*orig = GetProcAddress_(GetModuleHandle_("shell32.dll"), "ShellExecuteEx")

*hook = _AddHookApi("Shell32.dll", "ShellExecuteExW", @MyTest())

ShellExecute_(#NUL,#NUL,"C:\Users\larbi\Desktop\hhh.jpg",#NUL,#NUL,#NUL)

;_ChangeHookApi(*hook, *orig)

; IDE Options = PureBasic 5.31 (Windows - x86)
; Folding = -
; EnableUnicode
; EnableXP

[Mesa]

Que veux-tu faire ?

Car le hooking sert à faire des virus et du cracking, ce qui est interdit sur ce forum.


Voici ce que l'on peut lire sur la page d'accueil de http://*******/

Viruses don't harm, ignorance does!

"Everyone has the right to freedom of opinion and expression;
this right includes freedom to hold opinions without interference
and to seek, receive and impart information and ideas through
any media and regardless of frontiers."
Article 19 of "Universal Declaration of Human Rights"

Welcome to VX Heaven! This site is dedicated to providing information about computer viruses (or virii, as some would prefer) to anyone who is interested in this topic.

This site contains a massive, continuously updated collection of magazines, virus samples, virus sources, polymorphic engines, virus generators, virus writing tutorials, articles, books, news archives etc. Even the viruses for the platforms you've never heard of. We also offer free hosting for virus authors and groups.

Some of you might reasonably say that it is illegal to offer such content on the net. Or that this information can be misused by "malicious people". I only want to ask that person: "Is ignorance a defence?"

Traduction rapide de google

Les virus ne nuisent pas, l'ignorance oui!

"Toute personne a droit à la liberté d'opinion et d'expression;
ce droit implique la liberté d'avoir des opinions sans ingérence
et de chercher, de recevoir et de répandre des informations et des idées par
des médias et sans considération de frontières ".
L'article 19 de la «Déclaration universelle des droits de l'homme"

Bienvenue à VX ciel! Ce site est dédié à fournir des informations sur les virus informatiques (ou virii, comme certains préfèrent) à quiconque est intéressé à ce sujet.

Ce site contient une énorme collection, constamment mise à jour des magazines, des échantillons de virus, sources de virus, moteurs polymorphiques, les générateurs de virus, des tutoriels d'écriture de virus, des articles, des livres, des nouvelles archives, etc. Même les virus pour les plateformes que vous avez jamais entendu parler. Nous offrons également l'hébergement gratuit pour les auteurs et les groupes virus.

Certains d'entre vous peut raisonnablement dire qu'il est illégal d'offrir ce type de contenu sur le net. Ou que cette information peut être utilisée à mauvais escient par des "personnes malintentionnées". Je veux seulement demander à cette personne: «Est-ignorance une défense"

M.

[celtic88]

@Mesa cher amie,moi je veut ni l un ni l autre je vous juste apprendre est c est pas interdit a ma connaissance et plus il ya beaucoup de programme installer dans votre ordinateur utilise cette méthode ,,, exemple tu pence quoi d un simple "pierre" a ce que c est interdit ? car en peut frappez quelqu un avec !mai en peut encore faire batire avec ,,,,,,et la programmation est un océan son fin alors commence pas a l interdire.

salutation cher amie

[G-Rom]

Bonjour Celtic, les liens qui mène sur des site de piratage quel qu'il soit sont prohibé. je supprimerais tes liens.
je ne t'encourage pas dans tes démarches , une recherche sur le forum avec le mot clé hook te donnera des résultats.
ce genre de programme pousse les antivirus à classer tout les programmes PB comme malveillants ( faux - positif ).

[Anonyme2]

celtic88,

il faut que tu expliques ce que doit faire ton code sinon il y aura peu de monde pour t'aider.

Il y a quelques années, un intrus a pris le nom d'un membre du forum en mettant un espace devant, il s'est inscrit, a mis un code et moi comme un con je l'ai exécuté.
Pas d'explications, alors ma partition a été partiellement effacée avec ce code.

Aujourd'hui, quand je vois certaines API, je n'exécute pas surtout s'il n'y a pas d'explication.

[celtic88]

celtic88,

il faut que tu expliques ce que doit faire ton code sinon il y aura peu de monde pour t'aider.

Il y a quelques années, un intrus a pris le nom d'un membre du forum en mettant un espace devant, il s'est inscrit, a mis un code et moi comme un con je l'ai exécuté.
Pas d'explications, alors ma partition a été partiellement effacée avec ce code.

Aujourd'hui, quand je vois certaines API, je n'exécute pas surtout s'il n'y a pas d'explication.

bon slt denis malgré tes suspects ver moi qui n ont aucun sens ...mai bon ...,
je pense que tu sais un peux les api et ci fonction c i non il ya le site de microsoft ..., et dans mon code il ya aucun des codes que tu suspect d être malveillant ....!!!!
voila et pour qui concerne mon app :une simple idee qui m'a venu dans l'esprit :
un virus amie !
j ai dit pourquoi pas crée un application qui consiste a faire des hook ver un application qui on a des doutes contre ci fonction par exemple: quand un application veut injecter un programme avec la fonction "CreateProcess" ou "CallWindowPro" et le ca des virus ! ,ou quand un process vue connecter a un autre pc avec "connect()" ......un message sorte t indiquera ce dangereux fonction qui va ce passer ,et toi tu choisir c'est tu vous que le processeur continue son travail ou linteromp ... et voila voila j'espere etre clair car j ai mal a exprimer en français et merci métre gdi

[falsam]

bon slt denis malgré tes suspects ver moi qui n ont aucun sens ...mai bon ...,

Bonjour Celtic. Denis ne t'accuse pas de poster un virus. Il te demande de poster une explication de ton code.

l faut que tu expliques ce que doit faire ton code sinon il y aura peu de monde pour t'aider.

[celtic88]

bon slt denis malgré tes suspects ver moi qui n ont aucun sens ...mai bon ...,

Bonjour Celtic. Denis ne t'accuse pas de poster un virus. Il te demande de poster une explication de ton code.

l faut que tu expliques ce que doit faire ton code sinon il y aura peu de monde pour t'aider.

slt ms falsam,
ecout moi j ai rien dit seulement je trouver sa un peut bizarre de ca par puit regarde mon code na rien de dangereux meme un debutant comme moi le sais ,,,enfin bref je pence que jai fait un erreur de poster ca la