[HaBo]

Schurke · 10.03.09, 20:15

Also es geht erstmal um diesen Artikel / Quellcode: http://www.codeguru.com/cpp/w-p/dll/...ticle.php/c127

Und zwar wollte ich hierbei fragen, es wird ja mit einem WH_CBT gearbeitet, okay, dieser kommt beim erstellen, zerstören, max, min etc. von fenstern und so weiter. Das ist alles klar, aber wie kommt es das dabei die Dll einspringt und sich an den process attacht, kurz gesagt, im DLLMain in die if bedingung kommt wenn die Hook-Callback aufgerufen wird?

**CDW** · 10.03.09, 22:57

Meinst Du wie die DLL überhaupt "injected" wird?
Das passiert mit der

Code:

hHook = SetWindowsHookEx( WH_CBT, HookProc, hDLL, 0 );

(dllmain.cpp), wird in der Testanwendung selbst per "InstallHook()" aufgerufen.
http://msdn.microsoft.com/en-us/library/ms644990(VS.85).aspx

Schurke · 10.03.09, 23:14

Jaa.. aber der Hook wird ja global gesetzt, dann springt er bei nem zerstören / erschaffen / minimieren / max... an und dann wird plötzlich zudem DllMain aufgerufen, und ich möcht wissen wieso o.o bitte ^^

xrayn · 11.03.09, 00:41

Komische Sache oder? Aber ich hab diese Beobachtung schon oefters gemacht. Egal welche PE ich lade, ob DLL, EXE oder sogar SYS... immer wird der EP gecallt. Bestimmt n Bug von MS

Schurke · 11.03.09, 15:49

Du bist so fiieß xD, ich hätte den hook halt so verstanden:

- System kriegt Adresse & Handle zur Funktion / DLL
- System ruft bei bedarf direkt die Funktion der DLL auf. ( Funktion Ließt aus ( ändert ), ruft nächsten Hook in der Reihe )

und in dieser Ansicht gibt es eben keinen Aufruf der DLLMain

+++ATH0 · 11.03.09, 17:38

Die DllMain wird auch immer gecalled, wenn ein neuer Thread im Prozess ensteht oder beendet wird.

10.03.09, 20:15	#1 (permalink)
Schurke Registriert seit: 10.01.08 Karma: 5	Dll Hooking über Api Hook Also es geht erstmal um diesen Artikel / Quellcode: http://www.codeguru.com/cpp/w-p/dll/...ticle.php/c127 Und zwar wollte ich hierbei fragen, es wird ja mit einem WH_CBT gearbeitet, okay, dieser kommt beim erstellen, zerstören, max, min etc. von fenstern und so weiter. Das ist alles klar, aber wie kommt es das dabei die Dll einspringt und sich an den process attacht, kurz gesagt, im DLLMain in die if bedingung kommt wenn die Hook-Callback aufgerufen wird?

10.03.09, 22:57	#2 (permalink)
CDW Moderator Registriert seit: 20.07.05 Karma: 31	Meinst Du wie die DLL überhaupt "injected" wird? Das passiert mit der Code: hHook = SetWindowsHookEx( WH_CBT, HookProc, hDLL, 0 ); (dllmain.cpp), wird in der Testanwendung selbst per "InstallHook()" aufgerufen. http://msdn.microsoft.com/en-us/library/ms644990(VS.85).aspx __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Inline Hooking	Schurke	(In)security allgemein	5	03.05.09 14:44
zum Hooking	Schurke	Code Kitchen	4	07.06.08 14:48
[HowTo] Api-Hooking -- Interesse?	Xalon	(In)security allgemein	44	14.01.08 19:30
Tastendruck über Hook simulieren	Gargamel27	Code Kitchen	1	21.11.07 22:15
Artikelsuche Social engineering, security, dll hooking	Verucca	(In)security allgemein	5	25.09.07 14:04

10.03.09, 23:14	#3 (permalink)
Schurke Themenstarter Registriert seit: 10.01.08 Karma: 5	Jaa.. aber der Hook wird ja global gesetzt, dann springt er bei nem zerstören / erschaffen / minimieren / max... an und dann wird plötzlich zudem DllMain aufgerufen, und ich möcht wissen wieso o.o bitte ^^

11.03.09, 00:41	#4 (permalink)
xrayn Registriert seit: 05.03.08 Karma: 8	Komische Sache oder? Aber ich hab diese Beobachtung schon oefters gemacht. Egal welche PE ich lade, ob DLL, EXE oder sogar SYS... immer wird der EP gecallt. Bestimmt n Bug von MS

11.03.09, 15:49	#5 (permalink)
Schurke Themenstarter Registriert seit: 10.01.08 Karma: 5	Du bist so fiieß xD, ich hätte den hook halt so verstanden: - System kriegt Adresse & Handle zur Funktion / DLL - System ruft bei bedarf direkt die Funktion der DLL auf. ( Funktion Ließt aus ( ändert ), ruft nächsten Hook in der Reihe ) und in dieser Ansicht gibt es eben keinen Aufruf der DLLMain

11.03.09, 17:38	#6 (permalink)
+++ATH0 Registriert seit: 02.04.05 Karma: 22	Die DllMain wird auch immer gecalled, wenn ein neuer Thread im Prozess ensteht oder beendet wird.