CreateToolhelp32Snapsot - x64

[N0iD]

Приветствую, имеется вот такой вот код. Это сканер сигнатур, и все бы хорошо, но он не заточен под работу с приложениями x64. Работает на Delphi2007 и Delphi2010, на Delphi7 и Delphi XE2 не завелось. (Это там где я пробовал\проверял).

//На форме мемо и бутон.

PHP код:

unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs,TlHelp32, StdCtrls;

type
  TForm1 = class(TForm)
    Button1: TButton;
    Memo1: TMemo;
    procedure Button1Click(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;
  m_pID: integer;
  m_hProc: THandle;
  module: TModuleEntry32;
  m_Sign: integer;

  const
   procName = 'file.exe';
   Sign: array [0 .. 5] of byte = ($89, $05, $84, $BA, $03, $00  );
   Mask = 'xxxxxx'; //Чтобы пропускать символы ставим в заместо "x" символ "?"
implementation

{$R *.dfm}

procedure GetPID;
var
  snapshot: THandle;
  pInfo: PROCESSENTRY32;
begin
  snapshot := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  pInfo.dwSize := sizeof(PROCESSENTRY32);
  if (Process32First(snapshot, pInfo)) then
  begin
    while (Process32Next(snapshot, pInfo)) do
    begin
      if pInfo.szExeFile = procName then
      begin
        m_pID := pInfo.th32ProcessID;
        CloseHandle(snapshot);
        exit;
      end;
    end;
  end;
  m_pID := 0;
  CloseHandle(snapshot);
  exit;
end;

function GetModuleInfo(const module_name: PChar; main_process: boolean): TModuleEntry32;
var
  snapshot: THandle;
  module: TModuleEntry32;
begin
  snapshot := CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, m_pID);
  module.dwSize := sizeof(TModuleEntry32);
  if (Module32First(snapshot, module)) then
  begin
    if (main_process) then
    begin
      CloseHandle(snapshot);
      result := module;
    end;
    while (Module32Next(snapshot, module)) do
    begin
      if (StrIComp(PChar(ExtractFileName(module.szModule)), PChar(module_name)) = 0) then
      begin
        CloseHandle(snapshot);
        result := module;
      end;
    end;
  end;
  result := module;
end;

function DataCompare(data: PByte; sign: PByte; mask: PAnsiChar): boolean;
begin
  while mask^ <> #0 do
  begin
    if ((mask^ = 'x') and (data^ <> sign^)) then
    begin
      result := false;
      exit;
    end;
    inc(mask);
    inc(data);
    inc(sign);
  end;
  result := true;
end;

function ScanSignature(base: Dword; size: Dword; sign: PByte; mask: PAnsiChar): integer;
var
  mbi: MEMORY_BASIC_INFORMATION;
  offset: integer;
  buffer: PByte;
  BytesRead: Dword;
  i: integer;
begin
  offset := 0;
  while (offset < size) do
  begin
    VirtualQueryEx(m_hProc, Pointer(base + offset), &mbi, sizeof(MEMORY_BASIC_INFORMATION));
    if (mbi.State <> MEM_FREE) then
    begin
      GetMem(buffer, mbi.RegionSize);
      ReadProcessMemory(m_hProc, mbi.BaseAddress, buffer, mbi.RegionSize, BytesRead);
      for i := 0 to mbi.RegionSize do
      begin
        if (DataCompare(buffer + i, sign, mask)) then
        begin
          FreeMem(buffer);
          result := integer(mbi.BaseAddress) + i;
          exit;
        end;
      end;
      FreeMem(buffer);
    end;
    offset := offset + mbi.RegionSize;
  end;
  result := 0;
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
Memo1.Lines.Clear;
GetPID();
  if (m_pID <> 0) then
  begin
    module := GetModuleInfo(nil, true);
    m_hProc := OpenProcess(PROCESS_ALL_ACCESS, false, m_pID);
    m_Sign := ScanSignature(integer(module.modBaseAddr), module.modBaseSize, @Sign, Mask);

        Memo1.Lines.Clear;
        Memo1.Lines.Add( IntToStr(m_hProc));
        Memo1.Lines.Add('Handle Process: $' +inttohex(m_hProc, sizeof(m_hProc)));
        Memo1.Lines.Add('Pid: $'+inttohex(m_pID, sizeof(m_pID)));
        Memo1.Lines.Add('Process Base Address: $'+ inttohex(integer(module.modBaseAddr), sizeof(module.modBaseAddr)));
        Memo1.Lines.Add('Process Base Size: $'+ inttohex(module.modBaseSize, sizeof(module.modBaseSize)));
        Memo1.Lines.Add('Signature Address: $' + inttohex(m_Sign, sizeof(m_Sign)));;

    CloseHandle(m_hProc);
  end;
end; 


Дни гугления дали свои плоды, может быть для кого то это очевидно, но для меня стало откровением то что в function GetModuleInfo нужно использовать для x64 приложений , EnumProcessModulesEx или как понял GetProcessImageFileName. Своих знаний на переделку не хватает, надеюсь на ваше снисхождение в помощи, в правке.

Или же я вообще несу ахинею и меня следует сжечь на костре?

[N0iD]

И еще вопрос по поводу составления сигнатуры с маской, так как для составление сигнатуры для x32 я пользовался OllyDBG, то для x64 лишь по аналогии вручную сделал из вот такого кода, вот такую сигнатуру с маской. Правильно ли я сделал маску для x64?

x64

PHP код:

48 8B 81 48020000  - mov rax,[rcx+00000248]
48 8B CA                - mov rcx,rdx
48 89 02                - mov [rdx],rax 


PHP код:

$48, $8b, $81, $48, $02, $00, $00, $48, $8B, $CA, $48, $89 $02
xxx????xxxxxx 


И то что дала OllyDBG для x32

PHP код:

8B 81 78010000    - mov eax,[ecx+00000178]
8B 75 08              - mov esi,[ebp+08]
8B CE                  - mov ecx,esi 


PHP код:

$8B, $81, $78, $01, $00, $00, $8B, $75, $08, $8B, $CE
xx????xxxxx 


[Человек_Борща]

Цитата:

но для меня стало откровением то что в function GetModuleInfo нужно использовать для x64 приложений , EnumProcessModulesEx или как понял GetProcessImageFileName.

Чепуха притом полнейшая. На MSDN об этом не разу ни слова.

Вместо CreateToolhelp32Snapshot, надежнее использовать PsAPI.

Сигнатурымогут быть вполне одинаковы как для x32 процесса, так и для x64.
Читайте установки PE-заголовка и ищите сигнатуры в зависимости от платформы.

[N0iD]

Человек_Борща
Спасибо за пищу для размышления.

[Stilet]

Цитата:

Сигнатурымогут быть вполне одинаковы как для x32 процесса, так и для x64.

А мне вот интересно если в секции данных будет искомая сигнатура, как программа отреагирует на это?
Т.е. мы нашли, но... нашли не совсем то что искали )

[N0iD]

Человек_Борща
Кстате, скомпилил я тестовый файлик x64, и внем в данном варианте превосходно все находит, но указанною мною сигнатуру с маской не видит, когда я все тоже самое проделываю над нужным мне файлом, кроется сомнение все же в том, правильно ли я сделал маску.

Код:

48 8B 81 48020000  - mov rax,[rcx+00000248]
48 8B CA                - mov rcx,rdx
48 89 02                - mov [rdx],rax 

$48, $8b, $81, $48, $02, $00, $00, $48, $8B, $CA, $48, $89 $02
xxx????xxxxxx

А, и еще при повторном нажатие на поиск ни чего не находится, эти все проблемы решатся с PSapi ?

[Пепел Феникса]

Цитата:

Сообщение от N0iD

Человек_Борща
Кстате, скомпилил я тестовый файлик x64, и внем в данном варианте превосходно все находит, но указанною мною сигнатуру с маской не видит, когда я все тоже самое проделываю над нужным мне файлом, кроется сомнение все же в том, правильно ли я сделал маску.

Код:

48 8B 81 48020000  - mov rax,[rcx+00000248]
48 8B CA                - mov rcx,rdx
48 89 02                - mov [rdx],rax 

$48, $8b, $81, $48, $02, $00, $00, $48, $8B, $CA, $48, $89 $02
xxx????xxxxxx

А, и еще при повторном нажатие на поиск ни чего не находится, эти все проблемы решатся с PSapi ?

PSAPI не будет искать за вас.

[Человек_Борща]

Цитата:

А мне вот интересно если в секции данных будет искомая сигнатура, как программа отреагирует на это?

Это зависит от состояния файла. Если он запущен - правильнее искать в памяти процесса, если не запущен то нужно искать в файле, но уже более "умную" сигнатуру. Да и что мешает трояну хранить что-то искомое в секции данных или даже text?

Маска должна быть в самой сигнатуре, т.е.:
EB FF E5 ?? ?? ?? 03 F7 EF

+.т.к. это сигнатура, то встречается она всего 1 раз, и зачем сканировать весь файл, если можно точно обозначить пределы, где эти байты могут быть расположены...

Тоже самое для процесса.