Online Armor 5 RC ist erschienen! Einstellungen

[Wodde]

Hi Leute!


zur Info: Online Armor 5 RC

Neu ist ein Registry Shield, und ein Redesign der GUI.

Viel Spass

[Gast_Fabian Wosar_*]

Hallo,

Generell kann ich das Problem bestätigen das CLT unter Windows 7 x86 meldet, dass die Tests fehlgeschlagen seien. Allerdings schlägt bei mir die Code Injection an sich dennoch fehl. Am besten lässt sich das am SetWinEventHook Test zeigen:

QUELLTEXT

.text:100010BB                 mov     eax, hmodWinEventProc
.text:100010C0                 push    6              ; dwFlags
.text:100010C2                 push    0              ; idThread
.text:100010C4                 push    0              ; idProcess
.text:100010C6                 push    offset HandleWinEvent; pfnWinEventProc
.text:100010CB                 push    eax            ; hmodWinEventProc
.text:100010CC                 push    7FFFFFFFh      ; eventMax
.text:100010D1                 push    1              ; eventMin
.text:100010D3                 call    ds:SetWinEventHook

Der Code bewirkt im Endeffekt, daß Windows die DLL in andere Prozesse lädt und dort bei Ankunft eines Events die Funktion HandleWinEvent ausführt. Nun, HandleWinEvent macht folgendes:

QUELLTEXT

.text:10001080                 sub     esp, 104h
.text:10001086                 push    104h           ; nSize
.text:1000108B                 lea     eax, [esp+108h+Filename]
.text:1000108F                 push    eax            ; lpFilename
.text:10001090                 push    0              ; hModule
.text:10001092                 call    ds:GetModuleFileNameA
.text:10001098                 lea     ecx, [esp+104h+Filename]
.text:1000109B                 push    ecx            ; lpOutputString
.text:1000109C                 call    ds:OutputDebugStringA
.text:100010A2                 add     esp, 104h
.text:100010A8                 retn    1Ch

Was dort gemacht wird ist es wird der Dateiname des derzeitigen Prozesses ermittelt (GetModuleFileNameA) und dann mit Hilfe der OutputDebugStringA Funktion als Debug Nachricht ausgegeben. Das bedeutet im Falle einer erfolgreichen Injektion, sollte im Debugger oder in Microsofts DebugView ein Prozesspfad zu sehen sein. Ist es aber nicht:



Bedeutet die Injection an sich schlägt fehl. Aus irgend einem Grund gibt OA allerdings keinen "Access Denied" Fehler zurück wie sonst üblich, weshalb CLT denkt die Injection hätte geklappt. Der SetWindowsHookEx Test hat leider keinen solchen Debug Output den man zeigen könnte. Allerdings hab ich geschaut ob die DLL in irgend einen Prozess geladen wurde, was aber nicht der Fall war.

Im Endeffekt scheint es sich also nur um ein Anzeige Problem zu handeln. Ich werd mal sehen ob sich das bis zum 5.0 Release beheben lässt. Den Release verschieben werden wir deshalb allerdings nicht.