home *** CD-ROM | disk | FTP | other *** search
/ Chip 2004 October / CMCD1004.ISO / Software / Shareware / Utilitare / pec / pec2setup.exe / pec2hooks / pec2hooks_fastimport / fastimport.asm next >
Encoding:
Assembly Source File  |  2004-06-29  |  7.3 KB  |  388 lines
  1.  
  2. ; -------------------------------------------------------
  3. ; PECompact v2 API Hook Module - Loader plugin-plugin
  4. ; (c)2004 Bitsum Technologies
  5. ; -------------------------------------------------------
  6. ; Compatible with MASM.
  7. ;
  8. ; WARNING: This code is under development and has not 
  9. ;  been fully commented and refined.
  10. ;
  11. ;
  12.  
  13. option casemap:none 
  14. .486p
  15. .model flat,stdcall
  16.     
  17. ; ------------------------------------------------
  18. ; Include files
  19. ; ------------------------------------------------
  20.  
  21. include ..\pec2hooks\miscdef.inc
  22. include ..\pec2hooks\pec2hooks.inc
  23.  
  24. ; ------------------------------------------------
  25. ; public symbols
  26. ; ------------------------------------------------
  27.  
  28. public GetPointerToHookData
  29. public GetHookDataSize    
  30.  
  31. ; ------------------------------------------------
  32. ; Function prototypes
  33. ; ------------------------------------------------
  34. GetPointerToHookData PROTO
  35. GetHookDataSize PROTO
  36. GetHookFlags PROTO
  37.  
  38. Initialize PROTO pHookData:DWORD
  39. LoadLibraryAHook PROTO pszModule:DWORD
  40. GetProcAddressWithHintHook PROTO hModule:DWORD, pszApi:DWORD, nHint:DWORD
  41.  
  42. .code
  43.  
  44. GetPointerToHookData proc
  45.     lea eax,HookData
  46.     ret
  47. GetPointerToHookData endp
  48.  
  49. GetHookDataSize proc
  50.     mov eax,offset HookDataEnd-offset HookData
  51.     ret
  52. GetHookDataSize endp
  53.  
  54. GetHookFlags proc
  55.     mov eax,PEC2_HOOKS_FLAG_MANDATE_LAST_IN_ORDER
  56.     ret
  57. GetHookFlags endp
  58.  
  59. ;-------------------------------------------------
  60. ; HookData 
  61. ;;-------------------------------------------------
  62. HookData HookDataInfo <size HookDataInfo, PEC2_HOOKS_VERSION, \
  63.             offset Initialize-offset HookData, \
  64.             0, \   
  65.             offset LoadLibraryAHook-offset HookData, \
  66.             offset GetProcAddressWithHintHook-offset HookData>
  67.  
  68. g_pLoadLibraryA dd 0
  69. g_pGetProcAddressWithHint dd 0
  70.  
  71. szK32 db 'kernel32',0
  72. szGMHA db 'GetModuleHandleA',0
  73. g_pGetModuleHandleA dd 0
  74.  
  75. ;-------------------------------------------
  76. ;
  78. ;        
  79. Initialize proc uses ebx edi esi pHookDataInfo:DWORD
  80.     GET_DELTA ebx
  81.     
  82.     mov esi,pHookDataInfo
  83.     lea edi,g_pLoadLibraryA[ebx]
  84.     mov ecx,2
  85.     cld
  86.     rep movsd
  87.     
  88.     ; todo: we need to freelibrary on kernel32 -- add deinitialize func?
  89.     lea eax,szK32[ebx]
  90.     push eax
  91.     call LoadLibraryAHook
  92.     
  93.     push 0
  94.     lea ecx,szGMHA[ebx]
  95.     push ecx
  96.     push eax
  97.     call GetProcAddressWithHintHook
  98.     mov g_pGetModuleHandleA[ebx],eax
  99.     
  100.     ret
  101. Initialize endp
  102.  
  103. ;-------------------------------------------
  104. ;
  105. ;
  106. LoadLibraryAHook proc uses ebx edi esi pszModule:DWORD
  107.     GET_DELTA ebx
  108.     push pszModule
  109.     call g_pLoadLibraryA[ebx]
  110.     ret
  111. LoadLibraryAHook endp
  112.  
  113. MYSTRCMP MACRO
  114.     LOCAL endme
  115.     LOCAL loopme
  116.     LOCAL endgood
  117.     LOCAL endgreat
  118.     LOCAL endless
  119.     
  120.   loopme:
  121.     mov al,byte ptr [esi]
  122.     mov ah,byte ptr [edi]
  123.     inc esi
  124.     inc edi
  125.     test ax,ax
  126.     jz endgood
  127.     cmp al,ah
  128.     ja endgreat
  129.     jb endless
  130.     jmp loopme
  131.   endgood:
  132.     xor eax,eax
  133.     jmp endme
  134.     endgreat:
  135.         mov eax,1
  136.         jmp endme
  137.     endless:
  138.         mov eax,-1        
  139.     endme:        
  140. ENDM
  141.  
  142. ;-------------------------------------------
  143. ;
  144. ; GetProcAdress
  145. ;
  146. ;  uses hints
  147. ;  binary search
  148. ;  handles forwarded exports (NTDLL.Name, NTDLL.#123)
  149. ;  
  150. ;
  151. GetProcAddressWithHintHook proc uses ebx edi esi hModule:DWORD, pszApi:DWORD, nHint:DWORD
  152.     LOCAL nStartIndex:DWORD    
  153.     LOCAL nExportSize:DWORD
  154.     LOCAL szTemp1[256]:BYTE
  155.         
  156.     GET_DELTA ebx
  157.     
  158.     push hModule
  159.     call GetPointerToPEHeader
  160.     ; exports is first data directory
  161.     lea edi,([eax]+IMAGE_NT_HEADER.DataDirectories)
  162.     mov esi,[edi]
  163.     mov eax,[edi+4]
  164.     mov nExportSize,eax
  165.     add esi,hModule
  166.     ; esi-> export directory
  167.     
  168.     mov ecx,pszApi
  169.     cmp ecx,0ffffh
  170.     ja ImportByName
  171.     
  172.   ;----------------------------------------------
  173.   ;
  174.   ; ImportByOrdinal 
  175.   ;  ordinal in ecx
  176.   ;
  177.   ImportByOrdinal:    
  178.     sub ecx,([esi]+ExportDirectory.Base)
  179.     mov edi,([esi]+ExportDirectory.AddressOfFunctions)
  180.     add edi,hModule
  181.     shl ecx,2   ; *4
  182.     mov eax,[edi+ecx]
  183.     add eax,hModule
  184.     
  185.     ;
  186.     ; see if this is a forwarded export
  187.     ; check if in export section (COFF spec)
  188.     ;
  189.     cmp eax,esi
  190.     jb NotForwarder
  191.     add esi,nExportSize
  192.     cmp eax,esi
  193.     ja NotForwarder
  194.     
  195.     ;
  196.     ; format:
  197.     ;   NTDLL.FuncName
  198.     ;   NTDLL.#1
  199.     ;
  200.     ; find '.'
  201.     
  202.     lea edi,szTemp1
  203.     ; edi->DLL name
  204.     
  205.     FindDotLoop:
  206.       mov cl,byte ptr [eax]      
  207.       mov byte ptr [edi],cl
  208.       inc eax
  209.       cmp cl,'.'
  210.       jz FoundDot                  
  211.       inc edi          
  212.       jmp FindDotLoop
  213.       
  214.     FoundDot:        
  215.         
  216.       mov byte ptr [edi],0      
  217.       lea edi,szTemp1
  218.           
  219.       ; edi->DLL name
  220.       ; eax->API or ord#
  221.       mov cl,byte ptr [eax]
  222.       cmp cl,'#'
  223.       jnz IsNamedForwarder            
  224.       inc eax
  225.       push eax
  226.       call AsciiDecimalToDword      
  227.     IsNamedForwarder:    
  228.       mov esi,eax      
  229.     ImportIt:            
  230.       push edi
  231.       call g_pGetModuleHandleA[ebx]
  232.       test eax,eax
  233.       jz GotMod    
  234.       push edi
  235.       call LoadLibraryAHook    
  236.     GotMod:
  237.       ; eax=module
  238.       test eax,eax
  239.       jz NotFound
  240.       
  241.       push 0
  242.       push esi
  243.       push eax
  244.       call GetProcAddressWithHintHook                                  
  245.         
  246.     NotForwarder:
  247.     ; eax= api address
  248.         ret
  249.     
  250.     ;--------------------------------------------------------------
  251.     ;
  252.     ; ImportByHint  (index into Name Pointer Table)
  253.     ;
  254.     ;  Hint in eax    
  255.     ;
  256.  ImportByHint:   
  257.     mov edi,([esi]+ExportDirectory.AddressOfNameOrdinals)
  258.     add edi,hModule
  259.     shl eax,1
  260.     xor ecx,ecx
  261.     mov cx,[edi+eax]
  262.     
  263.     mov edx,([esi]+ExportDirectory.Base)
  264.     add ecx, edx    
  265.     
  266.     jmp ImportByOrdinal
  267.     
  268.     ;-------------------------------------------------------------
  269.     ;
  270.     ; Begin Import by name
  271.     ;    
  272.   ImportByName:
  273.  
  274.     ;
  275.     ; do binary search using hint as initial mid
  276.     ;
  277.     mov edi,([esi]+ExportDirectory.AddressOfNames)
  278.     add edi,hModule
  279.     
  280.     ; edi->Names Array
  281.     ; ecx=current index
  282.     ; 
  283.     mov nStartIndex,0
  284.     mov edx,([esi]+ExportDirectory.NumberOfNames)
  285.     dec edx
  286.     ; edx holds end index
  287.     
  288.     xor eax,eax
  289.     add eax,nHint    
  290.     jz BinarySearch 
  291.     cmp edx,eax
  292.     jb BinarySearch  ;; hint out of bounds, ignore it
  293.     
  294.     ;
  295.     ; hint is available so use it as initial mid
  296.     ;                    
  297.     mov ecx,eax
  298.     jmp StartBinarySearchWithHint
  299.     
  300.       BinarySearch:                    
  301.           mov ecx,edx
  302.           mov eax,nStartIndex
  303.           ; ecx=last
  304.           ; eax=first          
  305.           cmp eax,ecx
  306.           ja NotFound
  307.           add ecx,eax                  
  308.           shr ecx,1       ; /2    
  309.           ;ecx=mid ...
  310.      StartBinarySearchWithHint:          
  311.           
  312.           mov eax,[edi+(ecx*4)]
  313.         add eax,hModule
  314.         
  315.         push ecx
  316.         push edx
  317.         push edi
  318.         push esi
  319.         
  320.         mov edi,pszApi
  321.         mov esi,eax
  322.         MYSTRCMP
  323.         
  324.         pop esi
  325.         pop edi
  326.         pop edx
  327.         pop ecx
  328.                 
  329.         ;
  330.         ; if eax > 0 .. then current api > sought api
  331.         ; if eax < 0 ... then current api < sought api
  332.         ; 
  333.         
  334.         cmp eax,0
  335.         jz FoundMatch    
  336.         jg GreaterThan        
  337.         ;
  338.         ; LessThan
  339.         ;  - discard lower half
  340.         inc ecx
  341.         mov nStartIndex,ecx        
  342.         jmp BinarySearch
  343.         
  344.         GreaterThan:
  345.         dec ecx
  346.         mov edx,ecx
  347.         jmp BinarySearch            
  348.         
  349.      FoundMatch:
  350.          ;
  351.         ; ecx=index into names/ordinals array
  352.         ;
  353.         mov eax,ecx
  354.         jmp ImportByHint        
  355.             
  356.     NotFound:    
  357.     xor eax,eax            
  358.     ret
  359. GetProcAddressWithHintHook endp
  360.  
  361. GetPointerToPEHeader proc hImageBase:DWORD    
  362.     mov eax,hImageBase
  363.     add eax,([eax]+IMAGE_DOS_HEADER.e_lfanew)
  364.     ret
  365. GetPointerToPEHeader endp
  366.  
  367. ; DWORD AsciiDecimalToDword(char *string);
  368. AsciiDecimalToDword proc uses ebx edi esi src:DWORD    
  369.     mov    esi,src
  370.     xor    eax,eax    
  371.     xor    ebx,ebx    
  372. asz_loop:
  373.     mov    bl,byte ptr [esi]
  374.     inc    esi    
  375.     or    bl,bl
  376.     jz    end_as
  377.     and ebx,0fh    
  378.     imul eax,10
  379.     add    eax,ebx
  380. next_as_iter:
  381.     jmp    asz_loop
  382. end_as:    
  383.     ret        
  384. AsciiDecimalToDword endp
  385.  
  386. HookDataEnd:
  387. END
  388.