Wireshark modden

[blackberry]

Ich präsentiere:
2 (hoffe ich) in der Umsetzung neue Anti-Wiresharks, die sich damit nicht austricksen lassen.

Code:

#include <windows.h>
#include <psapi.h> // requires libpsapi.a

HANDLE get_wireshark_1(void)
{
    HWND hwnd;
    DWORD pid;
    PVOID hproc;
    
    if ((hwnd = FindWindow("gdkWindowToplevel", 0)))
    {
        GetWindowThreadProcessId(hwnd, &pid);
        return OpenProcess(PROCESS_TERMINATE, 0, pid);
    }
    return 0;
}

HANDLE get_wireshark_2(void)
{
    DWORD processes[100];
    DWORD szneeded1;
    DWORD szneeded2;
    HANDLE hProcess;
    HMODULE mods[20];
    char pname[50];
    int i;
    int j;
    
    if (!EnumProcesses(processes, sizeof(processes), &szneeded1))
        return 0;
    for(i = 0; i < (szneeded1 / sizeof(DWORD) ); i++)
    {
        if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, processes[i])))
            continue;
        if (!(EnumProcessModules(hProcess, mods, sizeof(mods), &szneeded2)))
            continue;
        
        for(j = 0; j < (szneeded2 / sizeof(HMODULE)); j++)
        {
            if (GetModuleBaseName(hProcess, mods[j], pname, sizeof(pname) - 1))
            {
                if (!strcmp(pname, "libwireshark.dll"))
                {
                    return hProcess;
                }
            }
        }
    }
    return 0;
}

int main(void)
{
    HANDLE wshark;
    
    if ((wshark = get_wireshark_1()) || (wshark = get_wireshark_2()))
    {
        TerminateProcess(wshark, 0);
    }
    else
    {
        puts("WShark NOT found!");
    }
    
    return 0;
}

Das erste sollte ziemlich einleuchtend sein; hier wird nicht nach dem Fensternamen, sondern nach der Fensterklasse gesucht.
Das zweite ist wohl vom Ansatz her intelligenter würde ich behaupten. Hier hole ich mir zuerst eine Liste aller Prozesse, die man so sieht.
Im zweiten Schritt wird für jeden Prozess die Liste der Module durchsucht und nachgeschaut, ob man dort bekannte DLL's von Wireshark wiederfindet.

Das scheitert dummerweise, wenn Wireshark als Admin läuft (was es immer tut, wenn man Libpcap nicht mit dem System starten lässt - dies ist jedoch nicht Standard!). Das liegt daran, dass dann leider nur eine unvollständige Modulliste ausgegeben wird... sollte ich Zeit haben versuche ich vielleicht nochmal sowas zu schreiben, wobei ich dann den PEB und die darin referenzierte Modulliste selber parsen würde um wirklich alle Module zu finden.

Sich gegen die zweite Methode zu verteidigen (gesetzt ich hätte das Prob mit den Rechten schon behoben) ist zwar prinzipiell auch kein riesen Modding Aufwand, aber ich glaube keiner benennt die DLL's, die geladen werden sollen in der EXE und danach noch auf der Festplatte um - insofern müsste man da wenn man das nicht täte auch wirklich anfangen zu reversen um das schließen von Wireshark zu verhindern.


MfG. BlackBerry