| Сейчас на форуме: subword, rtsgreg1989 (+9 невидимых) |
 |
eXeL@B —› Основной форум —› МИСТИКА !!! |
| Посл.ответ | Сообщение |
|
|
Создано: 02 августа 2008 17:43 · Личное сообщение · #1 в Висте в игрушках есть какойто не понятный обработчик int 3 Если взять какую нибудь игрушку, напр. \Program Files\Microsoft Games\Chess\Chess.exe то там есть такой код: .01040741: int 3 .01040742: push ebp .01040743: int 3 .01040744: mov eax,[0112B144] .01040749: xor eax,ebp .0104074B: mov [ebp][-04],eax .0104074E: mov eax,[ebp][08] .01040751: push ebx .01040752: mov ebx,[ebp][0C] .01040755: push esi .01040756: mov esi,[ebp][10] .01040759: mov [ebp][-00000218],eax .0104075F: mov eax,[ebp][14] .01040762: push eax .01040763: mov [ebp][-00000214],ebx .01040769: mov [ebp][-0000021C],eax .0104076F: push ebp .01040770: int 3 .01040771: push ebp .01040772: int 3 .01040773: push ebp .01040774: int 3 ....................... Который вызывается так: .01037A90: push d,[0112B0FC] .01037A96: push d,[0112B0F8] .01037A9C: push d,[0112B104] .01037AA2: push d,[0112B100] .01037AA8: push d,[ebp][-00000458] .01037AAE: push ebx .01037AAF: push ebx .01037AB0: push d,[0113AE98] .01037AB6: call .001040741 -------------------- Вызов мистической функции .01037ABB: xor eax,eax Так вот если (под любым дебагером) поставить бряк по адресу напр. 1037AAE то он сработает нормально, если же войти в функцию 001040741 то там уже начинается чертовщина какаято. Дебагер не останавливается на int 3 внутри функции а вместо этого каждый int 3 выполняет какуюто часть кода. Первый похоже на push ebp mov ebp, esp sub esp, 200h последующие int3 тоже делают чтото своё. Это всё очень похоже на обработчик исклющений, и там действительно установлен SEH. Но вопервых у дебагера приоритет выше, а во вторых я даже проверил - он не вызывается 
Как они это всё делают !!! ??? !!! Для чего ??? защита от чегото ??? Кто знает чтонить об этом ? Как сделать самому такое ? МИСТИКА ! 
 |
|
|
Создано: 03 августа 2008 17:33 · Личное сообщение · #2 Иещё обнаружил что в екзешниках, где это встречаетса присутствует первая секция с названием ".pexe" в которой повидимому находится какаято криптованная структура. Хедер етой структуры выглядит так: "LAV\x01", 0x03 ..... так вот если пакоцать этот хедер то все int3 срабатывают как надо и бесовщина исчезает. Прога только не работает. Всё дело в этом - однозначно!
|
|
|
Создано: 03 августа 2008 17:58 · Личное сообщение · #3 крис чето писал по поводу названия секций в висте. Вроде там из-за названия секции пакованым exe делаются поблажки, короче сделано спецом для совместимости. ----- Nulla aetas ad discendum sera |
|
|
Создано: 03 августа 2008 18:25 · Личное сообщение · #4 В Висте многие DLL, особенно крпитозащиты, упакованы, в том числе UPX, причем только некоторые секции Большая часть int 3 По моему , просто DebugBreak ищи ОБРАБОТЧИК |
|
|
Создано: 03 августа 2008 19:06 · Личное сообщение · #5 Про ЮпиИкс в Висте ты это сдорово конечно завернул. 
Я тут немного поковырял в Иде. NTOSKRNL.EXE И могу абсолютно точно сказать што это новая фишка в Висте. Не знаю как называется, но при загрузке имеджа NTOSKRNL ищет секцию под названием ".pexe" и если находит её то раскриптовывает и по инфе в нутри создаёт свои обработчики прерываний для текущиго приложения. На этом силы у меня иссякли. Вечер воскресенья всётки нада и пива попить 
Хотя тема конечно очень интересная, при случае продолжу. Надо самому попробовать такое сделать. |
|
|
Создано: 03 августа 2008 19:32 · Личное сообщение · #6 Крис писал что еще к секциям от старфорса (точна названия не помню) виста по другому относится ----- Nulla aetas ad discendum sera |
|
|
Создано: 03 августа 2008 19:52 · Личное сообщение · #7 |
|
|
Создано: 03 августа 2008 20:52 · Личное сообщение · #8 Про секции-насколько я знаю, это древний баян, ещё с ХР, там аспак и тд. А тут возможно заюзаны секции с дебаговой инфой, и виста обращается с ними хитро. Лишь предположение, ибо не смотрел. |
|
|
Создано: 03 августа 2008 23:18 · Личное сообщение · #9 По поводу UPX в Висте Explorer использует BatchCrypto.dll Вся DLL упакована UPX При загрузке немного модифицируеь распакованную Естественно DLL Виста имеет Linker 8.0 OS 6.0 Виста NTOSkrnl содержит 23 секции: .text _PAGELK POOLCODE MISYSPTE POOLMI .data ALMOSTRO SPINLOCK PAGE PAGEKD PAGELK PAGEVRFV PAGEHDLS PAGEBSS PAGEVRFB .edata PAGEDATA PAGEKDD PAGEVRFC pAGEVRFD INIT .rsrc .reloc Содержит в дополнение к BOOTVID.dll, HAL.dll, KDCOM.dll (XP, 2003) НОВЫЕ: CI.dll - Code Integrity Module CLFS.SYS - Common Lof File System Driver PSHEID.dll - Драйвер аппаратных ошибок, специфичных ля платформы Секций .pe........ ЗАМЕЧЕНО НЕ БЫЛО ИДА ещё то покажет |
|
|
Создано: 04 августа 2008 02:46 · Личное сообщение · #10 Flint пишет: крис чето писал по поводу названия секций в висте. Это ещё с 2k (ну или с XP). Софтовый анти-DEP |
|
|
Создано: 04 августа 2008 14:23 · Личное сообщение · #11 Flint пишет: Крис писал что еще к секциям от старфорса (точна названия не помню) виста по другому относится .sforce, также для .aspack |
|
|
Создано: 04 августа 2008 19:03 · Личное сообщение · #12 vitokop пишет: По поводу UPX в Висте Explorer использует BatchCrypto.dll Скачай антивирус касперскава он наверняка ещё больше полезных програмок упакованных UPXом на твоём компе найдёт
www.baidumsg.com/malwareremoval/malwareremoval_27559.html или www.prevx.com/filenames/X1698212232086632862-0/BATCHCRYPTO.DLL.html |
|
|
Создано: 15 августа 2008 16:45 · Личное сообщение · #13 Flint: Крис писал что еще к секциям от старфорса (точна названия не помню) виста по другому относится mADmAT: Я тут немного поковырял в Иде. NTOSKRNL.EXE И могу абсолютно точно сказать што это новая фишка в Висте. .... Скорее всего, в висте добавили механизм определения специальных секций, по которым устанавливаются дополнительные фичи. По типу собственных обработчиков прерываний для текущего приложения. |
|
|
Создано: 15 августа 2008 17:11 · Личное сообщение · #14 Залейте кто-нить этот файл на файлообменник. |
|
|
Создано: 16 августа 2008 19:13 · Личное сообщение · #15 определенно UPX |
|
eXeL@B —› Основной форум —› МИСТИКА !!! |
Для печати