ELF – Перенести фрагмент кода из одной программы в другую с правкой relocs - eXeL@B

Сейчас на форуме: rmn, exp50848 (+9 невидимых)

Посл.ответ	Сообщение
Apokrif Ранг: 171.0 (ветеран), 11thx Активность: 0.05↘0 Статус: Участник	Создано: 15 февраля 2015 21:12 · Поправил: Apokrif · Личное сообщение · #1 Или похожая задача: Перенести фрагмент кода в программе на другое место правкой relocs Вопрос к спецам. Пользую примерно такой процесс: Пишу код на плюсах и переношу нужные куски в другую прогу. Т.е. взять кусок от 0xXXX до 0xYYY из файла A и скопировать по offset 0xZZZ в файл B. Оба файла shared libraries. Копировать фрагмент без проблем. Но при копировании нужно поправить смещения на import functions (malloc, free, snprintf, etc.) Править примерно так: Смотрим в import functions table в A Находим их в нашем фрагменте. Ищем используемые import functions в файле B. Правим смещения в нашем фрагменте. Записываем фрагмент. До кучи хотелось бы иметь возможность добавлять свои functions (i.e. offsets) в таблицу import functions. Т.е. оригинальный фрагмент вызывал внутреннюю функцию XB(…) Новый фрагмент вызывает свою внутреннюю функцию XA(…) (Эта внутренняя функция XA(…) просто заглушка (placeholder), она не входит в копируемый фрагмент) Нужно перенаправить вызов XA(…) на XB(…). Т.е. сделать абсолютно тоже самое, что и для imported functions. Надеюсь, что понятно описал процесс и что собственно ищу. И надеюсь, что или готовые тулы есть или их можно как-то скомбинировать. Добавил: Можно ли это сделать скриптами на ida, как-то так: Грузим файл A. Указываем фрагмент 0xXXX до 0xYYY. Ищем в нем import functions Сохраняем фрагмент + import functions. Грузим файл B. Указываем offset 0xZZZ и файл(ы) из предыдущего шага. Делаем relocate для import functions и патчим файл B. Добавил: Подумал, что можно вытащить relocs (с помощью readelf) Но это даёт только Offset-ы в самой таблице relocs. Code: Relocation section '.rel.plt' at offset 0x17c4 contains 24 entries: Offset Info Type Sym.Value Sym. Name 00008fb4 00000f16 R_ARM_JUMP_SLOT 00000000 strlen А мне нужны Offset-ы на код, который их использует: Code: .plt:000018D4 ; size_t strlen(const char s) .plt:000018D4 strlen .plt:000018D4 ADR R12, 0x18DC .plt:000018D8 ADD* R12, R12, #0x7000 .plt:000018DC LDR PC, [R12,#(strlen_ptr - 0x88DC)]! ; __imp_strlen .plt:000018DC ; End of function strlen ... .got:00008FB4 strlen_ptr DCD __imp_strlen ; DATA XREF: strlen+8 r Выходит, что без IDA никак, нужно писать на питоне?

kunix Ранг: 71.2 (постоянный), 33thx Активность: 0.05↗0.12 Статус: Участник	Создано: 16 февраля 2015 00:32 · Личное сообщение · #2 Это вы уже что-то наподобие линкера пишете Мне, кстати, когда-то тоже придется подобное написать для ELF. А вы не задумывались о том, чтобы написать пакер, который распакует оригинальный ELF, загрузит ваш payload.ELF (пофиксит релоки, импорты, т.д.), а payload.ELF уже пропатчит/перехватит функции оригинального ELF? Вроде проще выходит.
Apokrif Ранг: 171.0 (ветеран), 11thx Активность: 0.05↘0 Статус: Участник	Создано: 16 февраля 2015 06:49 · Поправил: Apokrif · Личное сообщение · #3 kunix пишет: А вы не задумывались о том, чтобы написать пакер, который распакует оригинальный ELF, загрузит ваш payload.ELF (пофиксит релоки, импорты, т.д.), а payload.ELF уже пропатчит/перехватит функции оригинального ELF? Вроде проще выходит. Это кому как. В ida уже ведь всё есть... да и мне лени не занимать! Однако угрохал 4 часа и написал пару скриптов на питоне под idc. Скрипты крошечные, но я на питоне в жизни ничего не писал до этого. Все работает как нужно, только не придумал, как проще вот это прикрутить: Apokrif пишет: До кучи хотелось бы иметь возможность добавлять свои functions (i.e. offsets) в таблицу import functions.
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 16 февраля 2015 09:47 · Личное сообщение · #4 Apokrif так делает почти любой протектор когда находится в др. секции.. таже енигма после раскриптовки тела пересчитывает адресса call-ов, и арме тоже похожее, но там есть таблица оффсетов. Как поступать с длл-кой я хз ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
Apokrif Ранг: 171.0 (ветеран), 11thx Активность: 0.05↘0 Статус: Участник	Создано: 16 февраля 2015 09:55 · Поправил: Apokrif · Личное сообщение · #5 VodoleY пишет: Как поступать с длл-кой я хз Я думаю, что скрипты IDApython почти такие же будут. Чуть допилю и выложу для критики и обсуждения. Думаю, что сделать с LocByName( name ) (адрес для имени), когда есть несколько одинаковых name... Подскажите по функции LocByName(). Что у меня имена типа byte_9c850, byte_С850 не парсит… В хедере: IDA 6.6\idc\idc.idc // Dummy names (like byte_xxxx where xxxx are hex digits) are parsed by this // function to obtain the address. The database is not consulted for them. long LocByName (string name); // BADADDR - no such name Добавлено спустя 10 часов 0 минут Выкладываю файлы. Еще раз повторю: С python познакомился только вчера, поэтому код левейший. Критика приветствуется. readme Code: ELF code fragment transfer steps: Update folder, code fragment start and end in first.idc. Run first.idc with loaded 1st file, where the code fragment is. it'll create 2 files: xref.txt and code.bin Update folder, code fragment load_to_addr in second.idc. Run second.idc with loaded 2nd file, where code fragment need to be injected to. Verify result in IDA. To apply result to 2nd file, either update it using binary editor (WinHex) with code_new.bin or create diff. first.idc Code: #include <idc.idc> static main() { Message("==> Step #1\n"); auto folder = "C:\work", // folder to save files xref_txt = "xref.txt", // xfers text file code_bin = "code.bin", // code fragment bin file start = 0x1030, // code fragment start end = 0x10C8; // code fragment end auto handle = fopen( folder + xref_txt, "w" ); auto ea; for( ea = start; ea != BADADDR; ea = NextHead( ea, end ) ) { auto xref; for( xref = Rfirst( ea ); xref != BADADDR; xref = Rnext( ea, xref ) ) { //if( xref != func + 4 ) { if( xref <= start \|\| xref >= end ) { // xref should be outside of code fragment auto functionname = GetFunctionName( xref ); Message( "0x%X, %s\n\tcalls to %s()\n", ea, GetDisasm( ea ), functionname ); fprintf( handle, "%08X\t%s\n", ea - start, functionname ); //auto x = ( xref - ea ) / 4 - 2 & 0xFFFFFF; //Message( "Instruction %x, %x\n", x, Dword( ea ) & 0xFFFFFF ); } } } fclose( handle ); handle = fopen( folder + code_bin, "wb" ); if( savefile( handle, 0, start, end - start ) != 1 ) { Message( "Error saving file %s\n", folder + code_bin ); } fclose( handle ); return 0; } second.idc Code: #include <idc.idc> static main() { Message("==> Step #2\n"); auto folder = "C:\work", // folder to read files xref_txt = "xref.txt", // xfers text file code_bin = "code.bin", // code fragment bin file codex_bin = "code_new.bin", // "relocated" code fragment bin file load_to_addr = 0x00001110; // code fragment load address auto arrayid = CreateArray( "replace_names" ); //SetHashString( arrayid, "original_sub_name_a", "new_sub_name" ); // replace to name //SetHashString( arrayid, "original_sub_name_a", "sub_ABCD" ); // replace to hex address sub_xxxx, where xxxx are hex digits SetHashString( arrayid, "_Z19javaloggervprintf_xPKcSt9__va_list", "sub_2220" ); auto handle = fopen( folder + code_bin, "rb" ); auto length = filelength( handle ); //Message( "length %d\n", length ); if( loadfile( handle, 0, load_to_addr, length ) != 1 ) { Message( "Error loading file %s\n", folder + code_bin ); } fclose( handle ); handle = fopen( folder + xref_txt, "r" ); auto line; for( line = readstr( handle ); IsString( line ); line = readstr( handle ) ) { auto offset = xtol( line ); auto functionname = substr( line, 9, strlen( line ) - 1 ); auto newfunctionname = GetHashString( arrayid, functionname ); if( trim( newfunctionname ) != "" ) { functionname = newfunctionname; } auto func = LocByName( functionname ); if( func == BADADDR ) { Message( "Error 'no such name' %s\n", functionname ); break; } Message( "%x\t%s @ %x\n", offset, functionname, func ); offset = offset + load_to_addr; auto o = Dword( offset ); auto n = o & 0xFF000000 \| ( func - offset ) / 4 - 2 & 0xFFFFFF; if( PatchDword( offset, n ) != 1 ) { Message( "Error patching offset %X\n", offset ); break; } Message( "%X: %X => %X\n%s\n", offset, o, n, GetDisasm( offset ) ); } fclose( handle ); handle = fopen( folder + codex_bin, "wb" ); // For WinHex if( savefile( handle, 0, load_to_addr, length ) != 1 ) { Message( "Error saving file %s\n", folder + codex_bin ); } fclose( handle ); DeleteArray( arrayid ); return 0; }
Zorn Ранг: 53.9 (постоянный), 19thx Активность: 0.04↘0 Статус: Участник	Создано: 17 февраля 2015 03:58 · Личное сообщение · #6 Apokrif пишет: Еще раз повторю: С python познакомился только вчера, поэтому код левейший. Какой же это питон, чистый idc.
Apokrif Ранг: 171.0 (ветеран), 11thx Активность: 0.05↘0 Статус: Участник	Создано: 17 февраля 2015 08:13 · Поправил: Apokrif · Личное сообщение · #7 Zorn пишет: Какой же это питон, чистый idc. Вот и я подумал: "Ну блин и питон у Ильфака! Совсем ведь на питон не похож!" Однако оплошал... first.py Code: import idc print "==> Step #1" folder = "C:\work" # folder to save files xref_txt = "xref.txt" # xfers text file code_bin = "code.bin" # code fragment bin file start = 0x1030 # code fragment start end = 0x10C8 # code fragment end with open( folder + xref_txt, "w" ) as f: for ea in Heads( start, end ): for xref in CodeRefsFrom( ea, 1 ): if xref <= start or xref >= end: # xref should be outside of code fragment functionname = GetFunctionName( xref ); print "0x%X: %s\n\tcalls to %s()" % ( ea, GetDisasm( ea ), functionname ) f.write( "%08X\t%s\n" % ( ea - start, functionname ) ) #x = ( xref - ea ) / 4 - 2 & 0xFFFFFF; #print "Instruction %x, %x" % ( x, Dword( ea ) & 0xFFFFFF ) code = folder + code_bin open( code, 'a' ).close() # file has to exist... if SaveFile( code, 0, start, end - start ) != 1: print "Error saving file %s" % ( code ) second.py Code: import os import idc print "==> Step #2" folder = "C:\work" # folder to read files xref_txt = "xref.txt" # xfers text file code_bin = "code.bin" # code fragment bin file codenew_bin = "code_new.bin" # "relocated" code fragment bin file load_to_addr = 0x00001110 # code fragment load address replace_names = { # "original_sub_name": "new_sub_name", "_Z19javaloggervprintf_xPKcSt9__va_list": "sub_1210", } code = folder + code_bin statinfo = os.stat( code ) length = statinfo.st_size if LoadFile( code, 0, load_to_addr, length ) != 1: print "Error loading file %s" % code with open( folder + xref_txt, "r" ) as f: for line in f: x = line.rstrip("\n").split("\t") offset = int( x[0], 16 ) functionname = x[1]; #print "%x\t%s" % ( offset, functionname ) if replace_names.has_key( functionname ): functionname = replace_names[functionname] func = LocByName( functionname ); if func == BADADDR: print "Error 'no such name' %s" % ( functionname ) break #print "%08X:\t%s @ %08X" % ( offset, functionname, func ) offset += load_to_addr o = Dword( offset ) n = o & 0xFF000000 \| ( func - offset ) / 4 - 2 & 0xFFFFFF if PatchDword( offset, n ) != 1: print "Error patching offset %X" % ( offset ) break print "%X: %X => %X\n%s" % ( offset, o, n, GetDisasm( offset ) ) codenew = folder + codenew_bin open(codenew, 'a').close() # file has to exist... if SaveFile( codenew, 0, start, length ) != 1: print "Error saving file %s" % ( codenew )

Для печати

Для печати