Всем доброго времени суток!
Неоднократно встречал не особо умные хуки на системных функциях из kernel32, user32, advapi и т.п.
Это когда хук ставится вписыванием long jmp (E9h) в начало функции, что зачастую бывает критично для совместимости, подобные были например в более ранних версиях KIS и KAV (до 8ки) или в небезызвестном CryptoPro CSP. Адекватные хуки пишутся например в таблицу экспорта библиотеки, через дрова, ну и прочими вариациями.
Вопрос - есть ли надёжный и простой способ определения, захучена ли вообще заданная системная библиотека таким костыльным способом или нет? Есть конечно вариант проверять начала всех функций из экспорта (вплоть до дизасма нескольких инструкций) и проверка их на переходы за пределы библиотеки, но это долго и не совсем ясно с реализацией и надёжностью метода - ведь системные библы имеют и форварды друг в друга. Да и медленно это очень. Неужели rku юзает именно такой способ ?
PS: вариант мапить "вручную" системные библиотеки в процессе, обрабатывать релоки, и сравнивать crc двух аналогичных секций кода конечно есть, но опять таки он довольно муторен в реализации, хотя похоже и понадежней чем дизасм.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным: mikus

Описать код графом и сравнить его с оригинальным. Иначе никак.

| Сообщение посчитали полезным: mikus

Что касается паблик RkU, то он очевидно сравнивает 1-е 5 байт с оригиналом, т.к. если поставить джамп дальше он его не увидит.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным: mikus

ИМХО только мапить, настраивать релоки и сравнивать первые N байт начала функций.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: mikus

Можно еще проверять Checksum, мало кто ее правит после патча.

| Сообщение посчитали полезным:

Чексам загруженного образа в любом случае не сойдётся, хотя бы из-за релоков.

| Сообщение посчитали полезным:

long jmp (E9h) в начало функции, что зачастую бывает критично для совместимости
Уточнение: В подавляющем случае он ложится на MOV EDI, EDI + открытые кадра стека. Дальше редко кто лезет, чтобы не дисасемблить. На этом можно сыграть.
проверять checksum - может неплохая идея(связать ее секцией кода).

| Сообщение посчитали полезным:

Smon пишет:
Адекватные хуки пишутся например в таблицу экспорта библиотеки
И высчитываются легко тк обычно указывают за пределы секции кода бибблиотеки,поэтому умный хук ставится по опосля 3-4 комманд ;)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
И высчитываются легко тк обычно указывают за пределы секции кода бибблиотеки,поэтому умный хук ставится по опосля 3-4 комманд ;)
Я говорил о подмене адреса в экспорте, а опосля 3-4 команд это те же костыли и грабли что и непосредственно в самое начало.

Про чексумму тоже уже думал, как раз из за релоков не подходит такой вариант, хотя конечно и можно попробовать переобработать релоки в копии на базу которая прописана в хидере. Похоже вариант с мапом, обработкой релоков и последующим сравнением всё же наиболее правильный и надёжный.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Неоднократно встречал не особо умные хуки на системных функциях из kernel32, user32, advapi и т.п.Это когда хук ставится вписыванием long jmp (E9h) в начало функции
Не особо умные - это те разработчики, что ставят такие хуки не обрабатывая rel32 команды и еще те, которые эти хуки пытаются убрать не проверив не похукано ли сверху. Отсюда и проблемы совместимости.
На 32х битных виндах начиная с XP SP1 предусмотрен специальный механизм хотпатчей для постановки безопасных хуков сплайсом, для этого заменяем mov edi, edi на jmp $-5, и в нопах находящихся перед функцией прописываем long jmp куда надо.

Smon пишет:
Адекватные хуки пишутся например в таблицу экспорта библиотеки, через дрова, ну и прочими вариациями.
Вот только такие хуки можно ставить лишь в момент загрузки библиотеки. После уже поздно. Еще они не ловят вызов функций библиотеки из её самой же.

Smon пишет:
Вопрос - есть ли надёжный и простой способ определения, захучена ли вообще заданная системная библиотека таким костыльным способом или нет? Есть конечно вариант проверять начала всех функций из экспорта (вплоть до дизасма нескольких инструкций) и проверка их на переходы за пределы библиотеки, но это долго и не совсем ясно с реализацией и надёжностью метода
Реализация тривиальна: идем по одной инструкции вниз до ret или rel32 команды, переходим по jmp rel8, не забываем ограничить число проверяемых команд чтоб не попасть в бесконечный цикл. Кода то тьфу.

Smon пишет:
Похоже вариант с мапом, обработкой релоков и последующим сравнением всё же наиболее правильный и надёжный.
+100, вариант самый правильный и не так сложен как кажется. Только если задача - искать особо хитрые руткиты, то надо озаботиться низкоуровневым чтением файлов с диска, а то туда могут подставлять что надо.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Smon
> как раз из за релоков не подходит такой вариант
Всё подходит, просто нужно дельту пересчитать. Смотрим:

Тоесть смещение для поправки вычисляется на основе базы из хидера, ну это понятно. Значит на время вызова этой функции туда нужно закрузить необходимое значение. Функа не экспортируется, но легко находится по двум инструкция [push 0xC000007B] - [push 0xC0000018] передающим статусы. Тоесть фиксим имя уже загруженного модуля в загрузчике, загружаем его есчо раз через LdrLoadDll(), при этом перехватываем LdrRelocateImage() например установив на неё брейк или протрассировав загрузчик.

| Сообщение посчитали полезным:

Clerk Зачем такие извращения, если можно свой код нативный написать. Отмапить секции через CreateFileMapping с флагом SEC_IMAGE и пересчитать релоки на нужную базу, там кода то всего ничего.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

ntldr
> искать особо хитрые руткиты
Приличные руткиты патч не юзают и кодосекции не изменяют модулей. Есть большое число способов перехватывать функции так, что ничего не будет обнаружено.

| Сообщение посчитали полезным:

PE_Kill
Зачем его писать, если он уже есть непосредственно готовый бинарный

| Сообщение посчитали полезным:

Clerk пишет:
Зачем его писать, если он уже есть непосредственно готовый бинарный
Затем, чтобы работало. Поиск неэкспортируемых функций по сигнатурам это мега-ахтунг, такое допустимо если иначе вообще никак. Я вот даже недокументированные в MSDN функции стараюсь использовать лишь по большой нужде, очень способствует отсутствию проблем.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr
> Поиск неэкспортируемых функций по сигнатурам это мега-ахтунг
Мегатупость это писать загрузчики, делая всё вручную. И искать не нужно ничего, если используется трассировка загрузчика, то для каждого процедурного ветвления проверять в стеке строку (00 00 00 00 18 00 00 C0 7B 00 00 C0). Тоесть псевдокод более чем прост:

> Я вот даже недокументированные в MSDN функции стараюсь использовать лишь по большой нужде, очень способствует отсутствию проблем.
Вручную работать с пе-форматом это есчо большее зло, так как он может меняться.

| Сообщение посчитали полезным:

Не буду спорить, пусть каждый делает по своему, представления о качестве кода приходят с опытом написания серьезных программ с фидбеком и нормальным тестированием. Если у вас тысячи пользователей, у всех всё работает и нигде не глючит - честь вам и хвала.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Всё ясно, спасибо всем за участие, закрываю тему

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным: