 |
eXeL@B —› Вопросы новичков —› Перехват выделения памяти под секцию |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 18 июня 2019 08:23 · Личное сообщение · #1 Привет! Суть: создается секция в памяти (распаковщиком), инициализируется, используется далее. Пытаюсь отловить момент создания и тдт для замены данных в ней. Пробовал БП на VirtualAlloc и CreateFileMaping - проскакиваю... Что еще можно попробовать или как это сделать правильно?  |
|
|
Создано: 18 июня 2019 09:17 · Личное сообщение · #2 PEvgen Нужно сервисы смотреть, а не винапи. Вопрос есчо в том, что такое создаётся". Может секция создаётся заполнением полей заголовка пе, а не манипуляциями с памятью. Или например общий регион памяти депротектится, делится на части. Будем дальше гадать. ----- vx |
|
|
Создано: 18 июня 2019 09:30 · Поправил: PEvgen · Личное сообщение · #3 difexacaw Если бы я мог задать вопрос так, что бы на него можно было односложно ответить (Да/Нет) я бы его вообще не задавал, не тратил бы чье-то время и, возможно, нервы.... На момент когда секция уже существует хидер не модифицирован. На всякий случай ММ  392d_18.06.2019_EXELAB.rU.tgz - Безымянный.png
|
|
|
Создано: 18 июня 2019 09:56 · Личное сообщение · #4 PEvgen Куда смотреть на картинке, выделена область 0xD3D000 ? Попробуй этим посмотреть, переименуй апп в "T.exe" и запусти Ij. Оно выведет сервисный лог. 1999_18.06.2019_EXELAB.rU.tgz - DYE.7z
----- vx |
|
|
Создано: 18 июня 2019 10:07 · Личное сообщение · #5 Крашится не доходя до выделения интересуемой секции |
|
|
Создано: 18 июня 2019 10:09 · Личное сообщение · #6 PEvgen Дайте я гляну. Не должно по идеи падать, хотя хз может какие то точки останова.. ----- vx |
|
|
Создано: 18 июня 2019 10:12 · Личное сообщение · #7 |
|
|
Создано: 18 июня 2019 12:16 · Личное сообщение · #8 PEvgen Я посмотрел, получается вот что. Вылетает из за ошибки в этом семпле, а именно - выделяется память по фиксированной базе 0x10000000, которая до этого уже занята модулями и соответственно функция выделения памяти возвращает ноль и далее #AV. Есчо почему то закрывается консоль, но я не смотрел почему пока. Что бы смотреть лог и что там в памяти делается - Олли со scyllahide. В принипе там из антидебага только NtQueryInformPs, больше ничего в сервисном логе нет связанного с антиотладкой. Вот лог по аллокациям: Code:
Вот лог по апи: Code:
Тоесть память выделяется через VirtualAlloc() с фикс базой. Если туда отладчиком поставить останов он сработает. Затем можно в отладчике снять атрибут на исполнение этой области и отладчик остановится при передаче управления на эту область(на OEP). Но это всё не интересно, фишка вот в чём. Определяем автоматикой OEP, используя общий критерий(абсолютная выборка). Вот лог по выборке: Code:
Адреса вне искомой области это какие то обработчики, в частности это сцилла, на это можно не смотреть. Первая выборка: 0x100112EA [0x100205EF] Смотрим цепочку инструкций и сразу находим ветвление 0046D974 -> 1000AE13. Это OEP. 3094_18.06.2019_EXELAB.rU.tgz - ep.7z
----- vx | Сообщение посчитали полезным: PEvgen |
|
|
Создано: 18 июня 2019 12:31 · Личное сообщение · #9 Попробую осмыслить.... Добавлено спустя 2 часа 21 минуту Эх, если бы вы так же подробно отвечали на мой вопрос - вам бы цены не было  ....Я там топал до того как написать сюда, в смысле в VirtAlloc, у меня того и вопрос возник: "как еще можно выделить память", ведь на момент выделения памяти по адресу 10000000 интересующая меня область еще не распределена, а на момент следующего бряканья на VAEx - уже имеется. И хоть в конкретной задаче мне это не сильно бы облегчило участь, на будущее могло бы пригодиться...В общем в любом случае спасибо за уделенное время!
|
|
|
Создано: 18 июня 2019 16:23 · Личное сообщение · #10 PEvgen > на момент следующего бряканья на VAEx - уже имеется. Всё равно не понятно  Нужно обождать когда область будет заполнена - так это и есть передача управления на эту область. Туда данные загружаются из 6-ти адресов: Code:
Тогда что значит: > "как еще можно выделить память" Зачем выделить, если она выделяется. Короче я хз что вам нужно. ----- vx |
|
|
Создано: 18 июня 2019 16:50 · Поправил: VOLKOFF · Личное сообщение · #11 |
|
|
Создано: 18 июня 2019 17:36 · Поправил: Kindly · Личное сообщение · #12 Патчил когда-то компонент, который расшифровывал секцию в память, код был следующим, разбирайся: Code:
порой нужно вместить патч-код в минимальное количество байтов для перехода в свою секцию в файле с релоками, когда статичные байты не канают, для этого можно просто вычислить базу: Code:
в каждом случаи будут свои адреса и регистры, но принцип примерно одинаковый. ----- Array[Login..Logout] of Life | Сообщение посчитали полезным: PEvgen |
|
|
Создано: 18 июня 2019 19:35 · Личное сообщение · #13 VOLKOFFШикарный постер, в принципе, именно это я и спрашивал! Благодарочка. Добавлено спустя 7 минут KindlyЭто больше б на мой предыдущий вопрос пригодилось бы, та часть с экономией места, которая, но не помешает инфа тоже, сохраню к себе в закладки. |
|
|
Создано: 18 июня 2019 22:52 · Поправил: difexacaw · Личное сообщение · #14 PEvgen > Шикарный постер, в принципе, именно это я и спрашивал! Каким образом выделить память, не штатными средствами ? Зачем представить нельзя, хотя без разницы. NtAllocateVirtualMemory NtMapViewOfSection NtMapUserPhysicalPages Это сервисы где можно указать базу. Кроме этих есть бесчисленное множество способов выделения памяти косвенным образом. К примеру теневые сервисы выделяют временные буфера. Или это выделение к примеру тунеля при установке клиент-серверного обмена(IPC). Но там нельзя обычно указать базу, но можно создать условия что выделение будет по целевому адресу. Вопрос в том накой это нужно. Это анпакми, семпл для самостоятельной работы. Никаким образом способы выделения памти его не касаются. ТС чота попутал  Распаковать не смог, отладить есно тоже. Зато теперь знает как выделить память. ----- vx |
|
|
Создано: 19 июня 2019 07:19 · Поправил: PEvgen · Личное сообщение · #15 difexacawВнесен в личный ЧС. В связи с неадекватностья поведения и подозрением в гомофашизме. |
|
|
Создано: 19 июня 2019 22:36 · Поправил: difexacaw · Личное сообщение · #16 PEvgen > Внесен в личный ЧС. В связи с неадекватностья поведения и подозрением в гомофашизме. Во первых кто ты такой. А во вторых я за тебя работу выполнил, ты же не сделал ничего. По нормальному тебя следует забанить. Хотя мне впрочем без разницы, семпл интересен только что бы на нём прогнать автоматику. Там интересные вызовы апи, часть их выполняется раздельно, те граф делится и передачи управления внутрь апи. Это интересный способ, в принципе решается элементарно - у меня есть конструктор, который умеет собирать граф. Тупо можно описать всё тело апи и добавить в авл дерево и так затем быстро найти саму процедуру. Но ты это не увидишь, раз говном лить начал. --- ТС никакой своей работы не выполнил, а кидает говном, маловат по мойму скилл что бы это делать. А так как вопросов более нет - тс в бан, а топ закрыть. ----- vx |
|
|
Создано: 20 июня 2019 02:44 · Поправил: plutos · Личное сообщение · #17 VOLKOFF пишет: то выглядит все как-то так: а откуда диаграмма? Может там есть еще что интересное почитать? 
----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 20 июня 2019 04:30 · Поправил: dma · Личное сообщение · #18 plutos пишет: а откуда диаграмма? Может там есть еще что интересное почитать? Действительно. Вдруг там, например, про эмулятор Bochs какая-нибудь интересная информация есть? Я его как раз сейчас активно изучаю. difexacaw, вроде, свою информацию донес уже до своих читателей, так что мы ему не помешаем. Если что, то в этой ветке все детали сразу и обсудим.
|
|
|
Создано: 20 июня 2019 10:19 · Поправил: VOLKOFF · Личное сообщение · #19 plutos пишет: а откуда диаграмма?  The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory Часть2 - Windows Memory Forensics (Memory Allocation APIs) книжка хорошая | Сообщение посчитали полезным: bartolomeo, dma |
|
|
Создано: 20 июня 2019 11:09 · Личное сообщение · #20 dma > Если что, то в этой ветке все детали сразу и обсудим. Что с тобой обсуждать, ты же троль и школьник. plutos Это не правильный док, я приводил рядом тут в теме правильный. ----- vx |
|
|
Создано: 20 июня 2019 11:54 · Личное сообщение · #21 difexacaw пишет: приводил рядом тут в теме правильный Где именно? в этой теме или где по соседству? ткни носом! VOLKOFF пишет: книжка хорошая да, книга отличная! Но самое смешное, что она у меня НА ПОЛКЕ вот уже года полтора стоит, а я все рыскаю по интернету, ищу где-бы информацию добыть. Вот ведь как оно иногда бывает. Взял с полки, открыл, да, вот она, та самая диаграмма! Еще раз спасибо за науку! ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 20 июня 2019 12:12 · Поправил: difexacaw · Личное сообщение · #22 plutos Там чётко всё описано, а эта что выше - ниочём. Может для знакомства с ОС и годится. Вот как например тс не знает как память выделить, узнал что есть некоторая функция Nt общая для всех апи и офигел от глубокого смысла 
----- vx | Сообщение посчитали полезным: plutos |
|
|
Создано: 20 июня 2019 12:55 · Поправил: VOLKOFF · Личное сообщение · #23 difexacaw пишет: узнал что есть некоторая функция Nt общая для всех апи и офигел от глубокого смысла Так-то и про тебя с твоим доком сингапурского университета можно тоже самое сказать
|
|
|
Создано: 20 июня 2019 13:19 · Личное сообщение · #24 VOLKOFF Да нет, нельзя. Во первых док не мой, а там описаны ключевые механизмы по обнаружению OP. Ты к примеру врядле даже представляешь что это такое. А в общем если человек не знает ключевые ядерные сервисы, то какого чёрта он тут делает ? Есть спец темы, где решают вопросы за бабки. Незачем школоте на каникулах летних приходить со своими вопросами. Такие тут уже рядом две темы - два дол-ба пытаются неделю что то решить, при этом вообще ничего не понимая даже в своих действиях и вопросах. Короче говоря цирк какой то. ----- vx |
|
|
Создано: 20 июня 2019 13:36 · Поправил: plutos · Личное сообщение · #25 difexacaw пишет: там описаны ключевые механизмы по обнаружению OP Hачал читать "SYSTEMATIC METHODS FOR MEMORY ERROR DETECTION AND EXPLOITATION". Документ и правда толковый. Буду разбираться не торопясь, что бы уложилось, ведь концепция не из легких. Так что, ребята, зачем спорить о том, чей документ более уместен в данном случае. Из множества фрагментов, из cross references как раз и лепится полная картина. Так что спасибо всем! ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 20 июня 2019 13:39 · Поправил: VOLKOFF · Личное сообщение · #26 difexacaw, ты сегодня просто лучик австралийского солнышка plutos пишет: зачем спорить о том, чей документ лучше Речь не о "лучше", а об "уместно". Инде сам пишет что ТС "вообще ничего не понимая даже в своих действиях и вопросах" и вместо понятного ответа "адекватного уровня абстракции" ссылается на явно избыточный во всех отношениях док. |
|
|
Создано: 20 июня 2019 15:51 · Поправил: dma · Личное сообщение · #27 VOLKOFF пишет: Речь не о "лучше", а об "уместно". Инде сам пишет что ТС "вообще ничего не понимая даже в своих действиях и вопросах" и вместо понятного ответа "адекватного уровня абстракции" ссылается на явно избыточный во всех отношениях док. Вот уж действительно, ни прибавить, ни убавить. И дело, порой, тут даже не в сложности, а в терминах и аббревиатурах, многие из которых Инде сам придумал и давно уже забыл, что он подразумевал под этим набором букв. А, вообще, кто-то не так давно называл кого-то - поставщиком разочарования. И наивно думать, что он в одночасье поменяет свой характер или свою сущность и начнет тут всех очаровывать. К чему я это все? А к тому, что хотел сказать спасибо VOLKOFF за книгу. Раз plutos написал, что книга отличная, то значит так оно и есть - plutos'у в этих вопросх можно доверять. А Инде неугодишь. Его послушать, так то вообще книги читать не нужно и все познавать на практике, то теперь он вдруг нашел что-то интересное в какой-то книге и все должны срочно ее прочитать. P.S. И в конце своего "школьного сочинения" хотел вас попробовать удивить одной очень неплохой, на мой взгляд, книгой, которая, вроде, еще не пробегала по "тропинкам" форума exelab. |
|
|
Создано: 20 июня 2019 15:59 · Поправил: plutos · Личное сообщение · #28 dma пишет: еще не пробегала по "тропинкам" форума exelab. Пост номер 6 Создан: 6 марта 2019 00:26 Добавлено спустя 2 минуты dma пишет: plutos'у в этих вопросх можно доверять и что ж ты за авторитет такой, что бы знать в чем мне доверять, в чем не доверять? может уже хватит словоблудия? ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 20 июня 2019 16:24 · Поправил: dma · Личное сообщение · #29 plutos пишет: и что ж ты за авторитет такой, что бы знать в чем мне доверять, в чем не доверять? Подлизываюсь, plutos, подлизываюсь. plutos пишет: может уже хватит словоблудия? А вот это уже извините, решать не вам, а модераторам. Захотят, вообще, меня навечно забанят и поудаляют все мои посты. В том смысле, что прислушаются к вашему совету. А по поводу ссылки на книгу, вроде, проверял поиском. Ну оставим на усмотренье модераторв. | Сообщение посчитали полезным: hash87szf |
|
|
Создано: 20 июня 2019 16:50 · Поправил: Alchemistry · Личное сообщение · #30 dma А насколько тебя хватит прежде чем ты перерегаешься здесь под каким-нибудь iuh заново опять?  Ты ж эрогируешь на клекра перманентно. Только никакой конструктивной критики или вообще чето по теме от тебя нет. Толи тебе под дурака косить легче, толи ты какой-то недалекий)пысы О я знаю, ты наверное этот гаражный ретард. Который ща тут под двумя новыми никами сидит. |
| . 1 . 2 . >> |
|
eXeL@B —› Вопросы новичков —› Перехват выделения памяти под секцию |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати