cws - eXeL@B

Сейчас на форуме: tyns777 (+5 невидимых)

Посл.ответ	Сообщение
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 13 апреля 2010 15:11 · Поправил: Clerk · Личное сообщение · #1 Здрасте. Откатывал лодер, мб кому интересно. Используем семпл из пакета Хатчессона лежащий в \MASM32\EXAMPLE8\MOB\CWS o Так как должна применяться релокация, а нормально к экзешникам она не применяется, то компилим с опцией /DLL. o Нотификация длл выполняется при захваченной кс LdrploaderLock. Всякое обращение к загрузчику из другого потока при захваченной этой кс приведёт к деадлоку. Поэтому не используем InitRoutine(), соответствеено компилим с опцией /NOENTRY. o Теперь нужен стартуп рантайм, вынесем его в экспорт с именем "Run", прежде поменяв в сурце имя "start" на "Run" и указав опцию линкеру /EXPORT:Run. После этого компилим и получаем cws.dll размером 0x19C00. Теперь жмём это посредством NTLZ(RtlCompressBuffer()) и получаем дамп размером 0x604F. Теперь шифруем, допустим простейшая битовая инверсия. Образ готов. Пишем небольшой стаб для загрузки, который расшифровывает образ, распаковывает, подгружает средствами тестируемого лодера и вызывает экспорт Run(): Code: .data include Crypt.inc .code include Ldr.inc NTERR macro .if Eax Int 3 .endif endm $Dll CHAR "cws.dll",0 $Run CHAR "Run",0 assume fs:nothing Entry proc Local ImageBase:PVOID, Startup:PVOID Local MapAddress:PVOID, MapSize:ULONG Local FinalUncompressedSize:ULONG mov MapAddress,0 mov MapSize,19C00H invoke ZwAllocateVirtualMemory, NtCurrentProcess, addr MapAddress, 0, addr MapSize, MEM_COMMIT, PAGE_READWRITE NTERR ; Encrypt mov ecx,604FH/4 + 1 @@: not dword ptr [offset gMap + ecx4 - 4] loop* @b ; Unpack invoke RtlDecompressBuffer, COMPRESSION_FORMAT_LZNT1, MapAddress, 19C00H, addr gMap, 604FH, addr FinalUncompressedSize NTERR lea eax,ImageBase push eax push 0 push offset $Dll push MapAddress xor eax,eax ; #LDR_LOAD_DLL Call LDR NTERR invoke ZwFreeVirtualMemory, NtCurrentProcess, addr MapAddress, addr MapSize, MEM_RELEASE lea ecx,Startup xor eax,eax push ecx push eax push eax push offset $Run push ImageBase inc eax ; #LDR_QUERY_ENTRY Call LDR NTERR ; Fix base. mov eax,fs:[TEB.Peb] mov ecx,ImageBase push PEB.ImageBaseAddress[eax] mov PEB.ImageBaseAddress[eax],ecx Call Startup ; mov eax,fs:[TEB.Peb] ; pop PEB.ImageBaseAddress[eax] ret Entry endp http://indy-vx.narod.ru/Bin/cws.zip Помним что приложение использует GetModuleHandle(NULL), а в этом случае возвращается база экзешника, определённая в PEB[+8]. Фиксим это загрузкой туда нашей базы. Конпилим и получае экзешник размером 0x7200. Запускаем и видим битмапу с регионом наложенным на окно: Аттачимся ольгой. Сразу ругается про отсутствие модуля на диске. Хек

SLV Ранг: 309.8 (мудрец), 21thx Активность: 0.17↘0 Статус: Участник	Создано: 13 апреля 2010 15:23 · Личное сообщение · #2 Ещё можно пофиксить адрес базы перед Startup в LDR, что-то вроде: Code: // fix LDR __asm { mov eax, dword ptr fs:[0x30] mov eax, dword ptr ds:[eax+0xC] mov eax, dword ptr ds:[eax+0xC] mov ecx, dword ptr ds:[eax+0x18] mov edx, 0x10000000 << база exe __1: cmp dword ptr ds:[eax+0x18], edx je __2 cmp dword ptr ds:[eax+0x18], 0 mov eax, dword ptr ds:[eax] cmp dword ptr ds:[eax+0x18], ecx jne __1 __2: push dword ptr ds:[NewBase] pop dword ptr ds:[eax+18h] } ----- Shalom ebanats!
Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 13 апреля 2010 15:37 · Личное сообщение · #3 Clerk Круто расписал, ща буду эксперементы ставить ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 13 апреля 2010 18:51 · Личное сообщение · #4 Clerk пишет: а нормально к экзешникам она не применяется, то компилим с опцией /DLL /FIXED:NO чем не устроило? ----- EnJoy!
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 13 апреля 2010 19:22 · Поправил: Clerk · Личное сообщение · #5 Jupiter Так как лодер грузит длл. Собственно по теме чтонибудь есть ?
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 13 апреля 2010 19:23 · Поправил: Clerk · Личное сообщение · #6 SLV В контексте данной задачи излишне, модуль не ищет себя по имени.
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 14 апреля 2010 12:12 · Личное сообщение · #7 Clerk пишет: Так как лодер грузит длл секундочку, не надо передёргивать ты сказал: "должна применяться релокация, а нормально к экзешникам она не применяется" именно на это я и отвечал Clerk пишет: Собственно по теме чтонибудь есть ? я ответил, процитировав твою фразу в твоём же посте если ты считаешь, что фразы в твоём посте - не по теме, то претензии не ко мне или ты хотел сказать, что exe с реклоками грузить труднее, нежели dll? или ещё что-то? я не домысливаю за тебя, я процитировал конкретную фразу, не додумывая и не выдумывая. в итоге, на мой вопрос по существу ты не ответил проехали. по поводу сборки сорса: либо ты забыл про Code: include windows.inc либо у тебя расширенный ntdll.inc ----- EnJoy!
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 14 апреля 2010 21:50 · Личное сообщение · #8 Jupiter Смотрите шире, с моей точки зрения. Мне интересна сама задача, её решение и мнение. Все(абсолютно все) обсуждения проблем мне не интересны, ибо я лодер знаю лучше чем ктолибо здесь. Личное ваше мнение, что можно улучшить и пр. мне интересно.
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 14 апреля 2010 21:51 · Личное сообщение · #9 Jupiter > по поводу сборки сорса: > либо ты забыл про Разумеется у меня расшаренный инклуд, где определён весь нэйтив.
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 17 апреля 2010 17:30 · Поправил: Clerk · Личное сообщение · #10 Расширения для лодера http://indy-vx.narod.ru/Bin/LdrExts.zip Форум кривой, вобщем как и все

Для печати