ÃÂœÃÂ°ÃÂ¹ - Xakep Online

More documents

Recommendations

Info

pc_zone DVD На диске тебя ждут все упомянутые инструменты, примеры, компилятор Си для сборки приведенного кода, а также подборка готовых джойнеров. ! Не вздумай использовать этот прием в противозаконных целях. В противном случае ни автор, ни редакции, ни ктолибо другой, кроме тебя, ответственности не несет. Поиск указателя на таблицу импорта в hiew'е и в PE-файле и раскинувшуюся в ширину на целых 28h байт. Клавиша переносит нас к структуре Import Directory Table, о которой мы поговорим чуть позже. А пока обсудим, как найти указатель на Import Directory Table при отсутствии hiew'а. Двойное слово, лежащее по смещению 80h от начала PEзаголовка (легко опознаваемого визуально по сигнатуре PE), и есть RVA-адрес, указывающий на Import Directory Table, а следующее двойное слово хранит ее размер. Так что для поиска таблицы импорта hiew совсем необязателен. Таблица импорта представляет собой достаточно сложное сооружение иерархического типа. Вершину иерархии занимает структура Import Directory Table, фактически являющаяся массивом подчиненных структур типа IMAGE_IMPORT_ DESCRIPTOR, каждая из которых содержит RVA-указатель на имя загружаемой динамической библиотеки, ссылки на OriginalFirstThunk и FirstThunk с именами/ординалами импортируемых функций (причем поле OriginalFirstThunk не является обязательным и может быть равно нулю). Два других поля — TimeDateStamp (временная отметка) и ForwarderChain (форвардинг) — так же необязательны, и потому для подключения своей собственной DLL нам необходимо заполнить всего лишь два поля структуры IMAGE_ IMPORT_DESCRIPTOR: Name и FirstThunk, а также создать таблицу Import Address Table (сокращено IAT), импортирующую по меньшей мере одно имя (в данном случае dummy). Прототип структуры IMAGE_IMPORT_DESCRIPTOR typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbound IAT }; DWORD TimeDateStamp; // TimeDateStamp DWORD ForwarderChain; // -1 if no forwarders DWORD Name; // name of the dll DWORD FirstThunk; // RVA to IAT } IMAGE_IMPORT_DESCRIPTOR; Если вместо стройной иерархии структур в нашей голове образовалась каша, не стоит волноваться — это нормально! Постепенно она утрясется и все структуры встанут на свои места, так что оставим их дозревать, а сами сосредоточимся на текущих проблемах. Чтобы внедрить X-DLL в Import Directory Table, необходимо добавить еще один экземпляр структуры IMAGE_IMPORT_DESCRIPTOR. Но просто так сделать это не получится, поскольку сразу же за концом Import Directory Table начинается IAT первой динамической библиотеки и нам просто некуда втиснуться, если, конечно, не перенести Import Directory Table в какое-нибудь другое место! А что?! И перенесем! Повторяем описанную последовательность действий с hiew'ом еще раз, идя в начало таблицы импорта (а точнее, как мы уже знаем, на первый элемент Import Directory Table), давим («звездочку» на цифровой клавиатуре) и, перемещаясь курсорными клавишами, выделяем бордовым цветом 28h байт (размер Import Directory Table). После этого давим еще раз и, нажав , сохраняем блок в файл, для определенности назвав его idt-org. Теперь, прокручивая файл, клацаем до тех пор, пока не выйдем на оперативный простор свободного места, оккупированного длинной вереницей нулей. В нашем случае это место располагается по адресу 405810h, непосредственно за концом таблицы импорта. Далее нам необходимо скопировать оригинальную Import Directory Table на новое место, не забыв при этом зарезервировать место для одного элемента структуры типа IMAGE_IMPORT_DESCRIPTOR, в который мы чуть позже / 026 xàêåð 05 /101/ 07
pc_zone Свободное место за концом таблицы импорта, пригодное для перемещения Import Directory Table поместим нашу динамическую библиотеку. Она будет проинициализирована самой первой, что очень полезно для борьбы с антивирусами, иммунизирующими exe-файлы путем прививки им специальной dll-вакцины, выполняющей проверку целостности содержимого образа исполняемого файла. Поскольку, как нетрудно подсчитать, размер структуры IMAGE_IMPORT_DESCRIPTOR составляет 14h байт, а незанятая область начинается с адреса 405810h, мы должны передвинуть курсор по адресу 405824h, нажать , выделить 28h байт (размер оригинальной Import Directory Table) и нажать еще раз, а потом обязательно переместить курсор в начало выделенного блока. Далее жмем (Get Block), вводим имя файла, в который мы только что сохранили блок, — idt-org и считываем его с диска. Теперь возвращаемся в начало файла и корректируем RVA-адрес таблицы импорта, который в данном случае составит 5824h. У тебя может возникнуть вопрос: почему 5824h, а не 405824h?! Да потому, что RVA-адреса получаются путем вычитания базового адреса (прописанного в заголовке PE-файла и в нашем случае равного 400000h) из виртуального адреса (равного 405824h). Причем с учетом порядка старшинства байт, принятого на процессорах x86 (младшие биты располагаются по меньшим адресам), мы должны записать 24 58, а не 58 24, как делают многие начинающие хакеры, удивляясь потом, почему оно не работает. Значит, открываем файл inject.exe в hiew'e, находим PE-сигнатуру, опускаем курсор вниз на 80h байт, видим там 84 54, нажимаем для разрешения редактирования, меняем адрес на 24 58, сохраняем изменения по и выходим… за пивом. Пиво для хакеров — это святое! Проверяем работоспособность файла — а xàêåð 05 /101/ 07 / Заметай за собой следы (для грамотных парней) Некоторые файлы (особенно упакованные протекторами) скрупулезно следят за своей целостностью и на попытку внедрения реагируют, прямо скажем, не совсем адекватно. Однако поскольку X-DLL получает управление раньше остальных, она может восстановить таблицу импорта в памяти, как будто все так и было, словно к ней никто и не прикасался. Для этого достаточно вызывать API-функцию VirtualProtect, присвоив соответствующим регионами памяти атрибут PAGE_READWRITE, восстановить таблицу импорта (оригинал которой легко сохранить в X-DLL), а затем заново установить атрибут PAGE_ READONLY с помощью все той же VirtualProtect. Более того, X-DLL может выделить блок памяти из кучи с помощью API-функции VirtualAlloc и скопировать туда свое тело, которое, естественно, должно быть полностью перемещаемо, то есть сохранять работоспособность независимо от базового адреса загрузки. Далее остается только выгрузить ставшую ненужной X-DLL вызовом FreeLibrary (на тот случай, если какой-то хитрый механизм проверки целостности решит перечислить список загруженных модулей). Маленький технический нюанс: на процессорах с поддержкой битов NX/XD, запрещающий исполнение кода в страницах памяти, не имеющих соответствующих атрибутов, выделяемому блоку памяти следует присвоить атрибут PAGE_EXECUTE_READWRITE. В противном случае, если у пользователя задействован аппаратный DEP для всех приложений (а не только для системных компонентов, как это происходит по умолчанию), вместо выполнения машинного кода система выбросит исключение, и выполнение троянизированной программы завершится в аварийном режиме. вдруг она пострадала?! Запускаем inject. exe и, если все операции были проделаны правильно, на экране появится триумфальное приветствие. В противном же случае система откажется загружать файл или выбросит исключение. Смочив пересохшее горло, приступаем к самой сложной и самой ответственной части — заполнению структуры IMAGE_IMPORT_DESCRIPTOR. Начнем с того, что переместим курсор в конец Import Directory Table, подогнав его к адресу 405850h, и запишем имя функции-пустышки (dummy), оканчивающееся нулем и предваренное двумя нулями, а следом за ним — имя внедряемой динамической библиотеки injected_dll.dll. Впрочем, порядок их расположения может быть и другим, системному загрузчику на такие мелочи уже давно положить. Сделав это, перемещаемся на первый байт, ранее зарезервированный нами для структуры IMAGE_IMPORT_DESCRIPTOR, и начинаем колдовать. Первое двойное слово оставляем равным нулю. За ним идут 4 байта, отведенные для TimeDataStamp, и мы, желая слегка поизвращаться, занесем сюда IAT, то есть двойное слово, содержащее RVA-адрес импортируемой функции. В нашем случае эта функция зовется dummy, а ее имя (предваренное двумя нулями!) начинается с RVA-адреса 5850h. Учитывая обратный порядок байт на x86, пишем: 50 58. Пропустив следующее двойное слово (Forwarder Chain), в поле Name записываем RVA-адрес имени внедряемой динамической библиотеки injected_dll.dll, в нашем случае равный 5858h. Остается заполнить последнее поле — Import Address Table, содержащее RVA-адрес таблицы IAT, размещенной нами поверх поля TimeDateStamp с RVA-адресом, равным 5814h. Вот, собственно говоря, и все. Остается сущая мелочь. Надо вернуться в начало файла, отсчитать от PE-заголовка 80h байт, исправив указатель на таблицу импорта с 5824h на 5810h и увеличив ее размер до 3Сh. Сохраняем проделанные изменения и, набрав побольше воздуха в грудь, запускаем файл inject.exe: Демонстрация работы внедренной динамической библиотеки $inject.exe hello,world! I'm nezumi good-bye,world! Это работает! Причем не просто работает, а очень даже хорошо работает. Внедренная динамическая библиотека послушно выводит «hello, world!» еще до запуска файла-«дрозофилы» и «good-bye, world!» непосредственно перед ее завершением! Красота! Вот только… посторонняя DLL нам очень сильно мешает, вызывая естественное желание задвинуть ее куда-нибудь подальше. И тут мы плавно переходим ко второй части нашего рассказа. 027
Page 1: МАй 05(101) 2007 22 секрет
Page 4 and 5: meganewS 004 MegAneWS Все нов
Page 6: meganews Дмитрий Трави
Page 10: meganews Гибридим теле
Page 14: meganews Уникальное пр
Page 17 and 18: meganews Макинтоши тож
Page 19 and 20: 476 $140 $195 >> ferrum mSi nx7600g
Page 21 and 22: S T T I C H T Y U B B E S T B U Y B
Page 24 and 25: ferrum $45 $85 razer deathadder К
Page 26 and 27: pc_zone кРис кАспеРски
Page 30: pc_zone Пересчет CRC В з
Page 33 and 34: pc_zone секрета Google По
Page 35 and 36: pc_zone http:// Многочисл
Page 37 and 38: pc_zone Несколько борд
Page 39 and 40: pc_zone FAR хранит списо
Page 41 and 42: pc_zone Папка Recent хран
Page 43 and 44: implant Готовый височн
Page 45 and 46: implant Нервы височной
Page 48 and 49: implant Дейтерий трити
Page 50 and 51: implant Германский ток
Page 52 and 53: implant компенсируетс
Page 54 and 55: взлом кРис кАспеРс
Page 56 and 57: взлом ANI-формат: уда
Page 58 and 59: взлом анимированны
Page 60 and 61: взлом M3lC1Y / m3lc1y@bk.ru, h
Page 62: взлом i Пользуясь с
Page 65 and 66: взлом var sock = new java.net.
Page 67 and 68: взлом Внешний вид п
Page 69 and 70: взлом Настройки Googl
Page 72 and 73: взлом леониД «R0id» с
Page 74: взлом ! Внимание! Ин
Page 77 and 78: взлом Хэши админск
Page 79 and 80:
взлом Бажный ресур
Page 81 and 82:
взлом Возможности
Page 83 and 84:
взлом Пример: «select"u
Page 85 and 86:
взлом «Три девицы п
Page 88 and 89:
взлом Маг / mag@wapp.ru / I
Page 90 and 91:
взлом Msn-аккаунты IM-
Page 92 and 93:
взлом леониД «CR@WleR»
Page 94 and 95:
взлом DVD На нашем DVD
Page 96 and 97:
взлом Леонид «R0id» С
Page 98 and 99:
сцена Мария «Mifrill»
Page 100:
сцена 10240-процессор
Page 103 and 104:
сцена DVD Команда HITB'
Page 105 and 106:
сцена Хакер - офици
Page 108 and 109:
сцена ильЯ АлексАн
Page 110 and 111:
unixoid Сергей «grinder» Я
Page 112 and 113:
unixoid Установка новы
Page 114 and 115:
unixoid Крис Касперски
Page 116 and 117:
unixoid Консольная вер
Page 118 and 119:
unixoid Linux в гостях у Fr
Page 120 and 121:
unixoid i Для тех отваж
Page 122 and 123:
coding АнДРей «littleBUddA»
Page 124 and 125:
coding Несколько слов
Page 126 and 127:
coding Deeoni$ / DeeoniS@gmail.com
Page 128 and 129:
coding RegMon показывает,
Page 130 and 131:
coding боРис вольфсон
Page 132 and 133:
coding Вот так будет в
Page 134 and 135:
coding Крис Касперски
Page 136 and 137:
креатиff meganews /134
Page 138 and 139:
креатиff meganews расте
Page 140 and 141:
units сТепАн «Step» иль
Page 142:
РЕДАКЦИОННАЯ ПОДПИ
Page 145 and 146:
units magazine@real.xakep.ru не
Page 147 and 148:
Íàäåæíûé ñòîðîæåâî
Page 149 and 150:
ХАКЕР.PRO Настройки
Page 151 and 152:
ХАКЕР.PRO Выбор типа
Page 153 and 154:
ХАКЕР.PRO Синхрониза
Page 155 and 156:
ХАКЕР.PRO на. Его рек
Page 157 and 158:
ХАКЕР.PRO Использова
Page 159 and 160:
ХАКЕР.PRO Активные с
Page 161 and 162:
ХАКЕР.PRO Внутри дом
Page 165:
2007 x 05(МАЙ)101 101
show all

ÃÂœÃÂ°ÃÂ¹ - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

ÃÂœÃÂ°ÃÂ¹ - Xakep Online