JIT SPRAY АНАЛИЗ TDSS - Xakep Online

MALWARE
невыявляем путем сканирования памяти, поскольку ее модификация
здесь не происходит.
int SetDebugBreak(FARPROC address)
{
int status = -1;
HANDLE thSnap = CreateToolhelp32Snapshot(
TH32CS_SNAPTHREAD, NULL);
THREADENTRY32 te;
te.dwSize = sizeof(THREADENTRY32);
Ïåðåõâàò IAT - íîðìà
целевого приложения в памяти и заменить целевой адрес функции в IAT
адресом hook-функции. Тогда, когда перехватываемая функция будет
вызвана, твоя hook-функция будет выполнена вместо первоначальной
функции. Чуть более редкий вариант, встречающий в природе, реализованный
по приниципу «Если гора не идет к Магомеду...» — перехват
Export Address Table (EAT), когда патчится, наоборот, таблица экспорта Dll,
которая экспортирует целевую функцию.
STELTH-ÕÓÊÈ: ÏÎÉÌÀÉ ÌÅÍß,
ÅÑËÈ ÑÌÎÆÅØÜ
Как я уже писал выше, главный недостаток вышеуказанных методов
перехвата — это вынужденная модификация памяти, что неизбежно ведет
к ее детекту со стороны аверов. Есть ли выход? Как ни странно, есть. Даже
два. Первый из них — это зарегистрировать свой обработчик исключений,
затем добиться, чтобы он получил управление. Это можно сделать,
например, потерев какой-либо участок памяти. Второй способ представляет
собой несколько видоизмененный первый. То есть, ты, как и раньше,
регистрируешь обработчик исключений, но для их генерирования ты
используешь прием, известный среди дебаггеров. Как ты знаешь, дебагрегистры
процессора используются для отладки приложений и доступны,
как правило, из кернелмода. Однако их можно устанавливать и из юзермодных
приложений путем использования функций GetThreadContext/
SetThreadContext. Используются дебаг-регистры для установки точек
останова (Breakpoints) на доступе к участку памяти или исполнении.
Всего имеется восемь регистров, их назначение следующее:
• DR0 - DR3 — Каждый из этих регистров содержит линейный адрес одной
из четырех контрольных точек. Если подкачка страниц разрешена, то их
значения транслируются в физические адреса по общему алгоритму;
• DR4 - DR5 — Регистры зарезервированы и в процессоре i486 не используются;
• DR6 — Отладочный регистр состояния. Он сообщает об условиях, выявленных
во время генерирования отладочного исключения (номер 1). Биты
регистра устанавливаются аппаратно, а сбрасываются программно;
• DR7 — Регистр задает вид доступа к памяти, связанный с каждой контрольной
точкой.
Итак, все, что тебе нужно сделать — это установить хардварный бряк
(hardware breakpoint, он же int 1) на начало функции, чтобы процессор
сгенерировал так называемое «одношаговое исключение» (single step
exception) и затем, путем установки своего обработчика исключения:
AddVectoredExceptionHandler(0, (PVECTORED_EXCEPTION_
HANDLER)DebugHookHandler), ïåðåõâàòèòü ýòîò ñàìûé
EXCEPTION_SINGLE_STEP.
При его генерации твой обработчик получит управление желанной функцией.
Несомненное достоинство такого метода в том, что он абсолютно
088
}
Thread32First(thSnap, &te);
do
{
if(te.th32OwnerProcessID != GetCurrentProcessId())
continue;
HANDLE hThread = OpenThread(
THREAD_ALL_ACCESS, FALSE, te.th32ThreadID);
CONTEXT ctx;
ctx.ContextFlags = CONTEXT_DEBUG_REGISTERS;
GetThreadContext(hThread, &ctx);
if(!ctx.Dr 0)
{
ctx.Dr0 = MakePtr( ULONG, address, 0);
ctx.Dr7 |= 0x00000001;
status = 0;
}
else if(!ctx.Dr1)
{
ctx.Dr1 = MakePtr( ULONG, address, 0);
ctx.Dr7 |= 0x00000004;
status = 1;
}
else if(!ctx.Dr2)
{
ctx.Dr2 = MakePtr( ULONG, address, 0);
ctx.Dr7 |= 0x00000010;
status = 2;
}
else if(!ctx.Dr3)
{
ctx.Dr3 = MakePtr( ULONG, address, 0);
ctx.Dr7 |= 0x00000040;
status = 3;
}
else
status = -1;
ctx.ContextFlags = CONTEXT_DEBUG_REGISTERS;
SetThreadContext(hThread, &ctx);
CloseHandle(hThread);
}
while(Thread32Next(thSnap, &te));
return status;
ÇÀÊËÞ×ÅÍÈÅ
Как ты видишь, даже в самых сложных ситуациях можно найти возможность
исполнить свой код. Уверен, что при этом твой код нацелен исключительно
на решение задач по защите твоей системы. Удачи тебе и удачного
компилирования! z
XÀÊÅÐ 09 /140/ 10