ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online

More documents

Recommendations

Info

взлом бразды правления операционной системе, которая посредством функции KiUserApcDispatcher создает первичный поток. Прототип функции приведен на рисунке, откуда видно, что стартовый адрес потока передается как аргумент по NTAPI соглашению, то есть через пользовательский стек. После чего система начинает подгружать статически прилинкованные динамические библиотеки, вызывая функцию DllMain (если, конечно, DLL имеет точку входа) и DLL. Если DllMain возвращает ноль, система сообщает об ошибке загрузки приложения и завершает процесс. В противном же случае (когда все динамические библиотеки рапортуют, что инициализация прошла успешно) управление передается первичному потоку процесса, где находится точка останова, установленная отладчиком. При попытке ее выполнения процессор генерирует исключение типа breakpoint exception, отлавливаемое операционной системой и передающее отладчику бразды правления. Таким образом, вырисовывается не очень-то приятная для отладчиков и исследователей малвари картина: Прототип функции KiUserApcDispatcher, с которой начинает жизнь любой поток Мой блог 1. Функции DllMain всех статически прилинкованных библиотек отрабатывают еще до начала «всплытия» отладчика, и в них может находиться все, что угодно! В принципе, исполняемый файл может ограничиться процедурой-пустышкой, разместив зловредный код в одной из своих DLL, и он будет выполнен еще до «всплытия» отладчика. 2. Функции DllMain выполняются уже после установки отладчиком точки останова на EntryPoint. Если это программная точка, представленная опкодом CCh, то динамическая библиотека может обнаружить, что процесс находится под отладкой и либо сделать что-то нехорошее, либо вызвать VirtualProtect, присвоить соответствующей странице памяти атрибут на запись, снять точку останова, восстановив оригинального содержимое первого байта (естественно, для этого его нужно где-то хранить или вычислять эвристическим путем). Тогда точки останова уже не будет, процессор не сгенерирует исключение, и отладчик не сможет перехватить управление. 3. Если отладчик установил аппаратную точку останова, то из DllMain можно изменить аргумент функции KiUserApcDispatcher, хранящий стартовый адрес первичного потока. Тогда, по завершении инициализации всех динамических библиотек, поток начнет свое выполнение отнюдь не с точки входа, прописанной в PE-заголовке, а оттуда, откуда DLL пожелает, вырываясь из-под контроля отладчика. Естественно, чтобы менять аргумент, его еще необходимо найти, что не так-то просто, поскольку, в зависимости от версии операционной системы и прочих обстоятельств, он меняет свое местоположение в широких пределах. Поэтому приходится прибегать к различным эвристическим методикам, например, считывать из PE-заголовка оригинальную точку входа и искать в стеке двойное слово, совпадающее с ней. Server 2008 (при финансовой поддержке фирмы K7) я исследовал SoftICE вместе с кучей других отладчиков и с удивлением обнаружил, что все они спроектированы неправильно. Отлаживаемая программа может вырваться из-под контроля еще до начала трассировки — непосредственно в процессе загрузки файла в отладчик. Чтобы выяснить, почему так происходит, нам необходимо разобраться, как вообще отладчики «стопорят» программу, а делают они это приблизительно так: сначала процесс загружается в память, отладчик отслеживает этот момент и, считывая из PE-заголовка точку входа в файл, устанавливает по этому адресу программную или (реже) аппаратную точку останова. Затем возвращает 044 Конечно, теоретики от программирования скажут, мол, в чем проблема-то Операционная система уведомляет отладчик о загрузке всех динамических библиотек еще до начала выполнения DllMain и ничего не стоит исследовать их на вшивость. Многие отладчики даже имеют специальную опцию — останавливаться на DllMain. Вот только ни у одного из них она по умолчанию не включена, а анализировать DllMain в отладчике — гиблое дело, особенно если она вызывается из стартового библиотечного кода. Но, даже отлаживая DllMain, мы можем не заметить (или не понять), как она меняет аргумент функции KiUserApcDispatcher или снимает точку останова, поскольку для этого необходимо знать, что именно у нас находится в памяти и зачем оно там находится. С точки зрения не очень опытного реверсера это выглядит вполне невинно. Ну, меняет что-то такое DLL в стеке и завершается, но ведь это не страшно, правда Мы ведь все равно вернемся в отладчик при начале выполнение процесса, верно А вот и нет! Уже не вернемся! Так что проблема на самом деле очень серьезна. Подробнее ее планируется осветить на моем блоге (souriz.wordpress.com). xàêåð 06 /114/ 08
взлом Файловый репрозиторий на OpenRCE Сообщение о неудачной инициализации динамической библиотеки, ведущей к завершению процесса >> Targets MS VS, WinDbg, OllyDbg, ImmDbg, Syser, SoftICE, IDA-Pro и многие другие. >> Exploit Демонстрационный пример (вместе с полными исходными текстами, правда, без комментариев) выложен на OpenRCE в мой репрозиторий: https:// openrce.org/repositories/users/nezumi/quux-crackme. zip. Пример занимает в упакованном виде меньше 2х килобайт, совместим с Вистой/Server 2008 и не конфликтует с Syser’ом (в смысле не «выбивает» из него BSOD, но ускользает из-под вышеперечисленных отладчиков). >> Solution Отсутствует. Ну, не то, чтобы совсем, — но общих решений нет, и помимо DllMain существует много всего, исполняющегося до «всплытия» отладчика. Взять хотя бы те же TLS-callback’и. А потому загрузка программы в отладчик — равносильна ее запуску, и потенциально опасные файлы можно использовать только на специальной (виртуальной) машине, на которой нет ничего, что было бы жалко потерять. Кстати, в Olly Advanced — популярном plug-in’е для Ольги — есть опция «Flexible Breakpoints», убирающая программную точку останова, что предотвращает обнаружение отладчика, но не в силах противостоять подмене стартового адреса первичного потока. Аналогичным образом дела обстоят и с другим популярным plugin’ом — PhantOm, имеющим опцию «Remove EP Break», назначение которой говорит само за себя. Разумеется, это никакой не crackme (в обычном смысле), а настоящий exploit типа proof-of-concept, предназначенный для тестирования отладчиков на «вшивость» и написанный так, чтобы предельно облегчить его понимание, благодаря чему сломать его — плевое дело. Но если наворотить здесь хитрый код, то шансы на понимание резко снизятся, а шансы на «взлом» отладчика, соответственно, резко возрастут. Борьба с отладчиками на данном этапе не входила в мою задачу — этому посвящена отдельная колонка в журнале, а здесь мы говорим исключительно о дырах (прорыв сквозь отладчик — в первую очередь дефект проектирования отладчика, то есть дыра, и только потом — антиотладочный прием).z xàêåð 06 /114/ 08 045
Page 1: КАК сделаТЬ Linux из Wi
Page 5 and 6: За почти уже 10 лет с
Page 8: meganews Размер имеет з
Page 12: meganews Воровать инет
Page 16 and 17: meganews Конференция reM
Page 18 and 19: ferrum Алексей Шуваев
Page 20: ferrum 800 руб. Optiarc AD-7203A
Page 24 and 25: ferrum 4 девайса 1190 руб
Page 26 and 27: pc_zone Крис Касперски
Page 28 and 29: pc_zone Внешний вид ло
Page 30 and 31: pc_zone Максим Соколов
Page 32: pc_zone dvd На диске пре
Page 36 and 37: pc_zone Степан «Step» Ил
Page 38 and 39: pc_zone SFU позволяет по
Page 40 and 41: взлом Easy Hack} Хакерс
Page 42 and 43: взлом не удавалось
Page 44 and 45: взлом Обзор экспло
Page 48 and 49: взлом МаГ Спамом по
Page 50 and 51: взлом Активация Akism
Page 52 and 53: взлом Крис Касперс
Page 54 and 55: взлом Pro-police — расш
Page 56: взлом Иллюстрация
Page 59 and 60: взлом insert into tbluser ("fl
Page 61 and 62: взлом Уязвимый код
Page 63 and 64: взлом Локальный ин
Page 65 and 66: взлом управление к
Page 67 and 68: взлом Определение
Page 69 and 70: взлом • Если веб-са
Page 71 and 72: сцена Дмитрий Голу
Page 73 and 74: сцена Никита Кисли
Page 75 and 76: сцена Команда ИТМО
Page 77 and 78: сцена Пришли на magazi
Page 79 and 80: сцена Phrack http://www.phrack
Page 81 and 82: сцена K.I.L.T. http://kilt.co.
Page 83 and 84: unixoid Репозитории па
Page 85 and 86: unixoid links Большое кол
Page 87 and 88: unixoid Ассортимент Linu
Page 89 and 90: unixoid links www.x.org www.xfree86
Page 91 and 92: coding PSPLINK in Action Порт
Page 93 and 94: coding svn co svn://svn.ps2dev.org/
Page 95 and 96: coding Коллекция твои
Page 97 and 98:
coding Установка непо
Page 99 and 100:
Example. zip Maximum upload rate: 2
Page 101 and 102:
+ + + + Example. zip Maximum upload
Page 103 and 104:
coding как и функции, и
Page 105 and 106:
phreaking Я Z End Схема на
Page 107 and 108:
phreaking Окончательно
Page 109 and 110:
phreaking Отпаиваем заж
Page 111 and 112:
phreaking POST-карта Маст
Page 113 and 114:
phreaking friking Последст
Page 116 and 117:
ХАКЕР.pro сергей «Grind
Page 118 and 119:
ХАКЕР.PRO Проверка н
Page 120 and 121:
ХАКЕР.pro сергей «Grind
Page 122 and 123:
ХАКЕР.PRO Диагностич
Page 124 and 125:
ХАКЕР.PRO Баннеры, за
Page 126 and 127:
ХАКЕР.pro крис каспе
Page 128 and 129:
ХАКЕР.PRO Бумага — в
Page 130 and 131:
ХАКЕР.pro ульяНа сМе
Page 132 and 133:
ХАКЕР.PRO При помощи
Page 134 and 135:
ХАКЕР.PRO user@domain.ru group
Page 136 and 137:
units Жанна «mehovushka» К
Page 138 and 139:
units Статья о метода
Page 140 and 141:
units Маг / icq 884888 / FAQ UNI
Page 142 and 143:
units • http://www.nasa.gov — N
Page 144 and 145:
x № 06(114) июнь 2008 >>WINDO
Page 146:
http:// WWW2 Удобные веб
show all

ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online