ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online

More documents

Recommendations

Info

взлом Крис Касперски Энциклопедия антиотладочных приемов Трассировка — в погоне на TF или SEH на виражах Охота на флаг трассировки подходит к концу, и дичь уже хрустит на зубах. Продолжив наши эксперименты с TF-битом, мы познакомимся со структурными и векторными исключениями, выводящими борьбу с отладчиками в вертикальную плоскость. Здесь не действуют привычные законы, и приходится долго и нудно ковыряться в недрах системы, чтобы угадать, куда будет передано управление, и как усмирить разбушевавшуюся защиту. тладчики обоих уровней — как ядерного, так и прикладного О — совершенно не приспособлены для исследования программ, интенсивно использующих структурные исключения (они же structured exceptions, более известные как SEH, где последняя буква досталась в наследство от слова «handling» — обработка). И хотя OllyDbg делает некоторые шаги в этом направлении, без написания собственных скриптов/макросов не обойтись. Генерация исключения «телепортирует» нас куда-то внутрь NTDLL.DLL, в толщу служебного кода, выполняющего поиск и передачу управления на SEH-обработчик, который нас интересует больше всего. Как в него попасть Отладчик не дает ответа, а тупая трассировка требует немало времени. Впрочем, SEH — это ерунда. Начиная с XP, появилась поддержка обработки векторных исключений (VEH), усиленная в Server 2003 и, соответственно, в Висте/Server 2008. Отладчики об этом вообще не знают, открывая разработчикам защит огромные возможности для антиоладки и обламывая начинающих хакеров косяками. Я покажу, как побороть SEH/VEH-штучки в любом отладчике типа Syser, SoftICE или WinDbg. К сожалению, OllyDbg содержит грубую ошибку в «движке» и для отладки SEH/VEH-программ не подходит. Ну, не то, чтобы совсем не подходит, но повозиться придется (секс будет — и много). 062 SEH fundamentals Архитектура структурных исключений подробно описана в десятках книг и сотнях статей. Настолько подробно, что, читая их, можно уснуть. Поэтому краткое изложение основных концепций, выполненное в моем «фирменном» стиле, не помешает. Исключение, сгенерированное процессором, тут же перехватывается ядром операционной системы, которое долго и нудно его мутузит, но, в конце концов, возвращает управление на прикладной уровень, вызывая функцию NTDLL.DLL!KiUserCallbackDispatcher. При пошаговой трассировке отладчики прикладного/ядерного уровня пропускают ядерный код, сразу же оказываясь в NTDLL.DLL!KiUserCallbackDispatcher. То есть, при трассировке кода XOR EAX,EAX/MOV EAX,[EAX] следующей выполняемой командой оказывается первая инструкция функции NTDLL. DLL!KiUserCallbackDispatcher. Сюрприз, да В ходе выполнения KiUserCallbackDispatcher извлекает указатель на цепочку обработчиков структурных исключений, хранящийся по адресу FS:[00000000h], и вызывает первый обработчик через функцию ExecuteHandler, передавая ему специальные параметры. В зависимости от значения, возвращенного обработчиком, функция KiUserCallbackDispatcher либо продолжает «раскручивать» список структурных исключений, либо останавливает «раскрутку», возвращая xàêåð 06 /114/ 08
взлом управление коду, породившему исключение. Ориентируясь на тип исключения (trap или fault), управление передается либо машинной команде, сгенерировавшей исключение, либо следующей инструкции (подробнее об этом можно прочитать в манулах от Intel). Список обработчиков структурных исключений представляет собой простой односвязанный список: Формат списка обработчиков структурных исключений _EXCEPTION_REGISTRATION struc prev dd ; // предыдущий обработчик, — 1 — конец списка; handler dd ; // указатель на SEH-обработчик _EXCEPTION_REGISTRATION ends Во всяком случае, необходимо использовать динамическую загрузку векторных функций, экспортируемых библиотекой KERNEL32.DLL и, если их там не окажется, либо выдать сообщение об ошибке, либо дезактивировать защитный модуль, работающий на базе VEH. Теперь пару слов о новых API-функциях. AddVectoredExceptionHand ler имеет следующий прототип и принимает два параметра, первый из которых обычно равен нулю, а второй представляет указатель на обработчик векторных исключений: Прототип API-функции AddVectoredExceptionHandler, добавляющий новый векторный обработчик в список PVOID WINAPI AddVectoredExceptionHandler( ULONG FirstHandler, PVECTORED_EXCEPTION_HANDLER VectoredHandler); Процедура обработки структурных исключений имеет следующий прототип и возвращает одно из трех значений: EXCEPTION_CONTINUE_SEARCH, EXCEPTION_CONTINUE_EXECUTION или EXCEPTION_EXECUTE_ HANDLER, описанные в MSDN. Прототип процедуры-обработчика структурных исключений handler(PEXCEPTION_RECORD pExcptRec, PEXCEPTION_ REGISTRATION pExcptReg, CONTEXT * pContext, PVOID pDispatcherContext, FARPROC handler); Обработчики структурных исключений практически полностью реентерабельны — обработчик также может генерировать исключения, корректно подхватываемые системой и начинающие раскрутку списка обработчиков с нуля. «Практически» — потому что, если исключение возникает при попытке вызова обработчика (например, из-за исчерпания стека), ядро просто молчаливо прибивает процесс. Но это уже дебри технических деталей, в которые мы пока не будем углубляться. После установки своего собственного обработчика не забывай его снимать, иначе есть шанс получить весьма неожиданный результат. Причем, система игнорирует попытку снять обработчик внутри самого обработчика, и это нужно делать только за пределами его тела. Вот абсолютный минимум знаний, который нам понадобится для брачных игр со структурными исключениями. VEH fundamentals Начиная с XP, появилась поддержка векторных исключений, являющаяся разновидностью SEH, однако реализованная независимо от нее и работающая параллельно. Другими словами, добавление нового векторного обработчика никак не затрагивает SEH-цепочку и, соответственно, наоборот. Механизм обработки векторных исключений работает по тому же принципу, что и SEH, вызывая уже знакомую нам функцию NTDLL.DLL!KiUserCal lbackDispatcher. В свою очередь она вызывает NTDLL.DLL!RtlCal lVectoredExceptionHandlers, раскручивающую список векторных обработчиков с последующей передачей управления. SEH и VEH концептуально очень схожи. Они предоставляют аналогичные возможности и вся разница между ними в том, что вместо ручного манипулирования со списками обработчиков теперь у нас есть API-функции AddVectoredExceptionHandler/RemoveVectoredExcepti onHandler, устанавливающие/удаляющие векторные обработчики из списка, указатель на который хранится в неэкспортируемой переменной _RtlpCalloutEntryList внутри NTDLL.DLL (по одному экземпляру на каждый процесс). Плюс, упростилось написание локальных/глобальных обработчиков исключений, что в случае с SEH — большая проблема. Но, попрежнему, векторная обработка придерживается принципа «социального кодекса»: все обработчики должны следовать определенным правилам и ничто не мешает одному из них объявить себя самым главным и послать других нахрен. Поскольку 9x/W2K системы еще достаточно широко распространены, пользоваться векторной обработкой без особой на то нужды могут только дураки. Функция AddVectoredExceptionHandler определена в файле winnt. h, поставляемом с новыми версиями SDK, да и то, только в том случае, если в программе определен макрос _WIN32_WINNT со значением 0x0500 или большим. Если у нас нет свежего SDK, то определить прототип можно и самостоятельно, прямо по месту использования функции. Прототип процедуры обработки векторных исключений LONG CALLBACK VectoredHandler( PEXCEPTION_POINTERS ExceptionInfo); Для удаления ранее установленных векторных обработчиков из списка можно воспользоваться API-функцией RemoveVectoredExceptionHand ler, где Handler — указатель на обработчик: Прототип API-функции RemoveVectoredExceptionHandler, удаляющей векторный обработчик из списка ULONG WINAPI RemoveVectoredExceptionHandler( PVOID Handler); Эксперимент #4 — ловля TF-бита на SEH Продемонстрируем технику отладки программ, использующих структурные исключения, на примере crackme (его сорцы ищи на DVD). Он генерирует общую ошибку доступа к памяти путем обращения по нулевому указателю и проверяет значение флага трассировки в заранее установленном SEH-обработчике. На самом деле, для запутывания хакера назначается сразу два обработчика — первый ничего не делает и тупо Ошибка OllyDbg При возникновении исключения (не важно какого) отладчик OllyDbg останавливает выполнение программы, предлагая нам нажать для продолжения. Первые две комбинации перебрасывают нас в начало NTDLL.DLL!KiUserExceptionDispatch er, предоставляя возможность самостоятельно отслеживать момент передачи управления на SEH/VEH-обработчик. А выполняет обработчик на «автопилоте» и останавливает отладчик только на выходе из него. В случае двух наших crackme это будет команда, расположенная непосредственно за mov eax,[eax]. Сказанное справедливо только, когда флаг трассировки сброшен, и программа выполнялась по Run (или Step Over с генерацией исключения внутри over-функции). Если же флаг трассировки был взведен (программа исполнялась в пошаговом режиме), то при выходе из обработчика структурного/векторного исключения, OllyDbg из-за ошибки в «движке» передает программе трассировочное исключение INT 01h, вызывая обработчик повторно. В нашем случае это приводит к увеличению регистра EIP еще на два байта и, как следствие, к краху программы. В OllyDbg 2.00c указанная ошибка до сих пор не исправлена, что ужасно напрягает. xàêåð 06 /114/ 08 063
Page 1:
КАК сделаТЬ Linux из Wi
Page 5 and 6:
За почти уже 10 лет с
Page 8:
meganews Размер имеет з
Page 12:
meganews Воровать инет
Page 16 and 17: meganews Конференция reM
Page 18 and 19: ferrum Алексей Шуваев
Page 20: ferrum 800 руб. Optiarc AD-7203A
Page 24 and 25: ferrum 4 девайса 1190 руб
Page 26 and 27: pc_zone Крис Касперски
Page 28 and 29: pc_zone Внешний вид ло
Page 30 and 31: pc_zone Максим Соколов
Page 32: pc_zone dvd На диске пре
Page 36 and 37: pc_zone Степан «Step» Ил
Page 38 and 39: pc_zone SFU позволяет по
Page 40 and 41: взлом Easy Hack} Хакерс
Page 42 and 43: взлом не удавалось
Page 44 and 45: взлом Обзор экспло
Page 46 and 47: взлом бразды правл
Page 48 and 49: взлом МаГ Спамом по
Page 50 and 51: взлом Активация Akism
Page 52 and 53: взлом Крис Касперс
Page 54 and 55: взлом Pro-police — расш
Page 56: взлом Иллюстрация
Page 59 and 60: взлом insert into tbluser ("fl
Page 61 and 62: взлом Уязвимый код
Page 63: взлом Локальный ин
Page 67 and 68: взлом Определение
Page 69 and 70: взлом • Если веб-са
Page 71 and 72: сцена Дмитрий Голу
Page 73 and 74: сцена Никита Кисли
Page 75 and 76: сцена Команда ИТМО
Page 77 and 78: сцена Пришли на magazi
Page 79 and 80: сцена Phrack http://www.phrack
Page 81 and 82: сцена K.I.L.T. http://kilt.co.
Page 83 and 84: unixoid Репозитории па
Page 85 and 86: unixoid links Большое кол
Page 87 and 88: unixoid Ассортимент Linu
Page 89 and 90: unixoid links www.x.org www.xfree86
Page 91 and 92: coding PSPLINK in Action Порт
Page 93 and 94: coding svn co svn://svn.ps2dev.org/
Page 95 and 96: coding Коллекция твои
Page 97 and 98: coding Установка непо
Page 99 and 100: Example. zip Maximum upload rate: 2
Page 101 and 102: + + + + Example. zip Maximum upload
Page 103 and 104: coding как и функции, и
Page 105 and 106: phreaking Я Z End Схема на
Page 107 and 108: phreaking Окончательно
Page 109 and 110: phreaking Отпаиваем заж
Page 111 and 112: phreaking POST-карта Маст
Page 113 and 114: phreaking friking Последст
Page 116 and 117:
ХАКЕР.pro сергей «Grind
Page 118 and 119:
ХАКЕР.PRO Проверка н
Page 120 and 121:
ХАКЕР.pro сергей «Grind
Page 122 and 123:
ХАКЕР.PRO Диагностич
Page 124 and 125:
ХАКЕР.PRO Баннеры, за
Page 126 and 127:
ХАКЕР.pro крис каспе
Page 128 and 129:
ХАКЕР.PRO Бумага — в
Page 130 and 131:
ХАКЕР.pro ульяНа сМе
Page 132 and 133:
ХАКЕР.PRO При помощи
Page 134 and 135:
ХАКЕР.PRO user@domain.ru group
Page 136 and 137:
units Жанна «mehovushka» К
Page 138 and 139:
units Статья о метода
Page 140 and 141:
units Маг / icq 884888 / FAQ UNI
Page 142 and 143:
units • http://www.nasa.gov — N
Page 144 and 145:
x № 06(114) июнь 2008 >>WINDO
Page 146:
http:// WWW2 Удобные веб
show all

ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online