ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online

More documents

Recommendations

Info

взлом Описание новых VEH-функций на MSDN возвращает управление, а второй — считывает регистровый контекст, извлекает оттуда содержимое флага трассировки и увеличивает значение EIP на два байта — длину инструкции mov eax, [eax], вызывавшей исключение. Для упрощения отладки из программы выкинули все лишнее (и стартовый код в том числе), поэтому для ее сборки применяется специальный командный файл следующего содержания: Отладчик успешно обнаружен TF-SEH.bat — сборка программы без стартового кода cl /Ox /c TF-SEH.c link TF-SEH.obj /ALIGN:16 /DRIVER /FIXED /ENTRY:nezumi /SUBSYSTEM:CONSOLE KERNEL32.LIB USER32.lib Компилируем программу и загружаем ее в любой подходящий отладчик (например, SoftICE). Если загрузка обламывается (известный глюк SoftICE), раскомментируем строку с командой int 03h, пересоберем программу, напишем в SoftICE: «i3here on» и запустим все по новой. SoftICE послушно всплывает на строке mov ecx, fs:[0], и мы со спокойной совестью начинаем трассировку. Доходим до команды mov eax,[eax] и в следующий момент переносимся куда-то внутрь системы, а конкретнее — в начало функции NTDLL.DLL!KiUserCallbackDispatcher, адрес которой в моем случае равен 77F91BB8h. Приехали! Дальше продолжать трассировку нет смысла, нужен способ быстро найти адрес структурного обработчика. Например, можно посмотреть, что находится в памяти по указателю FS:[00000000h]: Определение списка адресов SEH-обработчиков путем просмотра fs:0 :dd ;
взлом Определение адреса машинной инструкции, передающей управление SEHобработчику Генерация «левого» исключения из-за ошибки в отладочном «движке» Результат работы Context Record Helper’a 001B:004002A0 001B:004002A2 XOR EAX, EAX RET Ага, а вот тут, кажется, содержится что-то интересное! Вернувшись к прототипу функции handler, определяем, что по смещению 0Ch относительно верхушки стека расположена структура Context. Следовательно, в регистр EAX грузится регистровый контекст. А дальше... какой-то из регистров увеличивается на два байта. Но как узнать, какой Нам поможет context helper, с помощью которого мы узнаем, что это EIP. А вот по смещению C0h в регистровом контексте содержится EFlags, сохраняемый в глобальной переменной 0040033Ch, на которую при желании можно поставить аппаратную точку останова на чтение/запись, чтобы посмотреть, что с ней происходит в дальнейшем: Чтение глобальной переменной, хранящей регистр флагов :bpm 40033C RW :x Break due to BPMB #0023:0040033C RW DR3 (ET=1.48 milliseconds) MSR LastBranchFromIp=00400288 MSR LastBranchToIp=004002A7 001B:004002B2 MOV EAX,[0040033C] 001B:004002B7 TEST AH,01 ; TF бит 001B:004002BA JZ 004002C8 Все ясно! Защита анализирует содержимое регистра флагов и, если бит трассировки взведен, заключает, что программа находится под отладкой. Как это обломать Возможные варианты: сбросить бит трассировки в обработчике исключений путем модификации ячейки [ESP+0C]0Ch в отладчике. Чтобы автоматизировать процесс, можно создать условную точку останова на функцию NTDLL. DLL!KiUserExceptionDispatcher (PEXCEPTION_RECORD pExcptRec, CONTEXT *pContext), всегда сбрасывая TF-бит по адресу pContext EFlags, что позволит надежно скрыть отладчик от защиты. При этом перестанут работать самотрассирующие программы, отладчики прикладного уровня и еще много чего, поэтому ручная работа все же предпочтительнее автоматической. Второй вариант (совершенно не универсальный, но надежный) — изменить условный переход по адресу 004002BAh на безусловный, чтобы он всегда рапортовал защите о сброшенном флаге трассировки. Естественно, это прокатит только с данной программой — за отказ от универсальности приходится платить. Попытка применения OllyDbg приводит к краху, поскольку он не вполне корректно обрабатывает исключения (как структурные, так и векторные). Подробности — в одноименной врезке. z xàêåð 06 /114/ 08 065
Page 1:
КАК сделаТЬ Linux из Wi
Page 5 and 6:
За почти уже 10 лет с
Page 8:
meganews Размер имеет з
Page 12:
meganews Воровать инет
Page 16 and 17: meganews Конференция reM
Page 18 and 19: ferrum Алексей Шуваев
Page 20: ferrum 800 руб. Optiarc AD-7203A
Page 24 and 25: ferrum 4 девайса 1190 руб
Page 26 and 27: pc_zone Крис Касперски
Page 28 and 29: pc_zone Внешний вид ло
Page 30 and 31: pc_zone Максим Соколов
Page 32: pc_zone dvd На диске пре
Page 36 and 37: pc_zone Степан «Step» Ил
Page 38 and 39: pc_zone SFU позволяет по
Page 40 and 41: взлом Easy Hack} Хакерс
Page 42 and 43: взлом не удавалось
Page 44 and 45: взлом Обзор экспло
Page 46 and 47: взлом бразды правл
Page 48 and 49: взлом МаГ Спамом по
Page 50 and 51: взлом Активация Akism
Page 52 and 53: взлом Крис Касперс
Page 54 and 55: взлом Pro-police — расш
Page 56: взлом Иллюстрация
Page 59 and 60: взлом insert into tbluser ("fl
Page 61 and 62: взлом Уязвимый код
Page 63 and 64: взлом Локальный ин
Page 65: взлом управление к
Page 69 and 70: взлом • Если веб-са
Page 71 and 72: сцена Дмитрий Голу
Page 73 and 74: сцена Никита Кисли
Page 75 and 76: сцена Команда ИТМО
Page 77 and 78: сцена Пришли на magazi
Page 79 and 80: сцена Phrack http://www.phrack
Page 81 and 82: сцена K.I.L.T. http://kilt.co.
Page 83 and 84: unixoid Репозитории па
Page 85 and 86: unixoid links Большое кол
Page 87 and 88: unixoid Ассортимент Linu
Page 89 and 90: unixoid links www.x.org www.xfree86
Page 91 and 92: coding PSPLINK in Action Порт
Page 93 and 94: coding svn co svn://svn.ps2dev.org/
Page 95 and 96: coding Коллекция твои
Page 97 and 98: coding Установка непо
Page 99 and 100: Example. zip Maximum upload rate: 2
Page 101 and 102: + + + + Example. zip Maximum upload
Page 103 and 104: coding как и функции, и
Page 105 and 106: phreaking Я Z End Схема на
Page 107 and 108: phreaking Окончательно
Page 109 and 110: phreaking Отпаиваем заж
Page 111 and 112: phreaking POST-карта Маст
Page 113 and 114: phreaking friking Последст
Page 116 and 117:
ХАКЕР.pro сергей «Grind
Page 118 and 119:
ХАКЕР.PRO Проверка н
Page 120 and 121:
ХАКЕР.pro сергей «Grind
Page 122 and 123:
ХАКЕР.PRO Диагностич
Page 124 and 125:
ХАКЕР.PRO Баннеры, за
Page 126 and 127:
ХАКЕР.pro крис каспе
Page 128 and 129:
ХАКЕР.PRO Бумага — в
Page 130 and 131:
ХАКЕР.pro ульяНа сМе
Page 132 and 133:
ХАКЕР.PRO При помощи
Page 134 and 135:
ХАКЕР.PRO user@domain.ru group
Page 136 and 137:
units Жанна «mehovushka» К
Page 138 and 139:
units Статья о метода
Page 140 and 141:
units Маг / icq 884888 / FAQ UNI
Page 142 and 143:
units • http://www.nasa.gov — N
Page 144 and 145:
x № 06(114) июнь 2008 >>WINDO
Page 146:
http:// WWW2 Удобные веб
show all

ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÃÂžÃ‘Â„ÃÂ¸Ã‘ÂÃÂ½ÃÂ¾ÃÂµ ÃÂ·ÃÂ°ÃÂ¿ÃÂ°ÃÂ´ÃÂ»ÃÂ¾ - Xakep Online