ÃÂ’ÃÂ·ÃÂ»ÃÂ¾ÃÂ¼ GSM - Xakep Online

More documents

Recommendations

Info

взломКрис КасперскиЭнциклопедияантиотладочныхприемовОбработка необрабатываемых исключенийОтладчики, работающие через MS Debugging API (OllyDbg, IDA-Pro, MS VC),вынуждены мириться с тем, что отладочные процессы «страдают» хроническимиособенностями поведения. Они «ломают» логику программы, и этос огромной выгодой используют защитные механизмы. В частности, APIфункцияSetUnhandledExceptionFilter() под отладчиком вообще не вызывается— вовсе не баг отладчика, а документированная фича системы!066FundamentalsРассматривая обработку структурных исключений в предыдущемвыпуске, мы мельком упомянули, что всякий процесс от рождения получаетпервичный обработчик структурных исключений, назначаемыйоперационной системой по умолчанию. Если программист забыл (илине захотел) назначать свои собственные обработчики, то все исключения,возникающие в ходе выполнения программы, попадают в пастьпервичного обработчика. Он расположен в NTDLL.DLL и, в зависимостиот настроек оси, либо вызывает «Доктора Ватсона», либо выводитзнаменитый диалог о критической ошибке с вариантами: «ОК»— завершить приложение в аварийном режиме и «Cancel» — вызыватьJust-in-Time отладчик (в роли которого может выступать и Ольга).То же самое происходит, если программист устанавливает один илинесколько обработчиков структурных исключений, но никто из них не всостоянии справиться с ситуацией — вот они и передают исключениедруг другу, пока оно не докатится до системного обработчика. Системныйобработчик легко подменить своим (было бы желание). Достаточновместо ссылки на предыдущий EXCEPTION_REGISTRATION затолкатьв поле prev значение «-1». Это будет свидетельствовать, что данныйобработчик — последний в цепочке.Как вариант, можно воспользоваться API-функцией SetUnhandledExceptionFilter(), перекрывающей обработчик исключенийверхнего уровня (top-level exception handler). Да, именно «верхнего»,поскольку Windows создавалась в Америке, расположенной на противоположнойстороне Земли, где люди ходят вверх ногами. Первичныйсистемный обработчик, с их точки зрения, находится на вершинепирамиды структурных исключений, в то время как русские программистысклоны рассматривать его как «основание». Но это все лирика, адело-то в том, что...Функция SetUnhandledExceptionFilter(), перекрываясистемный обработчик, в неволе работать отказывается, то естьполучает управление только, когда процесс не находится под от-xàêåð 07 /115/ 08
взломЗапуск тестовой программы под «чистой» Ольгой(без специальных plug-in’ов) приводит к детекцииотладчикаОтладчики Soft-Ice и Syser также «палятся», еслирычажок «I3HERE» установлен в положение «ON»ладчиком. В противном случае исключение передаетсянепосредственно самому отладчику. Это — задумкапроектировщиков, кстати сказать, довольно оригинальнаяи полезная. Если отладчика нет — установленныйпрограммистом обработчик берет управлениена себя и завершает работу программы максимальнокорректным образом. Если же процесс находится подотладкой, операционная система передает браздыправления отладчику, позволяя разобраться сситуацией, поскольку после завершения программыразбираться будет не с чем и некому.А теперь, внимание, вопрос! Что произойдет, если вобработчик, установленный SetUnhandledExceptionFilter(), воткнуть не код аварийного завершенияприложения, а кусок функционала, например,расшифровщик какой или просто пару строк на Си,меняющих значение флага under_debuuger? Правильно— мы получим великолепный способ детектаотладчиков прикладного уровня!Эксперимент — pro-n-contraSetUnhandledExceptionFilterНапишем простейшую тестовую программу, позволяющуюисследовать реакцию отладчиков на фильтр, установленныйфункцией SetUnhandledExceptionFilter().На crackme она никак не тянет (слишком прозрачна иэлементарна), но crackme мы написать завсегда успеем!Сейчас главное врубиться в тему и выяснить — наскольконадежен этот трюк, можно ли его обойти и если да, то как?Один из примеров реализации тестового стенда приведенниже.Исходный текст программы SetUnhandledExceptionFilter,демонстрирующей технику использования функции дляборьбы с отладчиками#include char dbgnoo[]= "debugger is not detected";char dbgyes[]= "debugger is detected :-)";// we expect debugger by defaultchar *p = dbgyes;xàêåð 07 /115/ 08LONG souriz(struct _EXCEPTION_POINTERS *ExceptionInfo){// if we’re here, process is _not_ underdebuggerp = dbgnoo;// skip INT 03 (CCh) commandExceptionInfo->ContextRecord->Eip++;// we want the program to continue executionreturn EXCEPTION_CONTINUE_EXECUTION;}nezumi(){// supersede the default top-level exceptionhandler by souriz() procSetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)&souriz);__asm {int 03 ; // generate an exception}OllyDbg 1.xимеет коварный баг!Ольга версии 1.10 имеет неприятный баг — если непосредственно заINT 03h следует команда PUSHFD, заталкивающая флаги в стек, отладчикедет крышей и теряет управление над отлаживаемой программой,даже если мы нажимаем / (Step Into/Step Over). Для демонстрациибага достаточно воткнуть в листинг пару команд PUSHFD/POPFD. А вот те же самые команды, отделенные от INT 03h одной илинесколькими инструкциями NOP (или любыми другими) работают вполненормально.В Ольге 2.х ошибка уже исправлена, однако, учитывая, что 2.х все еще находится встадии разработки, основным инструментом хакеров остается Ольга 1.10 с багомна борту.067
Page 1:
Жестокий взлом BASH.OR
Page 6:
meganewsMeganewsМария «Mifril
Page 10:
meganewsСкажиSamsung’у «а
Page 14 and 15:
meganewsНовыйпрокол AOL
Page 16 and 17: ferrumКирилл АвроринМ
Page 18: ferrumBenQ Joybook S32bТехнич
Page 22 and 23: ferrum4 девайса23 000 руб
Page 24 and 25: pc_zoneАнтонов «Spider_NET
Page 27 and 28: pc_zoneБесплатный соф
Page 30 and 31: pc_zoneМаксим Соколов
Page 32 and 33: pc_zoneДля регистраци
Page 34 and 35: pc_zoneСтепан «Step» Иль
Page 36 and 37: pc_zoneТихо! Идет анал
Page 38 and 39: взломEasy Hack}Хакерск
Page 40 and 41: взлом/home/pzh/public_html/tst
Page 42 and 43: взломОбзор эксплой
Page 44 and 45: взломCore 2 Duo — один
Page 46 and 47: взломkolpeeXВолкВ оВе
Page 48: взломinfo• эксплуат
Page 51 and 52: взломinfo• Анализ со
Page 54 and 55: взломЛеонид «R0id» С
Page 56 and 57: взломВид менюшкиПе
Page 58 and 59: взломАбырвалгBash.org.
Page 60 and 61: взломАдминка башаА
Page 62 and 63: взломКрис Касперск
Page 64 and 65: взломvideoНа DVD мы выл
Page 66: взломОсновные преи
Page 71 and 72: взломА ты знаешь,чт
Page 73 and 74: P.S. Автор и редакция
Page 75 and 76: сценаАлан ТьюрингН
Page 78 and 79: сценарабочие места
Page 80 and 81: unixoidКрис Касперски
Page 82 and 83: unixoidСтепан Ильин/ STE
Page 84 and 85: unixoidЮрий «bober» Разз
Page 86 and 87: unixoidПри попытке вос
Page 88 and 89: unixoidВиталий «Pizgin» Ш
Page 90 and 91: unixoidMidnight CommanderKonqueror
Page 92 and 93: unixoidВиталий «Pizgin» Ш
Page 94 and 95: codingva1en0k/ fromxa@va1en0k.net /
Page 96 and 97: codingВсе просто: когд
Page 98 and 99: codingАлександр Эккер
Page 100 and 101: codingСозданное нами
Page 102 and 103: hat is Twithat is Twithat is Twitha
Page 104 and 105: hat is Twithat is Twithat iswitter?
Page 106: hat is Twithat is TwitWhatwitter? h
Page 109 and 110: codingтельски часто),
Page 111 and 112: phreakingКогда я увидел
Page 113 and 114: phreakingпрошивки). За р
Page 115 and 116: phreakingАндрей «Dron_Gus»
Page 117 and 118:
phreakingНастройка фор
Page 119:
frikingМой домашний ро
Page 122 and 123:
•>> ХАКЕР.PROЗа резер
Page 124 and 125:
ХАКЕР.PRoсергей «griNde
Page 126 and 127:
ХАКЕР.PROacl USERS proxy_auth
Page 128 and 129:
ХАКЕР.PROнекоторых д
Page 130 and 131:
ХАКЕР.PRoКрис Каспер
Page 132 and 133:
ХАКЕР.PROSoft-Ice считае
Page 134 and 135:
ХАКЕР.PRoульяНа сМел
Page 136 and 137:
ХАКЕР.PROКонфиг для
Page 138 and 139:
unitsКрис КасперсКио
Page 140 and 141:
unitsЧередование фаз
Page 142 and 143:
unitsМаг/ icq 884888 /Степа
Page 144 and 145:
unitshttp://madnet.name/tools/madss
Page 146:
http://WWW2В этой мини-р
show all

ÃÂ’ÃÂ·ÃÂ»ÃÂ¾ÃÂ¼ GSM - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÃÂ’ÃÂ·ÃÂ»ÃÂ¾ÃÂ¼ GSM - Xakep Online