поиск адреса функции в ядре kernel32

Запись от Van111 размещена 21.05.2012 в 19:43
Обновил(-а) Van111 21.05.2012 в 21:10

Наконец то я написал этот модуль. Использовал Литературу -Путеводитель по написанию вирусов под Win32.chm и учебник Зубкова.
сначала о стеке... все переменные у меня выглядит в качестве ebp -смещение переменной ,esp я отодвинул на сотню байт тем самым создав себе хранилище данных.

Чем примечателен этот код

1 для хранения и работы с переменными используются единственный сегмент который всегда доступен для чтения и записи -сегмент стека.
2 если посидеть над этим кодом и немного перелопатить то его свободно можно использовать в инжекте процессов , подмене dll и заражении PE заголовка exe файла
функции

Search_kernel32 -находит начала kernel
ввод eax=равен адресу возврата из нашей программы
вывод - eax= начала kernel

copy_str_code_to_stack -переписывает функции из сегмента кода в сегмент стека(мой каприз)
ввод ebp , delta смещение, смещение области для записи в стеке, указатель на строку, размер строки

Get_api_table -запишет в стек три интересных поля

Get_API_func ищет функцию
ввод указатель на строку(если это не стековая строка ,то надо чуть поколдавать с указателем на строку) : примерно вот так , размер строки

Assembler

mov edi,offset name_function
sub edi,ebp
push edi
push ecx

call Get_API_func
[ASM]

и ещё если собрались исполнятся в чужом адресном пространстве то не забудьте что функции вызываются вот так

Assembler

1
2
3

mov eax,offset func
add eax,[ebp-delta_offset]
call eax

код программы

Assembler

.386
.model  flat,stdcall
 
include windows.inc
include kernel32.inc
include user32.inc
 
 
includelib user32.lib
 
includelib kernel32.lib
 
 
 
 
 
.stack  1000h
        .const
NameProcess db   'chrome.exe',0
K_32Limit    equ                        4
nuclea_kernel    equ                8
name_function    equ            70
address_offset_functions     equ        23
address_ofset_name_function equ     27
adress_ordinal  equ             31
 
.data
temp    dd  0 
.code
code_begin:
Search_kernel32 proc 
 
Search_kernel32_1:
    cmp byte ptr ss:[ebp-K_32Limit],00h
    jz kernel_limit_end
 
    cmp word ptr cs:[esi],'ZM'
    jz kernel_search_ok
 
Search_kernel32_2:
    dec dword ptr ss:[ebp-K_32Limit]
    sub esi,10000h
    jmp Search_kernel32_1
 
kernel_search_ok:
 
    mov edi,cs:[esi+3ch]
    add edi,esi
    cmp word ptr cs:[edi],'EP'
    je kernel_search_ok_pe
 
 
kernel_limit_end:
    mov esi,0BFF70000h
 
kernel_search_ok_pe:  
 
    mov eax,esi
    ret
 
Search_kernel32 endp
 
Get_api_table proc
mov eax,ss:[ebp-nuclea_kernel]
add eax,3ch ;offset PE
 
mov eax,cs:[eax]
add eax,ss:[ebp-nuclea_kernel]; PE
add eax,78h     ;rva intresting_table
mov eax,[eax]       ;eax = intresting_table
 
add eax,1ch     
add eax,ss:[ebp-nuclea_kernel]      ;intresting memo
 
mov esi,eax ;esi = begin intresting value
 
 
lodsd 
add eax,ss:[ebp-nuclea_kernel ]
mov ss:[ebp -address_offset_functions],eax
lodsd 
add eax,ss:[ebp-nuclea_kernel]
mov ss:[ebp -address_ofset_name_function],eax
lodsd 
add eax,ss:[ebp-nuclea_kernel ]
mov ss:[ebp -adress_ordinal],eax
 
ret
 
 
 
 
 
 
Get_api_table   endp
 
copy_str_code_to_stack proc
       ;0 - return address ,ofset stack
       ;4 - ecx
       ;8 -esi
       ;12 -edi
       ;16 edx-delta
       ;20 offset stack, return address
        mov eax,ss:[esp]
        mov ebx,ss:[esp+20]
        mov ss:[esp],ebx
        mov ss:[esp+20],eax
        
        pop ebp
        pop ecx
        pop esi
        pop edi
        pop edx
        ;ds =cs ,es=ss        
        push ds
        push es
        
        push cs
        pop  ds
        
        push ss
        pop  es
        
        add esi,edx
        
        neg edi
        add edi,ebp
        
        
        rep movsb 
        pop es
        pop ds
        ret        
        
 
copy_str_code_to_stack endp
 
Get_API_func    proc
   mov eax,ss:[esp]
   mov ebx,ss:[esp+8]
   mov ss:[esp],ebx
   mov ss:[esp+8],eax
   
   pop edi
   pop edx
mov ecx,0ffffffffh; -1
;ecx = number function - 1 
Get_API_func_labe1:
inc ecx     
mov esi,dword ptr ss:[ebp-address_ofset_name_function] 
shl ecx,2
add esi,ecx  ; esi = esi + ecx * sizeof dword
shr ecx,2  ;return ecx
push esi
push ecx
 
mov esi,cs:[esi]
add esi,ss:[ebp-nuclea_kernel]
mov ecx,edx
push edi  
repe cmpsb    
pop edi 
pop ecx
pop esi
jz Get_API_func_find_ok
jmp Get_API_func_labe1
 
Get_API_func_find_ok:
 
shl ecx,1
mov eax,ecx
add eax,[ebp-adress_ordinal ]
 
mov ebx,eax
xor eax,eax
mov ax,[ebx]
 
 
 
shl     eax,2  
add eax,ss:[ebp-address_offset_functions]
mov eax,cs:[eax] ; !!!!!!!!!!!!! eax = VA function
add eax,ss:[ebp- nuclea_kernel] ; !!!!!!!!!!!!! eax = RVA function
 
ret
Get_API_func endp
 
 
 
 
start:
 
       call    delta
 delta:
        pop     edx
        sub     edx,offset delta
      
 
    
       mov esi,ss:[esp]
        xor si,si ;nuckea_kernel
        
        mov ebp,esp
        sub esp,100h ; realoc stack
        
        mov eax,50h
        mov ss:[ebp - K_32Limit],eax; input limit
        mov     ss:[ebp-nuclea_kernel],esi
       
       ;    copy_str_code_to_stack ////////////////
        push ebp
        push edx
        push name_function  ;edi
        push offset str_name_function;esi
        push sizeof str_name_function;ecx
        call copy_str_code_to_stack
       ;    copy_str_code_to_stack ////////////////
       
       ; Search_kernel32 ///////////////// 
        mov     esi,ss:[ebp-nuclea_kernel]
        call Search_kernel32
        mov ss:[ebp - nuclea_kernel],eax
       ; Search_kernel32 ///////////////// 
      
        ; Get_api_table
        call Get_api_table
        ; Get_api_table     
        
        ;Get_Api_func
        mov edi,ebp
        sub edi,name_function
        push edi
        push sizeof str_name_function
        call Get_API_func
        
        ;Get_Api_func
        
        push 0
        push 0
        call eax
        
 
        invoke ExitProcess,0
        
        str_name_function db       'CloseHandle',0
 
 
        
        
        ;size_name_MessageBox equ $ - offset name_MessageBox  
    qwe dd  0
code_size equ $-code_begin
end start

с нетерпением жду ваших комментариев

Размещено в кодирование и програмирование

Показов 12775 Комментарии 5

« безымянные пейпы и с чем их едят Главная страница отлов API функций ЧУЖОГО процесса »

Всего комментариев 5

Комментарии

рано или поздно ,но надеюсь в этом месяце я переделаю код и подключу его к функции написанной на с++ в результате получится что с помощью ассемблера я получу из от ядра основные функции для подключения динамических библиотек.

Запись от Van111 размещена 21.05.2012 в 19:49 Van111 вне форума

1) Код база зависимый! Например, при получении смещения на имя функции. Ты пишешь offset str_name_function. Это же адрес, а при внедрении адреса будут другие! И здесь тоже самое: offset delta.

2) Ты берешь с верхушки стека указатель в кернел, выравниваешь его и сканируешь в сторону младших адресов. Т.е. код зависит от балансировки стека, что не есть хорошо. Лучше используй PEB. Я уже выкладывал свой код, который вызывает MessageBox, не используя не одной API. Который был протестирован на 32 разрядных Windows 2000, 2003, XP, VISTA и на 64 разрядной Windows 7. И везде удачно работал.

Запись от _lucius_ размещена 25.05.2012 в 09:18 _lucius_ вне форума

	1 ну я тут писал пример вызова функции в чужом адресном пространстве mov eax,offset func add eax,[ebp-delta_offset] call eax 2 спасибо _lucius_
	Запись от Van111 размещена 25.05.2012 в 12:11

Цитата:

1 ну я тут писал пример вызова функции в чужом адресном пространстве
mov eax,offset func
add eax,[ebp-delta_offset]
call eax

Вот как раз с функциями все норм. Как они у тебя в коде так и оставь. В твоем случае, в инструкции call содержится расстояние до метки, а не адрес. Я тебе про обращение к строке говорю [push offset str_name_function]. И тут у тебя тоже [push offset str_name_function] адрес. Вот тебе примерчик как реализовать обращение к строкам.

Assembler

    ; получаем дельта смещение
    call $+5
    pop eax
    
    ; макропеременные, содержат расстояние от дельта смещения до указателей на стороки
    pFName1 = FName1-$+1
    pFName2 = FName2-$+1
    pDName = DName-$+1
    pMess = Mess-$+1    
 
    ; помещаем в регистры указатели на строки ["дельта смещение" + "расстояние от дельта смещения до указателей на стороки"]
    lea edx,[eax + pFName1]
    lea ecx,[eax + pFName2]
    lea esi,[eax + pDName]
    lea edi,[eax + pMess]
 
    ; .... CODE ....
 
    FName1 db 'LoadLibraryExA',0
    FName2 db 'MessageBoxA',0
    DName  db 'user32.dll',0
    Mess   db 'Hello world!',0

Запись от _lucius_ размещена 25.05.2012 в 14:45 _lucius_ вне форума

	спасибо большое
	Запись от Van111 размещена 25.05.2012 в 18:25

Архив
< Апрель 2024
Вс	Пн	Вт	Ср	Чт	Пт	Сб
24	25	26	27	28	29	30
31	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	1	2	3	4

Сообщение форума

Отменить изменения