Sporo pytan ale to jest bardziej skomplikowane niz na to wyglada. Jesli chodzi o pytanko:Originally posted by nBD
czesc fl3a
dzieki za linki. IAT i EAT (Export Adress Table?) nie wzbudzaja u mnie pozytywnych wibracji bo:
IAT - owszem, dobre rozwiazanie ale co z aplikacjiami ktore dopiero zostana uruchomione? te ktore juz chodza moga miec spokojnie nadpisane IAT-o ile nie jest zniszczony-exeprotectory niektore tak robia. jesli juz mowa o exeprotectorach i innych packerach to nie jestem pewien czy w spakowanej aplikacji mozna zastosowac IAT hooking.
EAT - hmmm mowisz o bibliotekach systemowych? w w9x mozna bylo skoczyc do r0 i tam sobie kernel32 nadpisac. nt (xp/2k) to juz inna historia. ciekaw jestem jak to wyglada w praktyce.
proxy dll - nie slyszalem o tym, na czym to polega? cos takiego jak SetWindowsHookEx?
5 bytes jmp- 0xEB,0x05 ?
ten trojan z API hooking to GGT http://www.haker.com.pl/forum/viewtopic.php?t=14758
a i jeszcze cos: jest taka biblioteka HoKo www.sistemo.has.it, pozwala na hookowanie dowolnej funkcji, niestety w wersji free mozna tylko 2 (albo 1) na raz, na szczescie da sie to obejsc, tyle ze we wlasnych projektach to "nie wypada" ripowac czyjegos kodu
tak czy inaczej dalej bede drazyl temat API hooking bo to ciekawe i przydatne. pozdro
Nie. Kazdy program ktory jest uruchomiony potrzebuje bibliotek - obowiazkowo systemowych a takze i swoich. Wezmy dla przykladu powiedzmy gadu-gadu. Stadardowo windows mapujac plik w pamieci uzupelnia biblioteki z katalogu system32. W rzeczywistosci NAJPIERW przeszukuje katalog w ktorym jest dany plik umiejscowiony. Wystarczy teraz (jak jestes trojanikiem) instalujac sie w systemie skopiowac plik powiedzmy winsock32.dll do katalogu kdzei jest plik gg.exe, pozmieniac funkcyjki i juz masz zhookowane importy tego dll-ka, mozesz robic co ci sie podoba. Oczywiscie zmiana funkcyjek bibliotek na poziomie binarek to ostatecznosc. Najlepiej skompilowac sobie pustego dll-ka z przekierowaniami wszystkich funkcyjek na oryginaly a przechwycic tylko te ktore potrzebujesz. Ja tak robie. Rozwiazzanie proste i cholernie skuteczne a ma jeszcze jedna zalete - plik zajmuje cholernie malo i nie musisz sie pocic, ze w oryginalnym dll-ku zabraknie miejsca - chyba przekierowanie to najlepsze rozwiazanie.Originally posted by nBD+--><div class='quotetop'>CYTAT(nBD)</div>odpowiedz by brzmiala i tak i nie. Jezeli podejrzysz powiedzmy progsa spakowanego UPX-em to zauwazysz ze jakies funkcyjnki kernela sa importowane - loadlibrary, getprocadress itd. to juz wystarczy, ale sa protectory i pakery ktore robia z pliku taka sieczke, ze juz nic nie jest jasne wowczas ta prosta metoda nie wystarczy ale gdy zastosujesz techniki loaderow (z zczytywaniem pamieci - openprocess, readprocessmemory, writeprocessmemory itd..) to protektory i pakery miekna i mozesz techniki stosowac.
pod ring3 (tak naprawde ring0 pod winNT nie ma) mozesz spokojnie nadpisywac jaderko systemu - wlasciwie nie ma tu ograniczen. Wlasciwie jest tylko jeden problem atrybuty przestrzeni adresowej - moze cie czasem wykopsac - ale przeciez jest sposobik stosowany od dawna i nadal skuteczny - VirtualProtect i oczywiscie VirtualProtectEx, mozesz nawet grzebac w naglowkach plikow juz zmapowanych i inne cuda robic. Kernel mozesz nadpisywac.
<!--QuoteBegin-nBD
proxy dll - nie slyszalem o tym, na czym to polega? cos takiego jak SetWindowsHookEx?
5 bytes jmp- 0xEB,0x05 ?
moze sie myle (wole zapytac), ale czy piszac "jaderko", "Kernel" masz na mysli kernel32.dll czy ntoskrnl.exe bo zawuwazylem ze ludzie czesto, gesto dosc dwuznacznie formuluja to pojecie.
Dywagacja ??? Polecam tutorki Iczelion'a na temat zdaje sie vxd'kow - tam jest to dosc fajnie wytlumaczone. Przechodzac do "ring0" pod w2k tak naprawde dostjesz prawa do zapisu do przestrzeni adresowej programow itd.. ale tylko w pewnych granicach to nie jest czyste rin0 bo takiego pod NT-kami nie ma - tak byly projektowane zeby nie bylo. My ogolnie nazywamy to ring0 bo tak sie przyjelo. Jeszcze wiecej w opisie metody z0mbie'go na ring0 pod w2k.
Mam na mysli oczywiscie kernel32.dll choc w rzeczywistosci jaderko systemu jest wieloplikowe (w trybie 32 bitowym: kernel32dll (wlasciwie to tylko zestaw bibliotek), HAL no i oczywiscie NTOSKRNL) no jeszcze mozna by umownie nazwac jadrem systemu w trybie 16 bitowym procesora aplikacje ktora wprowadza procek w wirtualny tryb 32 bitowy (wiekszosc ludi peewnie nie wie ze ich procki tak naprawde sa 16 bitowe a tryb 32 bitowy jest tylko trybem virtualnym) ale z tym nazewnictwem to roznie pisza.
"stub dll" to jest wlasnie nazwa na technike podstawiania dll'ki ze spreparowanymi eksportami
Ring0 to ring0, wszędzie jest taki sam. Po prostu w 9x zmiana trybu r3->r0 była bardzo prosta. W NT w założeniach nie da się tego zrobić. W praktyce jest oczywiście inaczej, ale to już wynik dziur w kernelu, a nie samej jego architektury.