Введение в реверсинг с нуля, используя IDA PRO. Часть 33.

Дата публикации 27 фев 2018 | Редактировалось 27 фев 2018
Мы установим пару плагинов для WINDBG, которые будут помогать нам дальше при работе.

К сожалению эти плагины работают только в WINDBG, но если Вы запустите их в WINDBG, запущенном в IDA, они дадут сбой, возможно, потому что они конфликтуют с PYTHON, который включён в IDA, но мы будем использовать их в отдельном WINDBG, когда они нам понадобятся.

Мы будем копировать файлы, которые я приложил, в каталог WINEXT, который находится внутри каталога, где установлен WINDBG и установим библиотеку времени исполнения VCREDIST_X86.EXE.

1.png

Затем, я должен сконфигурировать переменные окружения моей системы.

2.png

Добавьте переменную PYTHONPATH, к которой я добавил каталог PYTHON. Затем, идёт точка с запятой, и затем папка WINEXT. В моём случае это выглядит так.

C:\PYTHON27;
C:\PROGRAM FILES (X86)\WINDOWS KITS\10\DEBUGGERS\X86\WINEXT

3.png

И в переменную PATH, которая уже существует, я добавляю в конце точку с запятой, а затем строку C:\PYTHON27\

4.png

Я убеждаюсь, что строка добавлена в конец списка. Также я добавляю эту строку в системные переменные.

5.png

Хорошо, после перезагрузки ПК или принудительного завершения проводника WINDOWS, мы уже можем ввести в любой консоли слово PYTHON и система должна нам ответить его приглашением.

6.png

И последнее — нужно загрузить последние версии следующих файлов:

WINDBGLIB.PY https://github.com/corelan/windbglib/raw/master/windbglib.py

MONA.PY https://github.com/corelan/mona/raw/master/mona.py

и скопировать их в тот же каталог, где находится файл WINDBG.EXE

7.png

С этими настройками, скрипты уже должны работать. Давайте попробует запустить WINDBG, без IDA. Если он не запустится, то Вам нужна другая библиотека времени исполнения. Если нет, отладчик должен работать нормально.

С помощью CTRL + E мы открываем любой исполняемый файл.

Когда файл загрузится, мы вводим.

!LOAD PYKD.PYD

Ничего не случится, но и не должно появится ошибок.

8.png

С помощью команды !PY, я могу исполнять скрипты.

Здесь я могу также запускать команды PYTHON.

9.png

Сейчас я попробую запустить MONA. Я выхожу из консоли с помощью функции EXIT() и ввожу

!LOAD PYKD.PYD

!PY
MONA

10.png

Давайте попробуем некоторые команды MONA:

!PY MONA MODULES

11.png

Мы видим защищенные модули, которые запущены. Мы будем изучать их позже. Сейчас мы подготовили рабочее окружение и готовы начать капать глубже.

!PY MONA ROP

Это займёт немного времени. Попробуйте увидеть, есть ли здесь такой модуль, где можно создать ROP (позже мы увидим, что это такое) и попытаемся его создать.

12.png

Иногда Вы можете создать ROP, а иногда и нет, но по крайней мере, мы увидим, что команда работает.

13.png

Мы видим, что MONA подготовила ROP, но поскольку я не запускал WINDBG от имени администратора, она не смогла записать файл с результатом, но она всё равно его напечатала.

14.png

Мы можем проверить, если ли у MONA обновление в сети.

15.png

16.png

Сейчас я присоединяюсь к запущенному процессу. В моём случае, это приложение NOTEPAD++

17.png

Теперь я могу видеть состояние кучи.

Скоро мы рассмотрим это всё подробнее. В любом случае, WINDBG также имеет команды для работы с кучей без использования MONA, которые мы можем использовать внутри IDA.

18.png

Так что тут всё хорошо. В любом случае, если нам нужно, у нас есть несколько опцией, внутри, и вне IDA, и теперь у нас есть всё для продвижения вперед.

Попробуем ещё команды, для развлечения (MONA имеет их тысячи)

!PY MONA ASSEMBLE -S "JMP ESP"

19.png

!PY MONA GETIAT

Она действительно имеет много полезных команд, чтобы увидеть импортированные функции.

20.png

Удобно запускать MONA из-под пользователя АДМИНИСТРАТОР, чтобы сохранять информацию в файл. Мы можем получить также информацию об адресе, например так.

!PY MONA INFO -A АДРЕС

21.png


Хорошо. Мы немного отдохнули, и установили все необходимые инструменты для того, чтобы продолжать. Увидимся в 34 части.

====================================================================
Автор текста: Рикардо Нарваха - Ricardo Narvaja (@ricnar456)
Перевод на английский: IvinsonCLS (@IvinsonCLS)
Перевод на русский с испанского+английского: Яша_Добрый_Хакер(Ростовский фанат Нарвахи).
Перевод специально для форума системного и низкоуровневого программирования — WASM.IN
27.02.2018
Версия 1.0

4 1.022
yashechka

yashechka
Ростовский фанат Нарвахи
Команда форума

Регистрация:
2 янв 2012
Публикаций:
67

Комментарии


      1. yashechka 28 фев 2018
        :preved::preved::preved:
      2. yashechka 27 фев 2018
        Ну и по поводу самого курса.
        Мы прошли больше половины, но только сейчас начинается самое интересное. И Нарваха ещё не закончил.
      3. yashechka 27 фев 2018
        Напоминаю, что идёт сбор средств на покупку мощного ПК. Меня спрашивают, а зачем такой мощный? 1) Потому что у меня техники дома вообще нет, кроме старого ПК, на котором я писал первый курс Нарвахи :D 2) Чтобы его на долго хватило. 3) Самое главное!!! Чтобы запускать много виртуальных машин, чтобы строить сложные сети, 3MPLS с MTU 4500 :D. Будем скрещивать Джун, Сисю и Мыкрот.
        Далее, если Вам ненравится способ Киви - пишите мне в личку. Вчера так и поступили ))
        И если положили крипту - то же пишите, потому что я должен знать, кто это сделал, чтобы потом списки составить, кто помогал. Вот уже больше месяца положили 600р в ETH, но узнал я про это на днях, но так и не знаю, кто это был.