Вопрос по внедрению

Discussion in 'WASM.BEGINNERS' started by Bryan_, Aug 5, 2008.

  1. Bryan_

    Bryan_ New Member

    Blog Posts:
    0
    Возникли вопросы после прочтения статьи Криса
    Code (Text):
    1. Внедрение X-кода в файл путем сброса части секции в оверлей.
    2.  
    3. Внедрение. Обобщенный алгоритм внедрения выглядит так:
    4.  
    5.     * Считываем PE-заголовок и приступаем к его анализу;
    6.     * Если DATA DIRECTORY содержит ссылку на структуру, привязывающуюся к физическим смещениями, либо готовимся скорректировать ее надлежащим образом, либо отказываемся от внедрения;
    7.     * Если LS.r_off + LS.r_sz > SizeOfFile, файл, скорее всего, содержит оверлей и лучше отказаться от внедрения;
    1. Почему оверлей проверяется так LS.r_off + LS.r_sz > SizeOfFile , а не наоборот (LS.r_off + LS.r_sz < SizeOfFile)? Ведь оверлей распологается от физического конца последней секции до конца файла.

    2.Что значит
    Code (Text):
    1. Если DATA DIRECTORY содержит ссылку на структуру, привязывающуюся к физическим смещениями
    ?
     
    Bryan_, Aug 5, 2008
    #1
  2. Sol_Ksacap

    Sol_Ksacap Миша

    Blog Posts:
    0
    Случайный косяк \ опечатка \ проверка сообразительности или чего-то. Одно из пяти.
    Кстати, физический размер секции (raw section size) необходимо округлить на FileAlignment в большую сторону - при загрузке файла именно так и происходит.

    Данно. Серьёзно, не имеем никаких здравых соображений. Ждём ответа мыщъх'а :)
     
    Sol_Ksacap, Aug 5, 2008
    #2
  3. pr0mix

    pr0mix New Member

    Blog Posts:
    0
    Скорее опечатка, нежели другое.
    .
    Здесь по ходу, имеется ввиду ссылки на такие структуры как директория с отладочной инфой, т.к в ней записываются raw смещения, а не RVA. Также следует проверить секцию релоков.
     
    pr0mix, Aug 6, 2008
    #3
  4. Subrealist

    Subrealist Member

    Blog Posts:
    0
    Физические смещения помимо структур директории отладочной информации имеют структуры директории сертификатов безопасности. По сути, структуры, адресующиеся только по физичексим смещениям, представляют собой некое подобие оверлея, так как они не проекцируются при загрузке файла.
    Сертификаты безопасности, например, проверяются загрузчиком перед загрузкой, и если их структуры будут перенесены, пускай даже значение в директории сертификатов и будет скорректировано, но в них применяется физическое смещение, то есть при переносе значения смещений станут не верными, что приведёт к сбою. Отсюда и совет, либо отказаться от заражения, либо скорректировать значение физических смещений в данных структурах
     
    Subrealist, Aug 6, 2008
    #4