бинарник автоматически меняет байты в EP

Тема в разделе "WASM.RESEARCH", создана пользователем WIN32, 5 май 2011.

  1. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    При загрузке в ольку в EP я вижу
    Код (Text):
    1. 004013C9 > $- E9 99488B0B   JMP 0BCB5C67
    2. 004013CE   .  FF15 74504000 CALL DWORD PTR DS:[<&MSVCRT.iswgraph>]   ; |\iswgraph
    3. 004013D4   .  C70424 E80300>MOV DWORD PTR SS:[ESP],3E8               ; |
    При чтении с диска, вижу :
    Код (Text):
    1. 004013C9: 55                       push ebp ; Program Entry Point
    2. 004013CA: 8BEC                     mov ebp, esp
    3. 004013CC: 6A00                     push 00000000h
    4. 004013CE: FF1574504000             call [00405074h] ; MSVCRT.dll!iswgraph
    5. 004013D4: C70424E8030000           mov [esp], 000003E8h
    6. 004013DB: FF1574504000             call [00405074h] ; MSVCRT.dll!iswgraph
    7. 004013E1: A174504000               mov eax, [405074h]
    как ? Видать используются специальные фичи ПЕ формата чтобы системный загрузчик подменил эти байты ?
     
  2. fsd

    fsd New Member

    Публикаций:
    0
    Регистрация:
    4 июл 2010
    Сообщения:
    353
    что именно тут необычного?
     
  3. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    В ольке первая инструкция в точке входа JMP 0BCB5C67
    хотя в образе на диске ( в файле ) в точке входа стандартный пролог
    push ebp
    mov ebp,esp
    почему, и как в момент загрузки образа в адресное пространство процесса, система внедряет в точку входа JMP ....
     
  4. rmka

    rmka Member

    Публикаций:
    0
    Регистрация:
    22 окт 2010
    Сообщения:
    108
    Может там тлс колбэк есть, который это делает?
     
  5. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    Как и где это посмотреть?
    p.s аттачи не работают тут ?
    Кстати эту фишку (с подменой байтов в ЕП) я встречал в зевсе, спайай и в этом бинарнике(тдл4)
     
  6. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    Выложил : http://ifolder.ru/23348981 ( pass infected_wasm )
    dll.exe - tdl4 dropper
     
  7. artkar

    artkar New Member

    Публикаций:
    0
    Регистрация:
    17 авг 2005
    Сообщения:
    400
    Адрес:
    Russia
    стопудово подмена ЕР в .техт случай не заурядный, чё за прога?
     
  8. rmka

    rmka Member

    Публикаций:
    0
    Регистрация:
    22 окт 2010
    Сообщения:
    108
    Незнаю что за олька у вас, у меня 2.01 никакого джампа не показвает.
     
  9. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    o_0 ollydbg 2
    Код (Text):
    1. CPU Disasm
    2. Address   Hex dump          Command                                  Comments
    3. 004013C9      E9            DB E9
    4. 004013CA  /.  99            CDQ
    5. 004013CB  |.  48            DEC EAX
    6. 004013CC  |.  8B0B          MOV ECX,DWORD PTR DS:[EBX]
    7. 004013CE  |.  FF15 74504000 CALL DWORD PTR DS:[<&MSVCRT.iswgraph>]   ; \MSVCRT.iswgraph
    8. 004013D4  |.  C70424 E80300 MOV DWORD PTR SS:[ARG.RETADDR],3E8       ; /c => 03E8
    Может быть, марварь какая нибудь сидит у меня ?
     
  10. Hellspawn

    Hellspawn New Member

    Публикаций:
    0
    Регистрация:
    4 фев 2006
    Сообщения:
    310
    Адрес:
    Москва
    может это какой-нить недоантивирус повесил хуки в юзер-моде.
     
  11. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    Исключено, на машине нет недоантивирусов :)
    P.S. на второй машине так же, появляется JMP в точке входа.
     
  12. Booster

    Booster New Member

    Публикаций:
    0
    Регистрация:
    26 ноя 2004
    Сообщения:
    4.860
    WIN32
    На всех программах или только на этой?
     
  13. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    Только на этой, и пару раз встречалось в билдах спайай и зевса. Упаковщик один и тот же видать.
     
  14. gorodon

    gorodon New Member

    Публикаций:
    0
    Регистрация:
    19 окт 2009
    Сообщения:
    301
    WIN32, проверьте загрузку сатически связанных длл (может есть навесная длл, которая патчит код ехе)
     
  15. leo

    leo Active Member

    Публикаций:
    0
    Регистрация:
    4 авг 2004
    Сообщения:
    2.542
    Адрес:
    Russia
    WIN32
    А ты смотрел в Оле, что по адресу перехода находится ? Может какая-то dll, которая все эти делишки и проворачивает при DLL_PROCESS_ATTACH ?
     
  16. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    Да конечно смотрел, вариант с дллкой которая в dwReason == DLL_P_A я уже рассмотрел, джамп указывает на тело самого файла

    Memory map
    Address Size Owner Section Contains Type Access Initial Mapped as
    00400000 00001000 dll PE header Imag R RWE
    00401000 00004000 dll .text code Imag R RWE
    00405000 00001000 dll .rdata imports Imag R RWE
    00406000 00001000 dll .crt Imag R RWE
    00407000 00001000 dll .edata exports Imag R RWE
    00408000 0000E000 dll .data data Imag R RWE
    00416000 00011000 dll .rsrc resources Imag R RWE
    00427000 00001000 dll .reloc relocations Imag R RWE
    00430000 00101000 Map R R
    00540000 000FA000 Map R R
    01140000 003C3000 Map R R
    0BC90000 0004D000 Priv RWE RWE
     
  17. Flint_ta

    Flint_ta New Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    312
  18. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    ну может релоки портят
     
  19. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    не совсем. Джамп указывает именно на функционал
     
  20. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    Код (Text):
    1. 0BC95C30  75 73 65 72 33 32 00 00 47 52 41 42 42 45 44 20  user32..GRABBED
    2. 0BC95C40  44 41 54 41 00 00 00 00 25 73 25 73 25 73 00 00  DATA....%s%s%s..
    3. 0BC95C50  45 4D 50 54 59 00 00 00 0A 0A 00 00 6F 70 65 72  EMPTY.......oper
    4. 0BC95C60  61 00 00 00 53 6F 66 74 77 61 72 65 5C 4D 69 63  a...Software\Mic
    5. 0BC95C70  72 6F 73 6F 66 74 5C 49 6E 74 65 72 6E 65 74 20  rosoft\Internet
    6. 0BC95C80  45 78 70 6C 6F 72 65 72 00 00 00 00 69 65 78 70  Explorer....iexp
    7. 0BC95C90  6C 6F 72 65 00 00 00 00 63 00 68 00 72 00 6F 00  lore....c.h.r.o.
    8. 0BC95CA0  6D 00 65 00 00 00 00 00 77 6C 63 6F 6D 6D 2E 65  m.e.....wlcomm.e
    9. 0BC95CB0  78 65 00 00 6D 73 6D 73 67 73 2E 65 78 65 00 00  xe..msmsgs.exe..
    10. 0BC95CC0  6D 73 6E 6D 73 67 72 2E 65 78 65 00 6E 73 70 72  msnmsgr.exe.nspr
    11. 0BC95CD0  34 00 00 00 48 74 74 70 53 65 6E 64 52 65 71 75  4...HttpSendRequ
    12. 0BC95CE0  65 73 74 41 00 00 00 00 48 74 74 70 53 65 6E 64  estA....HttpSend
    13. 0BC95CF0  52 65 71 75 65 73 74 57 00 00 00 00 49 6E 74 65  RequestW....Inte
    14. 0BC95D00  72 6E 65 74 57 72 69 74 65 46 69 6C 65 00 00 00  rnetWriteFile...
    15. 0BC95D10  68 74 74 70 3A 2F 2F 00 68 74 74 70 73 3A 2F 2F  http://.https://
    16. 0BC95D20  00 00 00 00 50 52 5F 57 72 69 74 65 00 00 00 00  ....PR_Write....
    уж точно не хипс))