Самомодификация, или по стопам Еикара

Почитав https://blog.nintechnet.com/anatomy-of-the-eicar-antivirus-test-file/ , вдохновился созданием своего самомодифицирующегося кодеса, just for fun.

(в помощь http://xor.pw/)

Набросал сценарий,

- выполняется первая команда, изменяет сама себя
- вып. вторая команда, вторая изменяет сама себя, делая из себя 2 нопа
- выполняется третья команда = джамп на первую
- первая команда изменяет вторую
- вторая изм. третью на int 20



Как будем такое делать?

Наш условный кодес:

Код (ASM):

1. @1:
2. некие 2 байта команды первой
3.  
4. @2:
5. некие два байта команды второй
6.  
7. @3:
8. jmp @1

Нужны ссылки на первую, на вторую, на джамп (т.е. на третью)
- значения этих ссылок заталкиваем в di, bx, si

..

Смотрим сценарий. Пойдем с конца.

- вторая изм. третью на int 20

Джамп на первую = EB,FA (это третья команда)
Xor'ом делаем из нее CD,20

Тогда значение для ксора = 26,DA <- кладем это значение в cx

Это сделаем командой (которая вторая) XOR [SI],CX = 31,0C
(SI указывает на третью команду, СХ это число для ксорки)

..

- первая команда изменяет вторую

Из 9090 (2х нопов) получить 31,0c это ксорить на a1,9c <- значение в ax

это XOR [BX],AX, на которую прыгнет джамп в пункте сценария

"- выполняется третья команда = джамп на первую"

..

- вып. вторая команда, вторая изменяет сама себя, делая из себя 2 нопа

С помощью XOR [bx],dx = 31,17

3117 xor 9090 = a187 <- кладем значение в DX

..

- выполняется первая команда, изменяет сама себя

Нужно первой командой из первой сделать XOR [BX],AX = 31,07

С помощью XOR [di],bp = 31,2D

31,2d xor 31,07 = 00,2a <- кладем это значение в BP

..

Результат:

Код (ASM):

1. .model tiny
2. .code
3. .radix 16
4.  
5. org 0100
6.  
7. stt:
8.  
9.  
10. mov cx,0da26
11.  
12. mov bp,2a00
13. mov dx,87a1
14.  
15. mov ax,9ca1
16.  
17. lea di,@1
18. lea bx,@2
19.  
20. lea si,@3
21.  
22.  
23.  
24. @1:
25. xor [di],bp
26.  
27. @2:
28. xor [bx],dx
29.  
30. @3:
31. jmp @1
32.  
33.  
34. end stt
35.  

Скомпилированный код во вложении, пройдите его пошагово в отладчике.

На вопросы "Почему dos?" и "Отсыпь?" отвечаю "Сделано ради лулзов!"

 

Вот досбокс, в папку Virtual можно подкладывать файлы, это рабочая папка.
Стартовать через dn.bat

В качестве отладчика AvpUtil

https://yadi.sk/d/2HXdYybb34tCfk пароль 1

 

На современных архитектурах Intel такое вряд ли проканает, так как секция кода изначально защищена от записи.

 

VirtualProtect в помощь, к тому же можно задать RWE атрибут для кода при компиляции.

 

На этапе загрузки-чтения MBR/BOOT, это 16-битный realmode, нет защиты памяти.
Конечно, скажете, есть Uefi..

 

Могу порекомендовать еще, чтобы модифицикация кода происходила только в кэше, с дальнейшим invd - и никаких следов памяти от реального выполненного кода))

 

Интересно. Информации не черкнете? Или хотя бы гугл-строки для поиска?

 

Какую еще надо информацию? Модифицируешь код в WB-памяти и периодически выполняешь invd (естественно, уже после выполнения модифицированного кода), чтобы модифицированный код не успел сброситься в память.

 

Знаю, что есть механизмы управления защитой памяти VirtualProtect, mprotect.
Но для этого их сначала следует использовать, чтобы сделать код модифицируемым.

И сделать приложение потенциально уязвимым к SMC. Не очень хорошая идея.

 

Не вижу проблемы в этом.

Можно поподробней?

 

Согласен, проблем нет. Просто не будь это 16-разрядный код для DOS, то следовало бы в статье обязательно упомянуть об этом.

SMC = Self Modifying Code. Снимая защиту со всей секции кода ради 1-2 мест, где надо выполнить самомодификацию, мы подвергаем в принципе всю секцию кода опасности самомодификации.

 

Спорно. К примеру предположим обратное, что секция защищена от записи - любая запись туда уже вызовет исключение, что в свою очередь является ошибкой (если это специально не планировалось). Если код ведет себя недетерминировано и может писать данные куда попало - это уже плохой код. В любом случае права доступа можно поменять после исполнения участка самомодифицирующегося кода (если этот участок работает один раз), а преимущество RWE секции в том что код восстановления прав может быть также зашифрован.

 

На вин32, по всей видимости, может (будет?) мешать многоядерность процессора многозадачность ОС.

нужно чтобы исполнение не прерывалось, отсыл к SetProcessorAffinity, ?

Речь идет об аппаратном DEP, верно понимаю?

(см. http://web.archive.org/web/20080327155809/http://www.insidepro.com/kk/063/063r.shtml,

Достаточно лишь воткнуть последний Pentium-4 и обновить ядро, чтобы Windows могла задействовать новые аппаратные возможности, и тогда при попытке выполнения прикладного кода в куче, секции данных или на стеке возбуждается исключение)

ох я все смешал в 1 кучу, исполнение данных vs запись в секцию кода )
..

В тему, http://wasm.in/forum/threads/kak-zapolnit-vsju-pamjat.25376/

Там забавный пример приведен со строковой командой, которая сама себя затирает. Но что-то не взлетает он у меня.

 

Сэр, это безумие, сэр, но оно работает! )

 

И размер такой душевный - 135 байт.

 

Спасибо ) В первом исходнике - должно быть синим цветом, Fasm действительно неверно компилит.

 

Я описал метод, модер удалил его и меня. Все остались довольны.