Изменение параметров секции и NT Header

mitsumi · 21 май 2011

Пытаюсь написать простой инфектор. Добавляю код в последнюю секцию. Длина кода - 7 байт.
Но после изменения параметров таблицы секции и нт хидера, загрузчик выдает сообщение о том, что ехе не является win32 приложением.

Код (Text):

ulOffset = (unsigned long) pMapping + pLastSection->PointerToRawData + pLastSection->SizeOfRawData;

// infecting; simple jump to entry point

*(unsigned char *) ulOffset = 0xBF;

++ulOffset;

*(unsigned long *) ulOffset = pNtHeader->OptionalHeader.AddressOfEntryPoint + pNtHeader->OptionalHeader.ImageBase;

ulOffset += 4;

*(unsigned short *) ulOffset = 0xE7FF;

ulOffset += 2;

for ( ; (ulOffset - (unsigned long) pMapping)<ulNewSize; ++ulOffset )

*(unsigned char *) ulOffset = 0x00;

pNtHeader->OptionalHeader.AddressOfEntryPoint = pLastSection->VirtualAddress + pLastSection->SizeOfRawData;

pLastSection->Characteristics |= IMAGE_SCN_CNT_CODE | IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE;

pLastSection->Misc.VirtualSize = pLastSection->SizeOfRawData + 7; // size of section without file aligment

pLastSection->SizeOfRawData = AlignSize(pLastSection->Misc.VirtualSize, ulFileAligment); // size of section with file aligment

pNtHeader->OptionalHeader.SizeOfImage = pLastSection->VirtualAddress + pLastSection->Misc.VirtualSize;

Подскажите где ошибка. Подозреваю что я задаю неправильные данные для VirtualSize или SizeOfRawData.

Sunzer · 21 май 2011

Файл лучше бы выложили выходной

mitsumi · 21 май 2011

Прошу прощения. Оказалось что у меня была ошибка в поиске последней секции. Сейчас инфектится, но при запуске программа валится. OllyDbg вроде показует какое-то исключение. Прикрипляю оригинальный и выходной файлы.

Sunzer · 21 май 2011

И в чем проблема? Обе программы работают идентично.

mitsumi · 21 май 2011

Хм. У меня оригинал есс-но работает нормально, а при запуске инфицированного ехе вот такая картина:

Flint_ta · 22 май 2011

Возможно из-за флажка "Executable as code"

mitsumi · 22 май 2011

Выставил данный флаг. Результат тот же.

Sunzer · 22 май 2011

Это работает?

h0t · 22 май 2011

Выставите размер так

должно быть выровнено по границе выравнивания секций (если по-русски то Size of Image должен быть выровнен по Section Alignment)
У меня заработало

Ой напутал я что-то...

mitsumi · 22 май 2011

Сделал как вы сказали

Код (Text):

pNtHeader->OptionalHeader.SizeOfImage = ALIGN_SIZE(pLastSection->VirtualAddress + pLastSection->Misc.VirtualSize,

pNtHeader->OptionalHeader.SectionAlignment);

SizeOfImage стало равно 6000 как на вашем скриншоте, но приложение все-равно рушится...

gaeprust · 22 май 2011

Робит этот семпл на XP. После нескольких десятков инструкций отладчик был завершён, так как тривиальный поиск ошибок не заслуживает моего внимания.

h0t · 23 май 2011

Робит этот семпл на XP. После нескольких десятков инструкций отладчик был завершён, так как тривиальный поиск ошибок не заслуживает моего внимания.
Нажмите, чтобы раскрыть...

К сожалению на XP работает а вот на 7ке нет( Так что все тут немного хуже. Проблема в последней секции, как не странно)) но сейчас нет времени разбираться, гляну завтра и отпишусь

h0t · 23 май 2011

Что могу сказать, проблема в ЭТОМ, конкретном файле. В чем конкретно дело буду разбираться... видимо какая-то особенность реализации загрузчика под 7 (в ХР работает)
Кстати внедрять код в конец это не очень антивирям нравится)

mitsumi · 23 май 2011

Вот простой Hello, world инфецированный, который тоже валится.
Про антивирусы знаю, но я инфектор пишу чтобы больше разобратся в PE формате )

h0t · 23 май 2011

Фокус в том что представленный файл если поменять EP на адрес из другой секции то он валится, так что инфецирование тут не сильно при чем....
Нет 7 ки под рукой, поэтому не могу на загрузчик посмотреть( Но Вам спасибо интересный вопрос...

Sunzer · 23 май 2011

http://dl.dropbox.com/u/22509984/infected_1.exe

это работает?

Sunzer · 23 май 2011

Я еще давно об этом подумал, но под рукой семерки не было, дело все в том что ты жестко прописываешь виртуальный адрес оригинальной точки входа. А модуль грузится по другому базовому адресу в Win7 из-за ASLR, и соотвтественно прыжок идет в космос. Либо записыай относительный джамп, либо добавляй адреса в таблицу базовых поправок.

Либо установи флажок Relocation Stripped (1 бит) в PE Characteristics

mitsumi · 24 май 2011

http://dl.dropbox.com/u/22509984/infected_1.exe

это работает?
Нажмите, чтобы раскрыть...

Нет, тоже валится.
Когда я провожу ехе в олли, то исключение выбивает еще до выполнения комманды помещения адресса джампа в регистр. Т.е. до jmp edi даже не доходит. В вашем примере тоже самое происходит.

Sunzer · 24 май 2011

Вы обречены. http://dl.dropbox.com/u/22509984/infected_2.exe

mitsumi · 25 май 2011

Вы обречены. http://dl.dropbox.com/u/22509984/infected_2.exe
Нажмите, чтобы раскрыть...

Заработало. Спасибо.

P.S.:

Код (Text):

pNtHeader->FileHeader.Characteristics |= IMAGE_FILE_RELOCS_STRIPPED;

Войти или зарегистрироваться

Изменение параметров секции и NT Header

mitsumi New Member

Sunzer Member

mitsumi New Member

Sunzer Member

mitsumi New Member

Flint_ta New Member

mitsumi New Member

Sunzer Member

h0t Member

mitsumi New Member

gaeprust New Member

h0t Member

h0t Member

mitsumi New Member

h0t Member

Sunzer Member

Sunzer Member

mitsumi New Member

Sunzer Member

mitsumi New Member

Войти или зарегистрироваться

Изменение параметров секции и NT Header

mitsumi New Member

Sunzer Member

mitsumi New Member

Sunzer Member

mitsumi New Member

Flint_ta New Member

mitsumi New Member

Sunzer Member

h0t Member

mitsumi New Member

gaeprust New Member

h0t Member

h0t Member

mitsumi New Member

h0t Member

Sunzer Member

Sunzer Member

mitsumi New Member

Sunzer Member

mitsumi New Member

Быстрый поиск