NASM WIN64 HELLO WORLD

На то он и хакер, чему вы удивляетесь?

 

Программирование на языке ассемблера NASM для ОС Unix. А. Столяров.pdf
https://yadi.sk/i/98xBWl1-HXVINQ

...читаю...

--- Сообщение объединено, 13 янв 2021 в 18:17 ---

http://www.stolyarov.info/books/asm_unix

Веб сайт Столярова

 

А на мой ответ никто внимания не обратил. Инфа про исключение:

Код (Text):

1. ExceptionAddress: 0000000000D86B81 shell32.0000000000D86B81
2. NumberParameters: 2
3. ExceptionInformation[00]: 0000000000000000 Read

- адрес инструкции равен адресу выборки(IP = CR2). Тоесть она читает сама себя Ip: mov r,[Ip] и это приводит к ловушке, что может быть лишь при сегментации(86). На самом деле не так, это когда то разбирали, но я подзабыл нужно поискать. Как бы там небыло, семпл не простой:

 

Indy_, да там какие-то банальные ошибки в параметрах функций с мсдн, передал указатель вместо указателя на указатель или подобное.
Копать можно, но не думаю, что есть толк.

 

M0rg0t,

Смысл в том, что нужно узнать в какой ситуации при исключении два параметра равны, это знакомая ситуация но я не могу вспомнить. Сейчас поищем.

 

может при access_violation, типа запись по нулевому адресу. Не знаю.

 

M0rg0t,

Я по суркам свои поискал, вот нашло что нужно:

- древний сурец по подмене выборки.

Это значит если передача управления в NX область приведёт к двум одинаковым параметрам, тк попытка выполнить NX и соотвественно CR2 = IP.

В данном случае значит что управление передаётся в неисполняемую память, по какой причине врядле можно сказать. Может быть в аргументах апи есть колбек, аргумент ошибочен и само собой будет такая ошибка. Странно что я это забыл.

 

Функция просто старая и не работает так написано в MSDN.
[SHGetSpecialFolderPath is not supported. Instead, use SHGetFolderPath.]

а там написано:
Note As of Windows Vista, this function is merely a wrapper for SHGetKnownFolderPath. The CSIDL value is translated to its associated KNOWNFOLDERID and then SHGetKnownFolderPath is called. New applications should use the known folder system rather than the older CSIDL system, which is supported only for backward compatibility.

Нужно использовать что бы получить путь к какой либо папке функцию: SHGetKnownFolderPath
я не понял какие там аргументы и прошу с этой функцией помощи

 

Hacker,

В прототипе нет обратного вызова, тогда как управление передаётся на какой то не исполняемый буфер ?

Бери старый добрый gmer и смотри.
По мойму наиболее вероятно что это глюки отладочных плагинов, которые ты используешь. Проскань систему на патчи и сразу всё станет ясно.

 

Ну если ыункция не поддерживается больше что в ней копаться?

--- Сообщение объединено, 13 янв 2021 в 21:09 ---

Хотя как такое вообще может быть?

 

Hacker,

Никакая апи не является устаревшей, по причине обратной совместимости.

Покажи лог сканера.

 

она поддерживается, просто советуют юзать с висты более новую апи.
Я же написал пример на предыдущей странице, или что именно неясно? На асме нужен пример чтоли? Могу только на масм.

 

Прости не видел примера, попробую отпишусь

--- Сообщение объединено, 13 янв 2021 в 22:00 ---

Ну если не сложно напиши на асм что бы значение аргументов видеть

--- Сообщение объединено, 14 янв 2021 в 02:39 ---

Подскажи пожалуйста чему равна FOLDERID_ProgramFilesX86 ?

--- Сообщение объединено, 14 янв 2021 в 02:43 ---

Код (ASM):

1.  
2.     mov r9 , PROGRAM_FILESX86
3.     mov r8 , 0
4.     mov rdx , 0
5.     mov rcx , 0x002a
6.     call SHGetKnownFolderPath
7.  

Вот так не получается, то же исключение

--- Сообщение объединено, 14 янв 2021 в 02:49 ---

PROGRAM_FILESX86 у меня ссылка на буфер

PROGRAM_FILESX86 db 260 dup (?)

 

Вас понял, буду всё делать с equ.
0x002a - это я вообще попробовал CSIDL от SHGetSpecialFolderPath() CSIDL_PROGRAM_FILESX86 (FOLDERID_ProgramFilesX86) сейчас вижу что они ровны, но почему тогда путь не записывается в буфер? Все делал как в примере у человека.

 

это не буфер, это что-то с СОМ связано, думаю не надо без опыта браться за СОМ. Это очень сложная тема, архисложная, тем более на ассемблере. Там и на плюсах можно запутаться.

FOLDERID_ProgramFilesX86 это GUID, какое-то константное значение , ссылку на которое мы передаем. Смотри, на масме будет примерно так:
1. берем прогу от ManHunter https://www.manhunter.ru/releases/1571_guid_helper_1_1.html , туда вводим это значение, получаем его в формате Асма. Заносим в секцию .data

Код (ASM):

1. FOLDERID_ProgramFilesX86 dd 07C5A40EFh
2.                          dw 0A0FBh
3.                          dw 04BFCh
4.                          db 087h, 04Ah, 0C0h, 0F2h, 0E0h, 0B9h, 0FAh, 08Eh

2. объявляем указатель для функции и для буфера, который она вернет.

Код (ASM):

1. .data?
2. pfunc dd ?
3. pbuf dd ?

3. Динамически получаем функцию (инклуды и либы масма рассчитаны на ось всех времен и народов - виндоуз ХР , а эта функа доступна только с висты).

Код (ASM):

1. invoke LoadLibraryW,uni$("Shell32.dll")
2. .if eax
3. mov edx,eax
4. invoke GetProcAddress,edx,chr$("SHGetKnownFolderPath")
5.     .if eax
6.         mov pfunc,eax
7.     .endif
8. .endif

4. Собственно, вызов функции

Код (ASM):

1. push offset pbuf ;PWSTR *ppszPath
2. push 0
3. push 0
4. push offset FOLDERID_ProgramFilesX86
5. call pfunc
6.  

Если все верно, то в pbuf будет указатель на строку. На х64 переводи сам.

 

Вот программа сама:

Код (ASM):

1.  
2. global start
3.  
4. NULL equ 0
5. FOLDERID_ProgramFilesX86 equ 0x002a
6. KEY_ALL_ACCESS equ 0x0000F003F
7. HKEY_CURRENT_USER equ 0x80000001
8.  
9.  extern SHGetKnownFolderPath
10.  extern lstrcatA
11.  extern DeleteFileA
12.  extern RegOpenKeyExA
13.  extern RegDeleteKeyA
14.  extern RegCloseKey
15.  extern MessageBoxA
16.  extern ExitProcess
17.  
18. section .data
19. PROGRAM_FILESX86 db 260 dup (?)
20. hKey resq 1
21.  
22. xchat db "\xchat\inst.conf",0
23. RegistryKey db "\Software\XChat\",0
24. installed db "installed",0
25. MessBox db "XChat Trial Reset",0
26.  
27. section .code
28. start:
29.  
30.     sub esp,48
31.  
32.     mov r9 , PROGRAM_FILESX86
33.     mov r8 , NULL
34.     mov rdx , NULL
35.     mov rcx , FOLDERID_ProgramFilesX86
36.     call SHGetKnownFolderPath
37.  
38.     mov rdx , xchat
39.     mov rcx , PROGRAM_FILESX86
40.     call lstrcatA
41.  
42.     mov rcx , PROGRAM_FILESX86
43.     call DeleteFileA  
44.  
45.     mov qword [rsp+20h] , hKey
46.     mov r9 , KEY_ALL_ACCESS
47.     mov r8 , NULL
48.     mov rdx , RegistryKey
49.     mov rcx , HKEY_CURRENT_USER
50.     call RegOpenKeyExA
51.  
52.     mov [hKey] , rax
53.  
54.     mov rdx , installed
55.     mov rcx , [hKey]
56.     call RegDeleteKeyA
57.  
58.     mov rcx , [hKey]
59.     call RegCloseKey
60.  
61.     mov r9 , 0x30
62.     mov r8 , NULL
63.     mov rdx , MessBox
64.     mov rcx , NULL
65.     call MessageBoxA
66.  
67.     mov rcx , rax
68.     call ExitProcess
69.  

 

Hacker, хорошо, а теперь поменяй вызов SHGetKnownFolderPath как в моем примере, и да - нужно проверить коды ошибок; если функция вернула ошибку, то не идти дальше, а завершать работу / уведомлять. А то потом появляются чудеса.

 

Почему вы указываете адрес константы а не её саму?
offset FOLDERID_ProgramFilesX86 ?
Обычно в функцию передают саму константу а не её адрес
тоесть мне нужно сделать

FOLDERID_ProgramFilesX86 dw 0x002a

и передать её адрес? а не через equ я не совсем понял

--- Сообщение объединено, 14 янв 2021 в 04:12 ---

сейчас будем думать в pbuf будет указатель на строку, я думал её выведут мне в буфер, будем думать и переделывать всё

--- Сообщение объединено, 14 янв 2021 в 04:20 ---

Тоесть нужно что-то типа:

Код (ASM):

1.  
2.  
3. Buffer db 260 dup (?)
4. PROGRAM_FILESX86 resq 1
5. FOLDERID_ProgramFilesX86 dw 0x002a
6.  
7. mov r9 , PROGRAM_FILESX86
8. mov r8 , NULL
9. mov rdx , NULL
10. mov rcx , FOLDERID_ProgramFilesX86
11. call SHGetKnownFolderPath
12.  
13. mov rdx , PROGRAM_FILESX86
14. mov rcx , Buffer
15. call lstrcatA
16.  
17. mov rdx , xchat
18. mov rcx , Buffer
19. call lstrcatA
20.  
21.  

--- Сообщение объединено, 14 янв 2021 в 04:21 ---

Вообще как-то странно выглядит, ну ладно попробую, может быть функция такая

--- Сообщение объединено, 14 янв 2021 в 04:25 ---

не получается