# новый крякми от мыщъха

Тема в разделе "WASM.HEAP", создана пользователем kaspersky, 2 дек 2008.

  1. GoldFinch

    GoldFinch New Member

    Публикаций:
    0
    Регистрация:
    29 мар 2008
    Сообщения:
    1.775
    а всеже, что там за защита от дизасма (от иды), кроме кривых разметов секций?
     
  2. SWR

    SWR New Member

    Публикаций:
    0
    Регистрация:
    11 май 2006
    Сообщения:
    226
    Адрес:
    Russia
    Так статья в новом хацкере бала по ТЛС.
    Но у меня на висте мессагбокса небыло.
     
  3. DEEP

    DEEP Андрей

    Публикаций:
    0
    Регистрация:
    27 апр 2008
    Сообщения:
    491
    Адрес:
    г. Владимир
    SWR
    Аналогично. Не успев запуститься, красиво вылетает с кодом возврата 0103h, не произведя сколько-либо вменяемых действий.
    [upd] W98SE v4.10.2222A
     
  4. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    DEEP
    SWR
    спасибо за инфо! ага, значит, на висле эта штука не работает. скорее всего виноват TLS callback... просьба запустить на висле http://kpnc.org/ftp/kdh-reverseme.zip - тут TLS callback'а нет и только один трюк к размером секции.

    GoldFinch
    если не взведена галочка "ручная загрузка" IDA просто не кажет часть кода. проверял на 4.7, 5.2, 5.3
     
  5. SWR

    SWR New Member

    Публикаций:
    0
    Регистрация:
    11 май 2006
    Сообщения:
    226
    Адрес:
    Russia
    kaspersky
    Есть мессага "we find no way out" и "this is not ....."
     
  6. 4VR

    4VR New Member

    Публикаций:
    0
    Регистрация:
    21 ноя 2008
    Сообщения:
    25
    kaspersky
    Крис, тебе не кажется что тема с TLS-колбеками уже не слегка заежжена ?
     
  7. DEEP

    DEEP Андрей

    Публикаций:
    0
    Регистрация:
    27 апр 2008
    Сообщения:
    491
    Адрес:
    г. Владимир
    kaspersky
    Ага, теперь и на мастдаях всё в норме.
    Однако ж особых приёмов против просмотра кода Олей не обнаружено.. видны вызовы обоих боксов, строки тоже нормально отображаются. Единственное что когда сохраняешь изменённый код в ЕХЕ, орёт про кривые секции.

    впрочем, не мне в моём текущем состоянии лезть в столь высокие материи %)
     
  8. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    SWR
    пасиб, значит, все работает!

    4VR
    в этом примере TLS callback вставлен просто до кучи, к тому же там использован выбор исключения как способ выхода из TLS, о чем лично я нигде не читал, ну и плюс TlsIndex заюзан. плюс проверка на CCh через jp, что заезженной темой всяко не назовешь ;)

    DEEP
    > Однако ж особых приёмов против просмотра кода Олей не обнаружено..
    ольга испльзует системный загрузчик и потому показывает код "как есть", а вот ида... и в hiew'е трансляция виртуальных адресов "слетает". IDA 5.2 вообще не кажет код (только со скриптами от Atli Gudmindsson), а 5.3 кажет только в режие ручной загрузки, который используют далеко не все и далеко не всегда...
     
  9. asmfan

    asmfan New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2006
    Сообщения:
    1.004
    Адрес:
    Abaddon
    kaspersky А с base of code/data не игрался?
    кстати тоже был вопрос по этому поводу в момент предкновения. в системные модули лезть было влом. так про эксепшн в тлс нигде не писалось?
     
  10. Sol_Ksacap

    Sol_Ksacap Миша

    Публикаций:
    0
    Регистрация:
    6 мар 2008
    Сообщения:
    623
    kaspersky
    Ага, работает как и задумано.
    А на висте другое поведение лишь из-за того, что под ней tls-callback'и, запускаемые перед завершением последнего потока, вызываются, по всей видимости, уже после деинициализации каких-то подсистем - [некоторые] функции из user32 в этом случае приводят к ZwTerminateProcess.
     
  11. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    asmfan
    > А с base of code/data не игрался?
    во всех системах которые я только видел, они игнорируюся системным загрузчиком. дизассемблеры/отладчики их так же не используют...

    > кстати тоже был вопрос по этому
    > поводу в момент предкновения.
    > в системные модули лезть было влом.
    > так про эксепшн в тлс нигде не писалось?
    может и писалось, но я не встречал.
    правда малварь, использующая этот трюк, имеется.
    ковырял троян в котором вызывается исключение
    в первом входе в каллбэк, а во втором - вызывается
    актуальный код. отладчики видят первое исключение
    и обламываются так, что до второго вызова дело уже
    не доходит. аналогично поступают эмуляторы.

    > Просто под вистой tls-callback'и, запускаемые перед завершением
    > последнего потока, вызываются, по всей видимости, уже после
    > деинициализации каких-то подсистем - [некоторые] функции
    > из user32 в этом случае приводят к ZwTerminateProcess.
    я тоже на user32 подумал, т.к. в висте изменен интерефейс
    и, стало быть, user32 переписан, а ms ни разу не гарантировала,
    что из tls callback'а можно вызывать функции user32, даже напротив,
    предостерегала нас делать это. гм, ну мне каллбек нужен только чтобы
    зациклить отладчик в точке входа :derisive:

    вот, переисал. http://kpnc.org/KedaH3v1.zip
    большая просьба запустить под вистой и сказать - работает оно или нет
     
  12. GoldFinch

    GoldFinch New Member

    Публикаций:
    0
    Регистрация:
    29 мар 2008
    Сообщения:
    1.775
    ну галочка "ручная загрузка" вроде как раз для таких случаев и придумана... не работает автоматика - загрузил вручную и радуешся....
     
  13. SWR

    SWR New Member

    Публикаций:
    0
    Регистрация:
    11 май 2006
    Сообщения:
    226
    Адрес:
    Russia
    Мессага
    Код (Text):
    1. condom-principle
    2.  
    3.     it'd rather have one and not need it that need it and not have one
     
  14. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    SWR
    большое спасибо! с меня пиво! (можно даже реальное!)
    значит, испускать исключения в каллбаках в висте по прежнему можно и эта часть кода не тронута. это хорошо!

    GoldFinch
    логично. однако, проблема в том, что большинство людей (включая меня) _по_ _умолчанию_ ручную загрузку не используют. а теперь представим себе код вида:

    // видимая часть
    ;
    ; запутанный безобидный код
    ;

    ; замаскированный переход на H1

    ;
    ; запутанный безобидный код (продолжение)
    ;

    // невидимая часть
    H1:

    ;
    ; вредоносный код
    ;

    если переход на H1 замаскирован, то у нас даже не возникнет и тени сомнения, что здесь что-то не так и часть кода вообще не загружена. надеюсь, со мной согласятся, что маскировка переходов ни разу не проблема.

    вот я и столкнулся с троянами (точнее, упаковщиками, но это неважно), которые прячут часть кода и она не видна в ИДА. причем, я распаковывал код на перехаченном x86emu, который видит только то, что загружено в ИДУ и трояна он не распаковал, что и послужило поводом для написания этого поста.
     
  15. PROFi

    PROFi New Member

    Публикаций:
    0
    Регистрация:
    13 июл 2003
    Сообщения:
    690
    kaspersky

    http://kpnc.org/KedaH3v1.zip а файлик то где?
     
  16. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    PROFi
    опс! mother nature is a bitch. короче, мыщъха проглючило
    http://kpnc.org/ftp/KedaH3v1.zip
     
  17. asmfan

    asmfan New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2006
    Сообщения:
    1.004
    Адрес:
    Abaddon
    Код (Text):
    1.         __
    2.      __/  \_
    3.      \____  \
    4.          /   \
    5.      __ //\   \
    6.   __/  \/--\   \ _
    7.   \____  __ \   \
    8.        ||  \ \   \
    9.       _||  _|| _||
    Хэндсом)
    Только 2й арт не разглядел