Вопрос по внедрению

Тема в разделе "WASM.BEGINNERS", создана пользователем Bryan_, 5 авг 2008.

  1. Bryan_

    Bryan_ New Member

    Публикаций:
    0
    Регистрация:
    17 июн 2007
    Сообщения:
    8
    Возникли вопросы после прочтения статьи Криса
    Код (Text):
    1. Внедрение X-кода в файл путем сброса части секции в оверлей.
    2.  
    3. Внедрение. Обобщенный алгоритм внедрения выглядит так:
    4.  
    5.     * Считываем PE-заголовок и приступаем к его анализу;
    6.     * Если DATA DIRECTORY содержит ссылку на структуру, привязывающуюся к физическим смещениями, либо готовимся скорректировать ее надлежащим образом, либо отказываемся от внедрения;
    7.     * Если LS.r_off + LS.r_sz > SizeOfFile, файл, скорее всего, содержит оверлей и лучше отказаться от внедрения;
    1. Почему оверлей проверяется так LS.r_off + LS.r_sz > SizeOfFile , а не наоборот (LS.r_off + LS.r_sz < SizeOfFile)? Ведь оверлей распологается от физического конца последней секции до конца файла.

    2.Что значит
    Код (Text):
    1. Если DATA DIRECTORY содержит ссылку на структуру, привязывающуюся к физическим смещениями
    ?
     
    Bryan_, 5 авг 2008
    #1
  2. Sol_Ksacap

    Sol_Ksacap Миша

    Публикаций:
    0
    Регистрация:
    6 мар 2008
    Сообщения:
    623
    Случайный косяк \ опечатка \ проверка сообразительности или чего-то. Одно из пяти.
    Кстати, физический размер секции (raw section size) необходимо округлить на FileAlignment в большую сторону - при загрузке файла именно так и происходит.

    Данно. Серьёзно, не имеем никаких здравых соображений. Ждём ответа мыщъх'а :)
     
    Sol_Ksacap, 5 авг 2008
    #2
  3. pr0mix

    pr0mix New Member

    Публикаций:
    0
    Регистрация:
    30 июл 2008
    Сообщения:
    107
    Скорее опечатка, нежели другое.
    .
    Здесь по ходу, имеется ввиду ссылки на такие структуры как директория с отладочной инфой, т.к в ней записываются raw смещения, а не RVA. Также следует проверить секцию релоков.
     
    pr0mix, 6 авг 2008
    #3
  4. Subrealist

    Subrealist Member

    Публикаций:
    0
    Регистрация:
    17 июл 2006
    Сообщения:
    134
    Физические смещения помимо структур директории отладочной информации имеют структуры директории сертификатов безопасности. По сути, структуры, адресующиеся только по физичексим смещениям, представляют собой некое подобие оверлея, так как они не проекцируются при загрузке файла.
    Сертификаты безопасности, например, проверяются загрузчиком перед загрузкой, и если их структуры будут перенесены, пускай даже значение в директории сертификатов и будет скорректировано, но в них применяется физическое смещение, то есть при переносе значения смещений станут не верными, что приведёт к сбою. Отсюда и совет, либо отказаться от заражения, либо скорректировать значение физических смещений в данных структурах
     
    Subrealist, 6 авг 2008
    #4