Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   Просто очень простой лоадер (https://forum.antichat.xyz/showthread.php?t=29555)

hidden 21.12.2006 11:26
Просто очень простой лоадер
 
Простейший способ написания лоадера.

Вступление: Вот приобрёл себе карточку (Netgear WG511T) WiFi с поддержкой Injection (теперь буду снифать все встречающиеся на пути безпроводные сети), несмотря на то что в линухе есть её поддержка, согласитесь в винде горазно удобнее, не дело все не в этом, а в проге которая снифает этот трафик, прога называется "CommView Wifi", дело в том что снифает она не все пакеты, пока не приобретёшь лицензионную, так я и побежал покупать прогу для карточки, пользовательская цена на которую в 4 раза больше цены самой карточки.

Действия: Времени у меня было не много, так что я закинул её в ольку, а она говорит что прога запакована, ну я F9, после какого-то исключения Shift+F9 и вот она запустилась. Дальше нахожу первую попавшеюся функцию, находящуюся в самой программе, запускаю OllyDump, и указываю её в качестве Ентри поинт, дамплю и закидую в IDA.

Посик багов: Вспоминаю, что же мне в ней не нравилось, ах да вместо некоторых пакетов она пишет "ОЦЕНОЧНАЯ ВЕРСИЯ ОТОБРАЖАЕТ ТОЛЬКО ЧАСТЬ СОБРАННЫХ ПАКЕТОВ", эта строка находится в языковом файле под идентификатором "S_HALF_PACKETS", вот я и нахожу в сдампленом файле через IDA эту строку, нажимаю X (XRef), единственный XRef ведёт на занесение в edx адреса этой строки с последующим вызовом функции, а пару инструкций вверх стоит сравнение ячейки памяти с нулём и в случае не совпадения обход этого места другим путём, ну я сразу перехожу в ольку меняю jne на jmp и о чудо, я вижу абсолютно все пакеты, если поотлавливать занесение значений в эту переменную, думаю можно было бы и выйти на какую-нибудь общую функцию проверки на триал, а может и нет, но мне и этого вполне достаточно, и я решил писать лоадер. Чтоб не писать его на модификацию всего одного байта, я добавил туда и обход назойливого окна с благодарностью за использование приала, появляющегося во время закрытия программы, так что теперь модифицируются не 1, а 2 байта

Кодерство: Залез в справку в надежде найти ещё чего-нибудь что они заблокировали, чтоб исправить, и наткнулся на интерфейс подключаемых моделей. Если в программу модно подключить dll модули, то проблемы с лоадерами моментально отпадают, а тут ещё и интерфейс представлен элементарнейший, с примерами на С++ и Delphi, но достаточно уже того, что она загрузит этут dll(причём сама уже будет в распакованном и абсолютно незащищенном виде), а потом уже будет проверять, подходит она ей или нет, а dll загрузится, сделает что надо, и скажет что что-то не получилось, так что программа её сразу-же и выгрузит, даже килобайта памяти не потратится.

Задача лоадера: Заменить
Код:
6CACE0 75 33 jnz    short 6CAD15
 2
6CACE0 EB 33 jmp    short 6CAD15
 &
748366 75 4C jnz    short 7483B4
 2
748366 EB 4C jmp    short 7483B4
Вот он лоадер, полный код
Код:
format PE GUI 4.0 DLL
entry DllEntryPoint

include 'win32a.inc'

proc DllEntryPoint hinstDLL, fdwReason, lpvReserved
        stdcall PatchByte, $6CACE0, $EB
        stdcall PatchByte, $748366, $EB
        xor    eax, eax ; 0 - Косяк какой-то произошел, так что можешь выгружать
        ret
endp

proc PatchByte, addr ,dta
        invoke  VirtualProtect, [addr], 1, PAGE_EXECUTE_READWRITE, esp, eax
        mov    al, byte[dta]
        mov    ebx, [addr]
        mov    byte[ebx], al
        pop    eax
        invoke  VirtualProtect, [addr], 1, eax, esp, eax
        pop    eax
        ret
endp

data import
  library KERNEL32,'KERNEL32.DLL'
  import KERNEL32,VirtualProtect,'VirtualProtect'
end data

data fixups
end data
Думаю эта программа в пояснении не нуждается
--------
Кстати лоадер сохранять под именем "Custom.asm"

Ещё там какая-то чушь с сохранением, какой формат не выберешь, всё-равно сохраняется в .ncf, зато когда его переоткроешь, можно экспортировать в любой другой, например в .cap

_Great_ 21.12.2006 13:16
Ниче так, молодец, лови плюсик (не один, а целых 7 %)) :)

Цитата:
Чтоб не писать его на модификацию всего одного байта, я добавил туда и обход назойливого окна с благодарностью за использование приала, появляющегося во время закрытия программы, так что теперь модифицируются не 1, а 2 байта
да, железная логика :)

hidden 22.12.2006 08:33
Продолжение...
 
И так в процессе использования я наткнулся ещё на одну неудобную особенность, количество захватываемых пакетов не может превышать 20k, но ведь это не дело, нужно больше, значит надо исправить.

Что править: На сколько я понял, это ограничение не относится к триальности программы, а предусмотрено при разработке, так-как она при старте сразу олакейтит требуемый буфер, так что ставить запредельные размеры крайне не желательно, особенно если не слишком много оперативной памяти. Учитывая то, что это ограничение не относится к триальности, разработчики не старались его как-то защищать(а жаль, было-бы проще), они просто вписали его в поле MaxValue, в настройках элемента формы(программа была написана в Delphi). Немножко познакомимся с форматом форм Delphi, на первый взгляд, смешенный текст и бинарный код немного отпугивает, но абсолютно ничего сложного там нет, просто последовательно записанные имена параметров и их значения, разберём по подробнее...

Немного о формате форм в Delphi:
Код:
00 00 0B 54 45 6C 53 70 ? 69 6E 45 64 69 74 0E 73  TElSpinEdit s
70 69 6E 4D 61 78 50 61 ? 63 6B 65 74 73 04 4C 65  pinMaxPackets Le
66 74 03 A0 01 03 54 6F ? 70 02 20 05 57 69 64 74  ft а  Top  Widt
68 02 71 06 48 65 69 67 ? 68 74 02 18 06 43 75 72  h q Height  Cur
73 6F 72 07 07 63 72 49 ? 42 65 61 6D 21 56 65 72  sorcrIBeam!Ver
74 53 63 72 6F 6C 6C 42 ? 61 72 53 74 79 6C 65 73  tScrollBarStyles
2E 53 68 6F 77 54 72 61 ? 63 6B 48 69 6E 74 08 19  .ShowTrackHint 
56 65 72 74 53 63 72 6F ? 6C 6C 42 61 72 53 74 79  VertScrollBarSty
6C 65 73 2E 57 69 64 74 ? 68 02 12 1E 56 65 72 74  les.Width  Vert
53 63 72 6F 6C 6C 42 61 ? 72 53 74 79 6C 65 73 2E  ScrollBarStyles.
42 75 74 74 6F 6E 53 69 ? 7A 65 02 12 21 48 6F 72  ButtonSize  !Hor
7A 53 63 72 6F 6C 6C 42 ? 61 72 53 74 79 6C 65 73  zScrollBarStyles
2E 53 68 6F 77 54 72 61 ? 63 6B 48 69 6E 74 08 19  .ShowTrackHint 
48 6F 72 7A 53 63 72 6F ? 6C 6C 42 61 72 53 74 79  HorzScrollBarSty
6C 65 73 2E 57 69 64 74 ? 68 02 12 1E 48 6F 72 7A  les.Width  Horz
53 63 72 6F 6C 6C 42 61 ? 72 53 74 79 6C 65 73 2E  ScrollBarStyles.
42 75 74 74 6F 6E 53 69 ? 7A 65 02 12 13 55 73 65  ButtonSize  Use
43 75 73 74 6F 6D 53 63 ? 72 6F 6C 6C 42 61 72 73  CustomScrollBars
20 20 20 20 20 20 20 20 ? 05 56 61 6C 75 65 03 D0          Value ?
07 08 4D 61 78 56 61 6C ? 75 65 03 20 4E 08 4D 69  MaxValue  N Mi
6E 56 61 6C 75 65 03 D0 ? 07 20 20 20 20 20 20 20  nValue ?
49 6E 63 72 65 6D 65 6E ? 74 03 E8 03 0E 4C 61 72  Increment ш  Lar
67 65 49 6E 63 72 65 6D ? 65 6E 74 02 0A 20 20 20  geIncrement
20 20 20 20 20 41 6C 69 ? 67 6E 6D 65 6E 74 07 0D      Alignment
74 61 4C 65 66 74 4A 75 ? 73 74 69 66 79 20 20 20  taLeftJustify
54 6F 70 4D 61 72 67 69 ? 6E 02 02 0B 42 6F 72 64  TopMargin  Bord
65 72 53 69 64 65 73 0B ? 07 65 62 73 4C 65 66 74  erSides ebsLeft
08 65 62 73 52 69 67 68 ? 74 06 65 62 73 54 6F 70  ebsRight ebsTop
20 20 20 20 20 20 20 20 ? 65 62 73 42 6F 74 74 6F          ebsBotto
6D 00 0B 54 72 61 6E 73 ? 70 61 72 65 6E 74 08 0B  m Transparent
42 6F 72 64 65 72 53 74 ? 79 6C 65 07 08 62 73 53  BorderStyle bsS
69 6E 67 6C 65 05 43 74 ? 6C 33 44 20 20 20 20 20  ingle Ctl3D
Это именно тот фрагмент, который нужно подправить, нашел я его по уникальному имени элемента формы, и классу окна, название которого можно посмотреть воспользуюсь утилитой "Spy++", входящей в комплект Visual Studio или SDK. И так, сразу перед названием класса, идёт непонятный символ, это на самом деле даже не символ, а байт указывающий, сколько следующих байт образуют строку, в данном случае параметр(название класса), смотрим в HEX'e это 0E(14), отсчитываем 14 байт и попадаем на значение, так-как основное значение это имя, а оно может быть только строка, то первый байт это её длина. Идём дальше, отсчитываем её длину, и попадаем на 04(4), это длина следующего параметра, дальше его имя("Left"), тип(03 - word [номера типов кажется можно посмотреть или в system.pas или в windows.pas]), значение(A0 01 - 416) и дальше следующий параметр. Вот так всё просто...

Исправление: Очевидно нужно исправить параметр "MaxValue", который имеет тип word и значение 20 4E(20к), в чём проблема?, а в том что в переменной word может содержатся значение не превышающее 65535, т.е. даже если я запишу туда FF FF, я увеличу лимит только до 64к, тогда я решил править структуру... Чтобы не привести к краху создания окна, нужно чтоб структура оставалась последовательная, т.е. длина параметра, имя параметра, длина/тип значения и само значение, так и сделаем... Я указываю вместо word(03), integer(04) получается значение теперь занимает не 2, а 4 байта, также произошло нарушение структуры, приводящие к краху создания окна, чтоб этого избежать после значения должен идти параметр, занимающий оставшееся место, на параметре который я затёр, а затёр я "MinValue", это не слишком важный параметр, хотя если бы даже там стоял важный параметр, можно былоб переместить его на другое место и затереть не важный. И так "MinValue" занимал 8 байт -2, остаётся 6, какой параметр занимает 6 байт?, мне сразу пришел в голову "Height", так что смотрим результат.

Код:
07 08 4D 61 78 56 61 6C ? 75 65 03 20 4E 08 4D 69  MaxValue  N Mi
6E 56 61 6C 75 65 03 D0 ? 07 20 20 20 20 20 20 20  nValue ?
Код:
07 08 4D 61 78 56 61 6C ? 75 65 04 20 4E 08 4D 06  MaxValue  N M
58 65 69 67 75 68 74 D0 ? 07 20 20 20 20 20 20 20  Height ?
Заключение: Я не затирал байты попавшие в новый параметр, потому, что учится то, что этот параметр состоит из 4х байт отличных от нулей, то какие бы они не были, это значение будет больше 16M, и если поставить его в 16M, програма выделит буффер в ~450Мб и будет страшно тормозить, так что больше и не нужно.

Дополненный патчер:
Код:
format PE GUI 4.0 DLL
entry DllEntryPoint

include 'win32a.inc'

proc DllEntryPoint hinstDLL,fdwReason,lpvReserved
        stdcall BPatch, $6CACE0, $EB ; Теперь пакеты не через один
        stdcall BPatch, $748366, $EB ; И нет больше этого назойлевого окна
        stdcall BPatch, $9DA3A4, $04 ; Тип Integer
        stdcall BPatch, $9DA3A9, $06 ; Длина нового параметра
        stdcall DPatch, $9DA3AA, 'Heig' ; Первая часть нового параметра
        stdcall WPatch, $9DA3AE, 'ht' ; и его оконцовка
        xor    eax, eax ; 0 - Типа косяк какой-то произошел, так что можешь выгружать
        ret
endp

proc BPatch, addr, dta
        invoke  VirtualProtect, [addr], 1, PAGE_EXECUTE_READWRITE, esp, eax
        mov    al, byte[dta]
        mov    ebx, [addr]
        mov    byte[ebx], al
        pop    eax
        invoke  VirtualProtect, [addr], 1, eax, esp, eax
        pop    eax
        ret
endp

proc WPatch, addr, dta
        invoke  VirtualProtect, [addr], 2, PAGE_EXECUTE_READWRITE, esp, eax
        mov    ax, word[dta]
        mov    ebx, [addr]
        mov    word[ebx], ax
        pop    eax
        invoke  VirtualProtect, [addr], 2, eax, esp, eax
        pop    eax
        ret
endp

proc DPatch, addr, dta
        invoke  VirtualProtect, [addr], 4, PAGE_EXECUTE_READWRITE, esp, eax
        mov    eax, [dta]
        mov    ebx, [addr]
        mov    [ebx], eax
        pop    eax
        invoke  VirtualProtect, [addr], 4, eax, esp, eax
        pop    eax
        ret
endp

data import
  library KERNEL32,'KERNEL32.DLL'
  import KERNEL32,VirtualProtect,'VirtualProtect'
end data

data fixups
end data
Вот и линк на эту(5.5.532) версию: http://www.rapidshare.ru/298921 Перезалил (2 Июня, 2007)
Пароль: ThereIs[No]AnyPhoto;)

ЗЫ А ведь ни на одном я кряка для версии новее 5.3 я не нашел, хотя программа довольно полезная и популярная :\


Время: 07:26