Mensajes

[PD]

Un Pattern Scanner es una función capaz de "encontrar" algo que nos interesa en un módulo externo (puede utilizarse incluso sobre otro proceso aunque ya es más complicado) sin importar la versión de ese módulo (dll,exe,etc.), la única condición para que nuestro Pattern Scanner funcione es que lo que tomamos de referencia no varíe en las distintas versiones de dicho módulo.

Lo primero que se debe hacer es definir que se quiere obtener (esto puede ser una variable o función de dicho módulo del cual no se tengan referencias para llegar), para hacerlo se puede hacer uso de ingeniería inversa (o sea, desensamblar el módulo).

Veamos un ejemplo (en nuestro propio módulo con el fin de visualizarlo): creamos un simple programa con una sola función:

Código (c) [Seleccionar] Expandir

#include <windows.h>

char titulo[]="titulo";
char mensaje[]="un mensaje";

void funcionascanear(void){
 MessageBox(0,mensaje,titulo,0);
}

int main(void){
 funcionascanear();
 return 0;
}

abrimos nuestro programa con ollydbg y buscamos nuestra función:

Código (asm) [Seleccionar] Expandir

004012D0  /$  55                 PUSH    EBP
004012D1  |.  89E5               MOV     EBP, ESP
004012D3  |.  83EC 18            SUB     ESP, 18
004012D6  |.  C74424 0C 00000000 MOV     DWORD PTR SS:[ESP+C], 0          ; |
004012DE  |.  C74424 08 00204000 MOV     DWORD PTR SS:[ESP+8], generico.0>; |ASCII "titulo"
004012E6  |.  C74424 04 07204000 MOV     DWORD PTR SS:[ESP+4], generico.0>; |ASCII "un mensaje"
004012EE  |.  C70424 00000000    MOV     DWORD PTR SS:[ESP], 0            ; |
004012F5  |.  E8 86080000        CALL    <JMP.&USER32.MessageBoxA>        ; \MessageBoxA
004012FA  |.  83EC 10            SUB     ESP, 10
004012FD  |.  C9                 LEAVE
004012FE  \.  C3                 RETN

en base a este código ASM crearemos un "patron" que nos lleve a dicha función (nuestro objetivo en este caso será modificar el mensaje)

55                            PUSH    EBP
89E5                         MOV     EBP, ESP
83EC 18                    SUB     ESP, 18
C74424 0C 00000000 MOV     DWORD PTR SS:[ESP+C], 0          ; |
C74424 08 00204000 MOV     DWORD PTR SS:[ESP+8], generico.0>; |ASCII "titulo"
C74424 04 07204000 MOV     DWORD PTR SS:[ESP+4], generico.0>; |ASCII "un mensaje"
C70424 00000000      MOV     DWORD PTR SS:[ESP], 0            ; |
E8 86080000             CALL    <JMP.&USER32.MessageBoxA>        ; \MessageBoxA
83EC 10                    SUB     ESP, 10
C9                            LEAVE
C3                            RETN

lo que está en rojo será nuestro patrón (se lo puede complicar más, y es preferible, pero para nuestro ejemplo servirá), por lo tanto generamos una función que lo detecte:

Código (c) [Seleccionar] Expandir

char *findmsgbypattern(){
 unsigned char *p;
 //dirección inicio / fin del escaneo
 for(p=0x00401000;p<0x00401FFF;p++){
   //nuestro patron
   if(p[0]==0x55&&p[1]==0x89&&p[3]==0x83&&p[6]==0xC7&&p[14]==0xC7&&p[22]==0xC7){
     //dirección de la variable tomada del código
     return (char *)*(void**)&p[26];
   }
 }
 return NULL;
}

Un detalle a destacar de la función es que &p[26] nos devolverá la dirección de memoria de la instrucción, pero no de la variable, entonces mediante el *(void**) obtendremos la verdadera dirección.

Ahora ya podemos escanear nuestro código, y en caso de encontrar nuestra variable modificarla:

Código (c) [Seleccionar] Expandir

#include <windows.h>

char titulo[]="titulo";
char mensaje[]="un mensaje";

void funcionascanear(void){
 MessageBox(0,mensaje,titulo,0);
}

char *findmsgbypattern(){
 unsigned char *p;
 //dirección inicio / fin del escaneo
 for(p=0x00401000;p<0x00401FFF;p++){
   //nuestro patron
   if(p[0]==0x55&&p[1]==0x89&&p[3]==0x83&&p[6]==0xC7&&p[14]==0xC7&&p[22]==0xC7){
     //dirección de la variable tomada del código
     return (char *)*(void**)&p[26];
   }
 }
 return NULL;
}

int main(void){
 char *msg=findmsgbypattern();
 if(msg)
   strcpy(msg,"mi mensaje");
 funcionascanear();
 return 0;
}

Solo cabe aclarar que en el caso de modificar un string la variable original debe ser de un tamaño adecuado para nuestra modificación.

S2

PD: El ejemplo fue compilado con Mingw (GCC), es casi seguro que no funcione en otros compiladores (VC, etc), para hacerlo funcionar hay que rearmar el patrón.

PD2: Existen librerías que permiten buscar patrones de forma más sencilla, como por ejemplo (formato olly):

Código (c) [Seleccionar] Expandir

findpattern(dirinicio,dirfin,"XX????XX??????XX????XX");

pero lo que hacen al fin y al cabo es lo mismo.

Es bypaseable xD, aunque creo que cualquier antibot se puede bypasear nomas sabiendo su algoritmo. Lo único que te puedo recomendar es que no muestre tus archivo antibot, aunque no muestres el source, mirando bien el funcionamiento de la web puedes saber como funciona tu antibotne.

el protocolo es solo de ida, les va a llevar su buen rato descifrarlo...  , además, eso es configurable, se lo puede complicar tanto como se quiera... 

S2

bueno, dado que estaba sufriendo varios ataques en mi web (no se ni me interesa de quien) tube que implementar un antibot parecido al que se usaba en este sitio (inspirado en lo que puso el-brujo en un post aunque mucho más simple)

Código (php) [Seleccionar] Expandir

<?php /* antibot.php */

function checkBot(){
//cookie params
@ini_set('session.use_cookies',1);
@ini_set('session.cookie_lifetime',31536000);//un año
@ini_set('session.use_only_cookies',1);
@ini_set('session.cookie_path','/');
// configufación de variables PHP
@ini_set('session.name',"AntiBot");//nombre de la cookie
//otras opciones   
@ini_set('session.hash_function',0);
@ini_set('session.use_trans_sid',0);
@ini_set('session.save_path','/tmp');
@session_start();

if(!isset($_SESSION['bottime']))
$_SESSION['bottime']=rand(100,999);
$bottime=$_SESSION['bottime'];

if(isset($_REQUEST['antibotkey']))
$_SESSION['antibotkey']=$_REQUEST['antibotkey'];
if(isset($_SESSION['antibotkey'])&&isset($_SESSION['bottime'])){
$antibotkey=$_SESSION['antibotkey'];
if(!empty($antibotkey)&&sha1($_SERVER['HTTP_USER_AGENT'].$bottime)==$antibotkey)
  return null;
}

if(!isset($_SESSION['botcount']))
$_SESSION['botcount']=0;
else
$_SESSION['botcount']++;

if($_SESSION['botcount']>10){
$_SESSION['botcount']=0;
@session_write_close();
@header("Location: http://www.google.com");
}

return sha1($_SERVER['HTTP_USER_AGENT'].$bottime);
}

?>

Código (php) [Seleccionar] Expandir

<?php /* index.php */
/********************************* Anti Bot ************************************/

include 'antibot.php';
$antibotkey=checkBot();
if(!empty($antibotkey))
die("<a href='index.php?antibotkey=$antibotkey'>Haz Click Aquí para Entrar al Sitio</a><br/><br/>Este Mensaje es mostrado para evitar el ingreso de Bots y solo lo verás una vez.<br/><br/>Disculpe las molestias.");

/********************************* Anti Bot ************************************/

se puede optimizar, se le pueden agregar más checkeos, etc... pero es para tener una base dado que la que se utilizó acá en el foro no es público el código... je  , pero como supongo es algo temporal no me calenté mucho en mejorarlo

S2

PD: El protocolo no es ese, pero es perecido, je

Bien, ya he conseguido que funcione, pero ahora tengo un pequeño problema.
La primera vez que se ejecuta este programa en un equipo salta una alarma del firewall de windows que hay que darle manualmente a desbloquear.

poné el código en una dll e inyectala a otro proceso... je

S2

Hay un pequeño detalle sobre el uso del veh hook (o esta forma de usarlo), y es que cuando llaman a VirtualProtect no están cambiando el acceso a X bytes de memoria, sino a las páginas donde se encuentran esos X bytes, dicho de otra forma:

pag1   -    pag2
[...     XX][XX     ...]

estarían no solo cambiando los permisos de los bytes XXXX sinó de las dos páginas (cada página suele tener 512 bytes), por lo que podría pasar que al ejecutarse alguna parte de algunas de las páginas externas a los bytes que uno quiere proteger también se provoque una excepción.

S2

PD: se que el post es viejo pero creo que merece aclararse eso

en cuanto a hooks tb tenes NtCreateThread o NtOpenFile que pueden ser usados con el mismo fin, pero fuera de eso, con el tema de las notificaciones con PsSetLoadImageNotifyRoutine y PsSetCreateThreadNotifyRoutine también se pueden hacer cosas interesantes, pero (dada la fima digital de drivers de x64) dentro del modo usuario creo que con los hooks cbt (creación de ventanas etc.) se pueden bloquear algunas cosas, yo para cosas simples con CreateToolhelp32Snapshot y buscando el ejecutable he logrado corromperlos antes que terminen de cargarse... (obviamente que hay un consumo extra de procesador, pero... es en modo usuario)

S2

acá tenes unas cuantas variantes:

Código (c) [Seleccionar] Expandir

case DETOUR_TYPE_STC_JC:
       pDirApi[0] = 0xF9;
       pDirApi[1] = 0x0F;
       pDirApi[2] = 0x82;
       *(DWORD*)&pDirApi[3]=(DWORD)(newDirApi-pDirApi)-7;
     break;
     case DETOUR_TYPE_CLC_JNC:
       pDirApi[0] = 0xF8;
       pDirApi[1] = 0x0F;
       pDirApi[2] = 0x83;
       *(DWORD*)&pDirApi[3]=(DWORD)(newDirApi-pDirApi)-7;
     break;
     case DETOUR_TYPE_NOP_NOP_JMP:
       pDirApi[0]=0x90;
       pDirApi[1]=0x90;
       pDirApi[2]=0xE9;
       *(DWORD*)&pDirApi[3]=(DWORD)(newDirApi-pDirApi)-7;
     break;
     case DETOUR_TYPE_PUSH_EAX_RET:
       pDirApi[0]=0xB8;
       *(DWORD*)&pDirApi[1]=(DWORD)newDirApi;
       pDirApi[5]=0x50;
       pDirApi[6]=0xC3;
     break;
     case DETOUR_TYPE_NOP_PUSH_RET:
       pDirApi[0]=0x90;
       pDirApi[1]=0x68;
       *(DWORD*)&pDirApi[2]=(DWORD)newDirApi;
       pDirApi[6]=0xC3;
     break;
     case DETOUR_TYPE_JMP_EAX:
       pDirApi[0]=0xB8;
       *(DWORD*)&pDirApi[1]=(DWORD)newDirApi;
       pDirApi[5]=0xFF;
       pDirApi[6]=0xE0;
     break;
     case DETOUR_TYPE_JMP_JMP:
       pDirApi[-5]=0xE9;
       *(DWORD*)&pDirApi[-4]=(DWORD)(newDirApi-pDirApi);
       pDirApi[0]=0xEB;
       pDirApi[1]=0xF9;
     break;
     case DETOUR_TYPE_PUSH_RET:
       pDirApi[0]=0x68;
       *(DWORD*)&pDirApi[1]=(DWORD)newDirApi;
       pDirApi[5]=0xC3;
     break;
     case DETOUR_TYPE_NOP_JMP:
       pDirApi[0]=0x90;
       pDirApi[1]=0xE9;
       *(DWORD*)&pDirApi[2]=(DWORD)(newDirApi-pDirApi)-6;
     break;
     default://DETOUR_TYPE_JMP
       pDirApi[0]=0xE9;
       *(DWORD*)&pDirApi[1]=(DWORD)(newDirApi-pDirApi)-5;
     break;

y las instrucciones ASM referentes a jmps:

Código (asm) [Seleccionar] Expandir

EB cb JMP rel8 Jump short, relative, displacement relative to next instruction.
E9 cw JMP rel16 Jump near, relative, displacement relative to next instruction.
E9 cd JMP rel32 Jump near, relative, displacement relative to next instruction.
FF /4 JMP r/m16 Jump near, absolute indirect, address given in r/m16.
FF /4 JMP r/m32 Jump near, absolute indirect, address given in r/m32.
EA cd JMP ptr16:16 Jump far, absolute, address given in operand.
EA cp JMP ptr16:32 Jump far, absolute, address given in operand.
FF /5 JMP m16:16 Jump far, absolute indirect, address given in m16:16.
FF /5 JMP m16:32 Jump far, absolute indirect, address given in m16:32.

S2

está bueno el post aunque le faltarían algunas cosas como destacar bien las diferencias entre los distintos modos (user/kernel), aporto un par de funciones que no las encontré en la red o si las encontré no funcionaban bien (por lo menos estas me funcan a mi ), capaz a alguno le sirve...

Código (c) [Seleccionar] Expandir

BOOL DDKAPI ImageFullPath(PEPROCESS eprocess,PCHAR fullname){
 BOOL ret=FALSE;BYTE buffer[sizeof(UNICODE_STRING)+MAX_PATH*sizeof(WCHAR)];
 HANDLE handle;DWORD returnedLength=0;ANSI_STRING DestinationString;
 if(NT_SUCCESS(ObOpenObjectByPointer(eprocess,OBJ_KERNEL_HANDLE,NULL,GENERIC_READ,0,KernelMode,&handle))){
   if(NT_SUCCESS(ZwQueryInformationProcess(handle,ProcessImageFileName,buffer,sizeof(buffer),&returnedLength))){
     RtlUnicodeStringToAnsiString(&DestinationString,(UNICODE_STRING*)buffer,TRUE);
     strncpy(fullname,DestinationString.Buffer,DestinationString.Length);ret=TRUE;
     fullname[DestinationString.Length]=0;RtlFreeAnsiString(&DestinationString);
   }
   ZwClose(handle);
 }
 return ret;
}

BOOL DDKAPI ImageFileName(PEPROCESS eprocess,PCHAR filename){
 CHAR sImageFullPath[MAX_PATH]={0};
 if(ImageFullPath(eprocess,sImageFullPath)){
   PCHAR pIFN=sImageFullPath,pIFP=sImageFullPath;
   while(*pIFP)if(*(pIFP++)=='\\')pIFN=pIFP;
   strcpy(filename,pIFN);return TRUE;
 }
 return FALSE;
}

DWORD GetProcessIdByHandle(HANDLE Process){
 PROCESS_BASIC_INFORMATION ProcessBasicInfo;
 if(NT_SUCCESS(ZwQueryInformationProcess(Process,ProcessBasicInformation,&ProcessBasicInfo,sizeof(PROCESS_BASIC_INFORMATION),NULL)))
   return ProcessBasicInfo.UniqueProcessId;
 return 0;
}

NTSTATUS MmAllocateUserBuffer(PVOID *BaseAddress,ULONG Size){
 return ZwAllocateVirtualMemory(NtCurrentProcess(), BaseAddress, 0L, &Size, MEM_COMMIT, PAGE_READWRITE);
}

NTSTATUS MmFreeUserBuffer(PVOID *BaseAddress){
 ULONG RegionSize = 0;
 return ZwFreeVirtualMemory(NtCurrentProcess(), BaseAddress, &RegionSize, MEM_RELEASE);
}

PSERVICE_DESCRIPTOR_TABLE DDKAPI GetServiceDescriptorShadowTableAddress(){
 PBYTE check = (PBYTE)&KeAddSystemServiceTable;
PSERVICE_DESCRIPTOR_TABLE rc=0;UINT i;
for (i=0; i<1024; i++) {
 rc = *(PPSERVICE_DESCRIPTOR_TABLE)check;
if(!MmIsAddressValid(rc)||((PVOID)rc==(PVOID)&KeServiceDescriptorTable)
||(memcmp(rc,&KeServiceDescriptorTable,sizeof(SYSTEM_SERVICE_TABLE)))){
check++;
rc = 0;
}
if (rc)
break;
}
return rc;
}

S2

PD: Esto fue compilado con GCC, con Visual Studio pueden cambiar un par de cosas como por ejemplo: &KeAddSystemServiceTable se convertiría en KeAddSystemServiceTable.

es por una característica de gcc cuando se utilizan las STL, y es debido a que en este compilador el código del la STL es embebido en el ejecutable final (lo cual no pasa con visual c++ debido a que dichas funcionalidades están en una dll externa), pero no te tiene que importar eso, dado que, al fin y al cabo, ambos pesan lo mismo en memoria (con gcc es un solo módulo, con visual c, son 2 o más)

cita de la página compilador mingw:

C++ programs using the Standard Template Library (ie/ #include <iostream>) cause a large part of the library to be statically linked into the binary. The need to statically link the stdc++ into the binary is two fold. First MSVCRT.dll does not contain C++ stdlib constructs. Second the legal implications of generating a libstdc++.dll are restricted by the licensing associated with the library. If you wish to keep your file size down use strip to remove debugging information and other verbatim found in the binary.

S2

Ok, básicamente, según entendí hasta ahora, los punteros sirven de mucho para reducir el consumo de memoria. En vez de usar una variable, hacemos un "espejo" de ella. 

y no solo para eso, tienen muchos usos, acá tenes un ejemplo que si lo completás de entender, se puede decir que casi dominás punteros...

http://foro.elhacker.net/programacion_general/programas_para_resolver_problemas-t199992.0.html;msg964683#msg964683

S2