Cardano
11.07.2010, 15:06
Hi Leute, mein erster Post und dann gleich sowas :P
Und zwar hab ich ein kleines Problem bei meinem ersten C++ Projekt. Ich arbeite daran mich ein bisschen mit dem PE-Dateiformat auseinander zu setzen. Dabei hab ich natürlich einfache Dinge wie das allgemeine Zurechtfinden im Format usw. schon hinter mir. Aktuell versuch ich mich daran Codecaves zu ERZEUGEN. Also nicht bereits vorhandene auszunutzen. Hierbei mache ich folgendes:
Ich suche mir ein RawOffset innerhalb der Datei, erstelle dort ein Codecave (Nullbytemuster) einer variablen Größe.
Sagen wir ich erzeuge beim OEP ein Codecave der Größe 0x10, also 16Byte.
Der OEP meiner Datei (weiter unten) liegt bei der RVA 0x000111BE, das entspricht dem RawOffset 0x5AE. Und am Ende der Section ist ein Codecave mit einer Größe von 428 Byte. Dann wird sozusagen ab dem OEP alle Bytes um 0x10 in dieses Codecave am Ende der Section verschoben. Die restlichen Sections bleiben unberührt. Dies ist jetzt nur der einfachste Fall den ich behandle. Aber da ich im Moment nur so arbeite, dass dieser eintrifft und bei mir Fehler aufkommen, wollet ich hier um Hilfe fragen.
Folgendes mache ich noch vor dem eben beschriebenen:
Ich bestimme das Interval der betroffenen Bytes, also in diesem Fall von dem RawOffset des OEP bis zum virtuellen Ende der Section, also
von OEP bis (HeaderDerSection->PointerToRawData + HeaderDerSection->Misc.VirtualSize)
Dann gucke ich mir alle Relocations im RelocationDirectory an und vergleiche zum einen ob die RawOffsets auf welche sie zeigen betroffen sind und zum anderen ob die Pointer die dort liegen in das betroffene Interval zeigen. Beide Pointer (RVA's) werden jenachdem mit 0x10 addiert und wieder gespeichert.
Nachdem ich die Relocations abgearbeitet habe, versetze ich den OEP um 0x10 (im Mom. möchte ich noch keinen Crypter erstellen sondern einfach nur diese Funktion zum Laufen kriegen, also teste ich erstmal ob das Programm noch läuft) und dann setze ich die neuen Daten des SectionHeaders so, dass er wieder UpToDate ist was Virtual und RawSize angeht.
Das sind zumindest alle Schritte die ich glaube machen zu müssen (ich code erst seit 5 Tagen in C++ und seit 6 Tagen beschäftige ich mich erst mit dem PE-Format)
Hier mal ein kleiner PrintOut meiner Rederections die ich setze aus meiner Konsole:
C:\_projects\justcrypt\Debug>J - Anonymous - Jm0R0CnN - Pastebin.com (http://pastebin.com/Jm0R0CnN)
(Zur Erklärung: In den ersten Zeilen lass ich mir Caves am Ende von Sections ausgeben, dann im Großen bereich lass ich mir die Relocations ausgeben, hierbei gilt das Muster
Reloc RelocationblockID - RelocationBlockEntryID : Old: <Altes Word der Relocation>, New: <ggf. neuer Wert> - RawOffset: <wohin die low 12 bit + die RVA des RelocBlocks als RawOffset zeigen> , Value(RO): <der Wert der am RawOffset liegt umgewandelt in ein RawOffset>
Hier der Code den ich in kompilierter Form verarbeite:
/*----------------------------------------------------------
HelloMsg.cpp - Gibt den Text "Hello World" in einem
Meldungsfenster aus
----------------------------------------------------------*/
#include <Windows.h>
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance,
PSTR szCmdLine, int iCmdShow)
{
MessageBox(NULL, TEXT("Hello World"), TEXT("HelloMsg"), 0);
return 0;
}
Und hier die kompilierte Version (hello_world.exe) und die Ausgabe meines Programmes (hello_world_modified.exe)[/URL]
[url]http://rapidshare.com/files/406351136/helloworld.rar (http://rs353tl.rapidshare.com/cgi-bin/upload.cgi?rsuploadid=134120429230472830)
Wenn ihr das ganze in einem PE-Editor öffnet, werdet ihr bspw. sehen, dass zb der OEP wirklich um 0x10 versetzt wurde. Da ich leider überhaupt keine Erfahrung mit Debuggern habe bin ich auf eure Hilfe angewiesen. Hab ich was vergessen oder wurden irgendwelche Werte falsch gesetzt ?
Vielen Dank schonmal, Cardano :)
Und zwar hab ich ein kleines Problem bei meinem ersten C++ Projekt. Ich arbeite daran mich ein bisschen mit dem PE-Dateiformat auseinander zu setzen. Dabei hab ich natürlich einfache Dinge wie das allgemeine Zurechtfinden im Format usw. schon hinter mir. Aktuell versuch ich mich daran Codecaves zu ERZEUGEN. Also nicht bereits vorhandene auszunutzen. Hierbei mache ich folgendes:
Ich suche mir ein RawOffset innerhalb der Datei, erstelle dort ein Codecave (Nullbytemuster) einer variablen Größe.
Sagen wir ich erzeuge beim OEP ein Codecave der Größe 0x10, also 16Byte.
Der OEP meiner Datei (weiter unten) liegt bei der RVA 0x000111BE, das entspricht dem RawOffset 0x5AE. Und am Ende der Section ist ein Codecave mit einer Größe von 428 Byte. Dann wird sozusagen ab dem OEP alle Bytes um 0x10 in dieses Codecave am Ende der Section verschoben. Die restlichen Sections bleiben unberührt. Dies ist jetzt nur der einfachste Fall den ich behandle. Aber da ich im Moment nur so arbeite, dass dieser eintrifft und bei mir Fehler aufkommen, wollet ich hier um Hilfe fragen.
Folgendes mache ich noch vor dem eben beschriebenen:
Ich bestimme das Interval der betroffenen Bytes, also in diesem Fall von dem RawOffset des OEP bis zum virtuellen Ende der Section, also
von OEP bis (HeaderDerSection->PointerToRawData + HeaderDerSection->Misc.VirtualSize)
Dann gucke ich mir alle Relocations im RelocationDirectory an und vergleiche zum einen ob die RawOffsets auf welche sie zeigen betroffen sind und zum anderen ob die Pointer die dort liegen in das betroffene Interval zeigen. Beide Pointer (RVA's) werden jenachdem mit 0x10 addiert und wieder gespeichert.
Nachdem ich die Relocations abgearbeitet habe, versetze ich den OEP um 0x10 (im Mom. möchte ich noch keinen Crypter erstellen sondern einfach nur diese Funktion zum Laufen kriegen, also teste ich erstmal ob das Programm noch läuft) und dann setze ich die neuen Daten des SectionHeaders so, dass er wieder UpToDate ist was Virtual und RawSize angeht.
Das sind zumindest alle Schritte die ich glaube machen zu müssen (ich code erst seit 5 Tagen in C++ und seit 6 Tagen beschäftige ich mich erst mit dem PE-Format)
Hier mal ein kleiner PrintOut meiner Rederections die ich setze aus meiner Konsole:
C:\_projects\justcrypt\Debug>J - Anonymous - Jm0R0CnN - Pastebin.com (http://pastebin.com/Jm0R0CnN)
(Zur Erklärung: In den ersten Zeilen lass ich mir Caves am Ende von Sections ausgeben, dann im Großen bereich lass ich mir die Relocations ausgeben, hierbei gilt das Muster
Reloc RelocationblockID - RelocationBlockEntryID : Old: <Altes Word der Relocation>, New: <ggf. neuer Wert> - RawOffset: <wohin die low 12 bit + die RVA des RelocBlocks als RawOffset zeigen> , Value(RO): <der Wert der am RawOffset liegt umgewandelt in ein RawOffset>
Hier der Code den ich in kompilierter Form verarbeite:
/*----------------------------------------------------------
HelloMsg.cpp - Gibt den Text "Hello World" in einem
Meldungsfenster aus
----------------------------------------------------------*/
#include <Windows.h>
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance,
PSTR szCmdLine, int iCmdShow)
{
MessageBox(NULL, TEXT("Hello World"), TEXT("HelloMsg"), 0);
return 0;
}
Und hier die kompilierte Version (hello_world.exe) und die Ausgabe meines Programmes (hello_world_modified.exe)[/URL]
[url]http://rapidshare.com/files/406351136/helloworld.rar (http://rs353tl.rapidshare.com/cgi-bin/upload.cgi?rsuploadid=134120429230472830)
Wenn ihr das ganze in einem PE-Editor öffnet, werdet ihr bspw. sehen, dass zb der OEP wirklich um 0x10 versetzt wurde. Da ich leider überhaupt keine Erfahrung mit Debuggern habe bin ich auf eure Hilfe angewiesen. Hab ich was vergessen oder wurden irgendwelche Werte falsch gesetzt ?
Vielen Dank schonmal, Cardano :)