Code Execution in Stack n Heap

[Zer0Flag]

by Zer0Flag
visit us : SSTeam - Security Scene Team

Why in Stack or Heap ?

The simplest reason to do that would be to learn something. But also to obfuscate your source or get ride
from some Heuristic detections

Download( PDF and VC source ):

Code:

 http://papers.ssteam.info/stacknheapexec/

Nicht direkt ein Tutorial aber naja... villeicht kann ja jemand etwas davon lernen . Waiting for flame!

~Zer0Flag

[GregorSamsa]

Boar, voll NONPUB!

Hätte ich nicht released, weil jetzt kann jeder voll Unique Encrypt0rt Viruz machen!

[Joe Cock]

Oh gott.

Hättest du die Source nicht wenigstens ohne Intellisense-foo packen können, sodass es keine 5MB groß ist? Weiterhin ist deine Methode natürlich völlig sinnlos, da erstens die Größenberechnung nicht funktioniert und es zweitens selbstverständlich idiotisch ist, eine API zu verschlüsseln und dann zu hoffen, das würde auch noch auf anderen Rechnern laufen...

[Zer0Flag]

Die Größenberechnung klappt bestens wenn inkrementelles Linken abgestellt wurde. Außerdem sollten 5MB bei den heutigen Internet Anbindungen keine Rolle mehr spielen.
Es geht hier auch nicht darum 31337 FUD files zu erschaffen oder C&P ready SourceCodes mit 1A Anleitung zu liefern... aber das kapiert OpCodeZ mal wieder nicht...!

~Zer0

[GregorSamsa]

Bleibt nur zu saggen, das Opcodez ( <3 ) es drauf hat - du offensichtlich nicht!

Inkrementelles Linken - sprich: Linken nacheinander? Linken mit fortlaufender Releasenummer des Compiler? Oder was?

[Joe Cock]

Es geht hier auch nicht darum 31337 FUD files zu erschaffen oder C&P ready SourceCodes mit 1A Anleitung zu liefern...

Es geht aber darum, korrekte Methodik zu zeigen, denke ich zumindest. Man kann sich nicht drauf verlassen, dass Funktionen in Deklarationsreihenfolge hinterher auch in der Objektdatei stehen. Abgesehen davon bringt es ja wohl nichts, nur den Call mit den Argumenten auszulagern, wenn du vorher eh schon an die API-Adresse kommen musst.

I think the Code in the picture is really self explaining isn ́t it ? To do the same on the Stack just use
VirtualAlloc ( and VirtuallFree) instead of HeapAlloc ( and HeapFree). So this isn ́t realy a protection but it
could be useful to bypass some Heuristics.

Wat? Seit wann hat VirtualAlloc denn irgendwas mit dem Stack zu tun? VirtualAlloc alloziiert eine ganze Page, egal ob du als Size deine 34 angibst, das heißt es ist noch viel viel auffälliger (eine neue Page mit EXECUTE und gerade mal 3% belegt) als HeapAlloc, was dir einen Chunk in adäquater Größer raussucht. malloc und evtl VirtualProtect wäre natürlich die beste (und vor allem unauffälligste) Lösung gewesen.

Wir fassen zusammen:
Du weißt nicht was der Stack ist, schreibst aber ein Tutorial über CodeExecution auf solchem?

[DizzY_D]

or get ride from some Heuristic detections

Aha. Also von manchen Heuristic detections beritten werden? Du meintest wohl "get a rid of". Da sind noch ein Paar andere ähnliche Fehler drin.
Zum Paper:
Ich finds gut, dass du sowas hier mal postet. Hält das Niveau hier dann wenigstens mal etwas über dem Nullpunkt, wo es sich hier sonst immer befindet.
Was ich nicht verstanden habe: Seit wann allokiert man mit VirtualAlloc Speicher auf dem Stack? Wenn du die Funktionen wirklich auf dem Stack ausführen willst, müsstest du eben so oft PUSH xy ausführen bis genug Platz für die Funktion da ist.
Wobei es sein könnte, dass du da Probleme mit DEP bekommst aber keine Ahnung, bin kein Exploit0r.

Edit:// FU OpCodeZ

[Joe Cock]

Wenn du die Funktionen wirklich auf dem Stack ausführen willst, müsstest du eben so oft PUSH xy ausführen bis genug Platz für die Funktion da ist.

Naja, oder eben einfach esp um die entsprechende Größe dekrementieren und sich somit sein eigenes kleines Stackframe einrichten, wie du schon sagst:

sein könnte, dass du da Probleme mit DEP bekommst aber keine Ahnung, bin kein Exploit0r.

Da müsste man dann erneut mit VirtualProtect an's Werk, und dass das nicht unauffällig ist, dürfte klar sein.

Edit:// FU OpCodeZ

Keine Ahnung, wen du meinst, aber <33333333333

[DizzY_D]

Naja, oder eben einfach esp um die entsprechende Größe dekrementieren und sich somit sein eigenes kleines Stackframe einrichten, wie du schon sagst:

Ja toll danke, das ist mir 2 Sec nach meinem Post dann auch aufgefallen...
Wobei man nich nichtmal das machen müsste. Man kann ja in der Regel davon ausgehen, dass der Bereich über (also Adressmäßig gesehen unter) ESP liegt, sowieso nicht gebraucht wird.

[Joe Cock]

^-^ <3