ARMadillo V4.1 Copy MEM II Code Injection

原创 2005年05月22日 09:26:00
【目     标】:自己写的一个小程序
【工     具】:Olydbg1.1(diy版)
【任     务】:不脱壳直接Inline patch
【操作平台】:Windows 2003 server
【作     者】: LOVEBOOM[DFCG][FCG][US]
【相关链接】: ......
【简要说明】: Armadillo 是加密强度好的应该就是CopyMEM2+CC,我测试的目标没有CC,因为有CC和没有CC对使用代码注入技术来破解来说没有很大的影响,我用armv4.1 public 加的壳,对于CopyMEM2的加密方式的代码注入的前提是:你必须会脱copymemII的标准壳。我不打算在这篇文章里写上怎么脱壳,CodeInjection之前其实差不多算是脱了一个壳。
【详细过程】:
OD设置:忽略全部异常,加上C000001E这个异常范围。去除OutputDebugStringA这个OD漏洞。OD载入目标,然后下断BP DebugActiveProcess,Shift+F9运行中断在该API入口处:
77E602C8 >  E8 05DD0100     CALL <JMP.&ntdll.DbgUiConnectToDbg>      ; 中断在这里
77E602CD    85C0            TEST EAX,EAX
77E602CF    7D 0A           JGE SHORT 77E602DB
断下后,在堆栈中看看新进程的进程ID:
0012BC98   0042FDEA  /CALL to DebugActiveProcess from Packed.0042FDE4
0012BC9C   000006E8  /ProcessId = 6E8
0012BCA0   0012FF04
新进程ID为6E8(注意这个值,每次调试时是不同的,因此不能看死的),开一个新的OD,附加该新进程,附加后,让父进程(也就是我们下断API的那个进程)继续运行,这样的话,字进程的入口会被父进程修改,在新进程的调试窗口里下断bp OpenMutexA,然后让子进程运行,在这过程中,OD会提示已经挂起,打开线程窗口让线程继续运行(我在win2003下要很久才会有反应的L, 我是用Process Explorer来处理进程 )。中间会有一次异常提示,点确定后SHIFT+F9让程序继续运行,最后中断在OpenMutexA的入口处。中断后在一空白处写上,把双进程改为单进程的代码:
pushad
push edx                ;Mutex Name
push 0
push 0
call CreateMutexA
popad
jmp OpenMutexA
然后把EIP改为我们写的代码开始处,写完后取消该API入口处的断点,然后下断BP SetFilePointer,F9运行-->中断-->返回程序代码。
返回后直接向下找到这里:
00AC4384    50              PUSH EAX                                 ; 向下找到这里
00AC4385    FF15 0C32AD00   CALL DWORD PTR DS:[AD320C]               ; kernel32.OutputDebugStringA
00AC438B    C705 7090AD00 D>MOV DWORD PTR DS:[AD9070],0AD99D0        ; ASCII "CC6"
00AC4395    8B0D 20CFAD00   MOV ECX,DWORD PTR DS:[ADCF20]            ; Packed.00464370
00AC439B    8B41 70         MOV EAX,DWORD PTR DS:[ECX+70]
00AC439E    3341 64         XOR EAX,DWORD PTR DS:[ECX+64]
00AC43A1    3341 60         XOR EAX,DWORD PTR DS:[ECX+60]
00AC43A4    3345 D8         XOR EAX,DWORD PTR SS:[EBP-28]            ; [EBP-28]处保存正确的CRC值 Patch 点0 ****
00AC43A7    8985 C8F7FFFF   MOV DWORD PTR SS:[EBP-838],EAX
 
[EBP-28]=[0012D6FC]=94B6086A     ;CRC Value
 
PATCH点0为00AC43A4
 
同时记下这个段是的起始地址,然后计算这个PATCH地址的相对地址,这里计算出来的值大小为243A1,
我们要知道这个段是什么时候动态申请的,这个实际上和我上一篇的单进程的找这个申请段的方法一样。
转成单进程后,直接下断bp VirtualAlloc,第二次就是申请 这个段。也就是下面这个地方:
 
0042B223   .  8945 E0       MOV DWORD PTR SS:[EBP-20],EAX            ;第二次申请后返回这里,这里patch点1 ****
0042B226   >  837D E0 00    CMP DWORD PTR SS:[EBP-20],0
 
返回后根据单进程的CODE Injection那篇文章,直接CTRL+S查找以下命令:
PUSH EBP
MOV EBP,ESP
SUB ESP,5C
会找到以下几个地方:
0040732E    55              PUSH EBP
0040732F    8BEC            MOV EBP,ESP
00407331    83EC 5C         SUB ESP,5C
00407334    833D C0424600 0>CMP DWORD PTR DS:[4642C0],0              ; 这里就是我们将要PATCH的地方,这里PATCH点2 ****
0040733B    0F85 54010000   JNZ 00407495
......
0042A8BB    55              PUSH EBP
0042A8BC    8BEC            MOV EBP,ESP
0042A8BE    83EC 5C         SUB ESP,5C
0042A8C1    A1 BC434600     MOV EAX,DWORD PTR DS:[4643BC]
0042A8C6    3305 7C434600   XOR EAX,DWORD PTR DS:[46437C]
......
00439BAC    55              PUSH EBP
00439BAD    8BEC            MOV EBP,ESP
00439BAF    83EC 5C         SUB ESP,5C
00439BB2    C745 E8 FFFFFFF>MOV DWORD PTR SS:[EBP-18],-1
 
第一次找到的地方就是我们的PATCH点2
 
现在用LORDPE看看以那两个PATCH点发现,代码是加密后保存到文件的,再次重来,在0042B223处下内存访问和写入断点,下访问断点的原因是考虑壳可能会用到这里的代码解别处的代码,当然实际是上是没有的。下断后,运行就会停在以下位置:
0045A499    D20B            ROR BYTE PTR DS:[EBX],CL                 ; 第一次中断这里,记下ECX的值先
0045A49B    300B            XOR BYTE PTR DS:[EBX],CL
0045A49D    43              INC EBX
0045A49E    49              DEC ECX
0045A49F    85C9            TEST ECX,ECX
0045A4A1  ^ 75 F6           JNZ SHORT 0045A499
......
0045A5F5    3003            XOR BYTE PTR DS:[EBX],AL                 ; 第二次中断,这里记下AL的值
0045A5F7    43              INC EBX
0045A5F8    49              DEC ECX
0045A5F9    85C9            TEST ECX,ECX
0045A5FB  ^ 75 F8           JNZ SHORT 0045A5F5
0045A5FD    8B85 FA950000   MOV EAX,DWORD PTR SS:[EBP+95FA]          ; 到了这里程序就全部解压完了
 
解密算法很简单,为这样子:
   ROR BYTE PTR [CKEY],9C(这两个值是可变的)
   XOR byte ptr [CKEY],DD
   XOR byte ptr [CKEY],AL(AL总是为0B0)
 
解密算法为:
   XOR BYTE PTR [DKEY],0B0
   XOR BYTE PTR [DKEY],CL
   ROL BYTE PTR [DKEY],CL
 
Patch 点1解压时ECX=0001A1DD
Patch 点2解压时ECX=0003E0CC
 
现在壳的CRC的PATCH点已经找全了,现在开始找程序的真正要破解的地方,OD载入重来,先F9运行,OD会报有异常的提示,点确定,然后下断bp WriteProcessMemory,这时会中断几次:
0012B994   004343D6  /CALL to WriteProcessMemory from Packed.004343D0
0012B998   00000044  |hProcess = 00000044
0012B99C   00454000  |Address = 454000
0012B9A0   0012BC84  |Buffer = 0012BC84
0012B9A4   00000002  |BytesToWrite = 2
0012B9A8   0012BC88  /pBytesWritten = 0012BC88
......
0012B994   004343FE  /CALL to WriteProcessMemory from Packed.004343F8
0012B998   00000044  |hProcess = 00000044
0012B99C   00454000  |Address = 454000
0012B9A0   0046B20C  |Buffer = Packed.0046B20C
0012B9A4   00000002  |BytesToWrite = 2
0012B9A8   0012BC88  /pBytesWritten = 0012BC88
......
0012BB34   00433EA8  /CALL to WriteProcessMemory from Packed.00433EA2
0012BB38   00000044  |hProcess = 00000044
0012BB3C   00401000  |Address = 401000
0012BB40   003A1F30  |Buffer = 003A1F30
0012BB44   00001000  |BytesToWrite = 1000 (4096.)
0012BB48   0012BC50  /pBytesWritten = 0012BC50
 
第三个WriteProcessMemory时说明壳已经解压出正确程序的代码,[ESP+8]为程序的CODE Section的VA,[ESP+C]为与CODE Section对应的VA,因为我们已经有源代码所以不用脱壳就知道改哪里了^_^:
003A1F30    BB 01000000      MOV EBX,1
003A1F35    83FB 01          CMP EBX,1                                ; 我选择这里为PATCH点,改成cmp ebx,0 程序Crack点$$$$
003A1F38    75 15            JNZ SHORT 003A1F4F
003A1F3A    6A 00            PUSH 0
 
程序CRAK点为003A1F35
过了这个WriteProcessMemory的话,程序已经把代码复制过去了,再改就没有意思了,因此,我们要在没有复制代码过去之前修改它,ALT+F9返回到程序代码:
00433E89   .  52             PUSH EDX                                 ; /pBytesWritten
00433E8A   .  68 00100000    PUSH 1000                                ; |BytesToWrite = 1000 (4096.)
00433E8F   .  A1 34B34600    MOV EAX,DWORD PTR DS:[46B334]            ; |
00433E94   .  50             PUSH EAX                                 ; |Buffer => 003A1F30  我选择这里作为Patch点3****
00433E95   .  8B4D EC        MOV ECX,DWORD PTR SS:[EBP-14]            ; |
00433E98   .  51             PUSH ECX                                 ; |Address
00433E99   .  8B15 08B34600  MOV EDX,DWORD PTR DS:[46B308]            ; |
00433E9F   .  8B02           MOV EAX,DWORD PTR DS:[EDX]               ; |
00433EA1   .  50             PUSH EAX                                 ; |hProcess
00433EA2   .  FF15 10414600  CALL DWORD PTR DS:[<&KERNEL32.WriteProce>; /WriteProcessMemory
00433EA8   .  85C0           TEST EAX,EAX                             ;  返回到这里
00433EAA   .  75 4B          JNZ SHORT 00433EF7
 
Patch点3的为:00433E94,同样这里的代码也是动态还原的,加密方法和上面的一下,再次重来,然后记下ECX的值.
ECX==0001156C
到这里,全部的patch点都找回来了,自己动手在相关的位置写上自己的代码。动态还原的那几处加密后的值,自己去算算。现在动手写一下以下代码就可以了:
 
 
0045DEAE    0000            ADD BYTE PTR DS:[EAX],AL
0045DEB0    0000            ADD BYTE PTR DS:[EAX],AL                 ; 这里保存动态申请的那个段起始地址
0045DEB2    0000            ADD BYTE PTR DS:[EAX],AL
0045DEB4    0000            ADD BYTE PTR DS:[EAX],AL
0045DEB6    0000            ADD BYTE PTR DS:[EAX],AL
0045DEB8    0000            ADD BYTE PTR DS:[EAX],AL
0045DEBA    90              NOP
0045DEBB    90              NOP
0045DEBC    90              NOP
0045DEBD    90              NOP
0045DEBE    90              NOP
0045DEBF    90              NOP
0045DEC0    50              PUSH EAX                                 ; patch点1 的Patch代码
0045DEC1    A3 B0DE4500     MOV DWORD PTR DS:[45DEB0],EAX            ; 保存动态申请的地址
0045DEC6    8D4424 04       LEA EAX,DWORD PTR SS:[ESP+4]
0045DECA    8328 05         SUB DWORD PTR DS:[EAX],5
0045DECD    8B00            MOV EAX,DWORD PTR DS:[EAX]
0045DECF    C700 8945E083   MOV DWORD PTR DS:[EAX],83E04589          ; 还原代码防止壳检测
0045DED5    C640 04 7D      MOV BYTE PTR DS:[EAX+4],7D
0045DED9    53              PUSH EBX                                 ; 修改patch点2的代码
0045DEDA    BB 00DF4500     MOV EBX,0045DF00
0045DEDF    B8 34734000     MOV EAX,00407334
0045DEE4    2BD8            SUB EBX,EAX
0045DEE6    83EB 05         SUB EBX,5
0045DEE9    C600 E8         MOV BYTE PTR DS:[EAX],0E8
0045DEEC    8958 01         MOV DWORD PTR DS:[EAX+1],EBX
0045DEEF    5B              POP EBX                                  ; 修改完跳回去执行原代码
0045DEF0    58              POP EAX
0045DEF1    C3              RETN
0045DEF2    90              NOP
0045DEF3    90              NOP
0045DEF4    90              NOP
0045DEF5    90              NOP
0045DEF6    90              NOP
0045DEF7    90              NOP
0045DEF8    90              NOP
0045DEF9    90              NOP
0045DEFA    90              NOP
0045DEFB    90              NOP
0045DEFC    90              NOP
0045DEFD    90              NOP
0045DEFE    90              NOP
0045DEFF    90              NOP
0045DF00    50              PUSH EAX                                 ; Patch点2 的代码
0045DF01    A1 B0DE4500     MOV EAX,DWORD PTR DS:[45DEB0]
0045DF06    53              PUSH EBX
0045DF07    BB 40DF4500     MOV EBX,0045DF40
0045DF0C    05 A1430200     ADD EAX,243A1                            ; 修改Patch点0的代码
0045DF11    2BD8            SUB EBX,EAX
0045DF13    83EB 05         SUB EBX,5
0045DF16    C600 E8         MOV BYTE PTR DS:[EAX],0E8
0045DF19    8958 01         MOV DWORD PTR DS:[EAX+1],EBX
0045DF1C    5B              POP EBX
0045DF1D    8D4424 04       LEA EAX,DWORD PTR SS:[ESP+4]
0045DF21    8328 05         SUB DWORD PTR DS:[EAX],5
0045DF24    8B00            MOV EAX,DWORD PTR DS:[EAX]
0045DF26    C700 833DC042   MOV DWORD PTR DS:[EAX],42C03D83          ; 还原代码防止壳检测
0045DF2C    C640 04 46      MOV BYTE PTR DS:[EAX+4],46
0045DF30    58              POP EAX
0045DF31    C3              RETN
0045DF32    90              NOP
0045DF33    90              NOP
0045DF34    90              NOP
0045DF35    90              NOP
0045DF36    90              NOP
0045DF37    90              NOP
0045DF38    90              NOP
0045DF39    90              NOP
0045DF3A    90              NOP
0045DF3B    90              NOP
0045DF3C    90              NOP
0045DF3D    90              NOP
0045DF3E    90              NOP
0045DF3F    90              NOP
0045DF40    50              PUSH EAX                                 ; Patch点0处的处理代码
0045DF41    C745 D8 6A08B69>MOV DWORD PTR SS:[EBP-28],94B6086A
0045DF48    8D4424 04       LEA EAX,DWORD PTR SS:[ESP+4]
0045DF4C    8328 05         SUB DWORD PTR DS:[EAX],5
0045DF4F    8B00            MOV EAX,DWORD PTR DS:[EAX]
0045DF51    C700 33416033   MOV DWORD PTR DS:[EAX],33604133          ; 还原并执行原代码
0045DF57    C640 04 45      MOV BYTE PTR DS:[EAX+4],45
0045DF5B    58              POP EAX
0045DF5C    C3              RETN
 
修改完毕,运行一下,YUP,搞定了。。
 
 
 
 
Greetz:
 Fly.Jingulong,yock,tDasm.David.hexer,hmimys,ahao.UFO(brother).alan(sister).all of my friends and you!
 
By loveboom[DFCG][FCG][US]
http://blog.csdn.net/bmd2chen
Email:loveboom#163.com
Date:2005-5-11 15:34

os引导程序boot从扇区拷贝os加载程序loader文件到内存(boot copy kernel to mem in the same method)

README 0.1) 本代码旨在演示 在boot 代码中,如何 通过 loader文件所在根目录条目 找出该文件的 在 软盘所有全局扇区号(簇号),并执行内存中的 loader 代码;0.2)...
  • bfboys
  • bfboys
  • 2016年08月27日 22:24
  • 309

os引导程序boot从扇区拷贝os加载程序loader文件到内存(boot copy kernel to mem in the same method)

【0】README 0.1) 本代码旨在演示 在boot 代码中,如何 通过 loader文件所在根目录条目 找出该文件的 在 软盘所有全局扇区号(簇号),并执行内存中的 loader 代码; 0.2...

Magical code injection rainbow(MCIR)在win7上部署

MCIR尽管作为十大渗透测试演练系统(http://www.freebuf.com/tools/4708.html)  但相关文章非常少。所以遇到问题Google搜不到,在stackoverflow上...
  • youb11
  • youb11
  • 2015年05月17日 15:45
  • 933

Learning PHP Code injection 【I】

为了方便自己以后的翻阅和查找, 最近正在整理归类一些之前学习过的内容。 个人觉得只有将知识系统化和模块化才能更加有效的吸收和学习...
  • F1n4lly
  • F1n4lly
  • 2015年01月05日 16:59
  • 668

Code Injection 代码注入

学习了一下《Windows环境下32位汇编语言程序设计》,自己写了段代码实现将显示一个消息框的代码注入到Explorer.exe中。 .386 .model flat,stdcall optio...

code injection in exe

  • 2010年01月12日 01:55
  • 71KB
  • 下载

uC/OS-II源码解析(os_mem.c)

/* ** ver : 2.52 ** file : os_time.c ** brief : 内存管理相关操作 C 文件 */ #ifndef OS_MASTER_FILE #include...

DoubleAgent: Zero-Day Code Injection and Persistence Technique

转自:https://cybellum.com/doubleagentzero-day-code-injection-and-persistence-technique/ Overview ...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:ARMadillo V4.1 Copy MEM II Code Injection
举报原因:
原因补充:

(最多只允许输入30个字)