اتوماتیک کردن مهندسی معکوس از طریق اسکریپت
مهندسی معکوس یک کار ماهرانه هستش مخصوصا زمانی که ما میخواهیم یک برنامه بزرگ یا فایل های پک شده مثل Malware ها رو آنالیز کنیم.
برخی ازین کارهای رایج شامل:
* پیگیری تخصیصات حافظه
* پیگیری فراخوانی API های خاص
* انپک کردن خانواده ای از Malware ها
* تصمیم گیری هوشمندانه مبتنی بر رویدادهای خاص
البته ما در اینجا مثالهای ساده ای رو بازگو میکنیم تا شما رو با این روش آنالیز آشنا کنیم, ما میخواهیم فراخوانی های HeapAlloc رو در یک برنامه مانیتور کنیم ,نه همه اونها,تنها مقادیری خاص,مثل درخواست تخصیص های بزرگتر از 1024 بایت.
یک اسکریپت ساده همه این اطلاعات رو به ما میدهد بجای ایجاد نقاط توقف به صورت دستی روی تابع HeapAlloc و سپس بررسی سایزهای تخصیص یافته ...
Ollydbg - Playing with OllyScript
همانطور که میدونید Olly یکی از بهترین دیباگر های سطح کاربر هستش که یک رابط بسیار عالی داره و به طور رایج ازین دیباگر استفاده میشه.
اما این دیباگر از اسکریپت پشتیبانی نمیکنه و این کارو از طریق پلاگین ها انجام میده.در اینجا هم ما از پلاگین OllyScript که توسط ShaG نوشته شده استفاده میکنیم.
این پلاگین syntax شبیه به اسمبلی داره که البته ما در اینجا قصد آموزش اسکریپت نویسی رو نداریم و انشالله در مقاله ای جدا به آن می پردازیم.
طرح مشکل:
ما میخواهیم یک برنامه رو برای یک باگ ساده بررسی کنیم و میخوایم بدونیم که کدام تابع باعث این مشکل میشه.اما تابع در اعماق برنامه قرار داره و بصورت دستی ساعت ها وقت می بره.بنابراین در اینجا ما مسیر جریان اجرا رو تریس می کنیم و میخوایم تا لاگ کنیم آدرس برگشت هر تابع رو.
راه حل:
مشکل بالا را به چند روش می توان حل کرد. اما نمایش آن به صورت ساده,استفاده از روند زیر هستش:
1- From current EIP, search for calls and create breakpoint on that call
2- Step into the call
3- Log the value at ESP (i.e return address) and search for calls at return address and
4- Breakpoint on the call
5- Repeat step 1, 2, 3 inside the call
6- Run
اسکریپت زیر این کارو انجام می دهد. فقط توجه کنید این اسکریپت فقط برای نمایش مفهوم هستش.
EOB breakprocessبرای اطلاعات بیشتر می تونید به رفرنس OllyScript مراجعه کنید.
var return
var infunction
var x
var y
mov infunction,EIP
mov return,EIP
start:
findop return,#E8#
mov x,$RESULT
findop infunction,#E8#
mov y,$RESULT
cmp x,0
ja breaksetx
backx:
cmp y,0
ja breaksety
backy:
run
breakprocess:
sti
mov return,[esp]
msg return
sti
mov infunction,EIP
jmp start
breaksetx:
bp x
jmp backx
breaksety:
bp y
jmp backy
اسکریپت با EOB (اجرا پس از BP) شروع شده, همانطور که مشخصه هر زمان که BP رخ بده برچسب مقابل EOP اجرا خواهد شد(breakprocess)
var - declares a variable.همانطور که می بینید اسکریپت شبیه به اسمبلی است. بیشتر از ollyscript برای آنپک کردن بد افزارها استفاده می کنند.اما در کل قابل انعطاف پذیری زیادی نداره و تنها میشه ازش برای اتوماتیک سازی برخی کارها در olly استفاده کرد.
mov - is similar to assembly
findop - search for opcode from the specified address & stores the results into a $RESULT variable
run - is similar to F9 in ollydbg
sti - step into - similar to F7 in ollydbg
msg - will show a messagebox - (log should be used but I used msg just for visual pleasure :))
این دیباگر واسط کاربری مشابهی با olly داره و توسط شرکت immunity inc توسعه داده میشه.هدف کلی تولید این دیباگر جستجوی آسیب پذیری هاس. یکی از مزایای این دیباگر داشتن API هایی برای کارهای گوناگون مهندسی معکوس و پشتیانی از پایتون هستش که این دیباگر رو نسبت به دیگر دیباگر ها متمایز می کنه.
طرح مشکل:
ما می خوایم تا تمام آدرسهای دستور jmp esp رو جستجو کنیم:
حل مشکل:
از اسکریپت زیر میتونیم در python shell این دیباگر استفاده کنیم:
data = "jmp esp"توی 5 خط میشه کل آدرس های jmp esp رو بدست آورد:)
asm = imm.assemble(data) # imm is object of immlib class
results = imm.search(asm)
for addr in results:
print "%s %0.8x" % (data,addr)
این ابزار یک دیباگر مبتنی بر پایتون هستش که دارای انعطاف پذیری خوبی است.
طرح مشکل:
ما میخوایم تابع VirtuallAlloc زمانی که فراخوانی میشه مسیریابی کنیم,
اسکریپت ما میبایست آرگومانها و اشاره گر برگشتی توسط تابع را به ما برگرداند.
VirtualAlloc:
LPVOID WINAPI VirtualAlloc(
__in_opt LPVOID lpAddress,
__in SIZE_T dwSize,
__in DWORD flAllocationType,
__in DWORD flProtect
);
حل مشکل:
1- قرار داد PB روی این تابع
2. خارج کردن آرگومانها از پشته
3- خارج کردن آدرس برگشت از پشته و قرار دادن BP روی آن
4- بدست آوردن مقدار رجیستر EAX
import sys
import pefile
import struct
from pydbg import *
from pydbg.defines import *
def ret_addr_handler(dbg):
lpAddress = dbg.context.Eax # Get value returned by VirtualAlloc
print " Returned Pointer: ",hex(int(lpAddress))
return DBG_CONTINUE
def virtual_handler(dbg):
print "****************"
pdwSize = dbg.context.Esp + 8 # 2nd argument to VirtualAlloc
rdwSize = dbg.read_process_memory(pdwSize,4)
dwSize = struct.unpack("L",rdwSize)[0]
dwSize = int(dwSize)
print "Allocation Size: ",hex(dwSize)
pflAllocationType = dbg.context.Esp + 12 # 3rd argument to VirtualAlloc
rflAllocationType = dbg.read_process_memory(pflAllocationType,4)
flAllocationType = struct.unpack("L",rflAllocationType)[0]
flAllocationType = int(flAllocationType)
print "Allocation Type: ",hex(flAllocationType)
pflProtect = dbg.context.Esp + 16 # 4th Argument to VirtualAlloc
rflProtect = dbg.read_process_memory(pflProtect,4)
flProtect = struct.unpack("L",rflProtect)[0]
flProtect = int(flProtect)
print "Protection Type: ",hex(flProtect)
pret_addr = dbg.context.Esp # Get return Address
rret_addr = dbg.read_process_memory(pret_addr,4)
ret_addr = struct.unpack("L",rret_addr)[0]
ret_addr = int(ret_addr)
dbg.bp_set(ret_addr,description="ret_addr breakpoint",restore = True,handler = ret_addr_handler)
return DBG_CONTINUE
def entry_handler(dbg):
virtual_addr = dbg.func_resolve("kernel32.dll","VirtualAlloc") # Get VirtualAlloc address
if virtual_addr:
dbg.bp_set(virtual_addr,description="Virtualalloc breakpoint",restore = True,handler = virtual_handler)
return DBG_CONTINUE
def main():
file = sys.argv[1]
pe = pefile.PE(file)
# get entry point
entry_addr = pe.OPTIONAL_HEADER.AddressOfEntryPoint + pe.OPTIONAL_HEADER.ImageBase
dbg = pydbg() # get pydbg object
dbg.load(file)
dbg.bp_set(entry_addr,description="Entry point breakpoint",restore = True,handler = entry_handler)
dbg.run()
if __name__ == '__main__':
main()
این دیباگر رسمی مایکروسافت هستش که قدرت زیادی روی ویندوز داره مخصوصا در هنگام دیباگ کردن کرنل .
این دیباگر نیز زبان اسکریپت نویسی مخصوص خودش رو داره که شبیه زبان سی هستش, اطلاعات بیشتر رو در این مورد می تونید از فایل راهنمای خود دیباگر بدست بیارید.
طرح مشکل:
ما malloc رو می خوایم مسیریابی کنیم, زمانی که فراخوانی می شه, اسکریپت ما باید سایز درخواستی برای تخصیص و همچنین اشاره گر برگشتی را به ما برگرداند.
حل:
1 - قرار دادن BP روی malloc
2- خارج کردن پارامترها از پشته
3- خارج کردن آدرس برگشت از پشته و قرار دادن PB روی آن
4- بدست اوردن مقدار رجیستر EAX
bp msvcrt!malloc ".printf \"Size: %x\n\",poi(esp+4);gu;.printf \"Returned Pointer: %x\n\",eax;g"
زمان استفاده از چندین دستور در یک خط باید این دستورات را با (;) از هم جداکنیم.
bp - sets breakpoint
msvcrt!malloc - this is DLL!Method (here DLL name & function name are separated by ! )
این بعنوان BP های شرطی شناخته می شوند.
bp address or dll!method or dll!method+offset "block that should be executed when breakpoint hits"
poi - is similar to pointer in c
gu - go up - execute until return
g - go or execute
http://www.securityxploded.com
