-filer/CIP_Logo.jpg){kind=logo}
| ||||||||||||||
1. Einleitung | ||||||||||||||
Um eines vorweg zu sagen: Zum besseren
Verständnis, warum wir die Imports so fixen, wie wir sie fixen,
empfehle Ich euch dringend, mein erstes CIP Tutorial über das
manuelle Unpacking von Safedisc v2.30.33 zu lesen (hey, habt ihr
aber bestimmt ;) denn ich werde darauf nur noch flüchtig eingehen,
da es EXAKT genauso funktioniert. Den Rest werde ich dann wieder
ausführlicher erklären. | ||||||||||||||
Bevor wir uns nun ans Eingemachte begeben, sorgen
wir dafür, dass wir in den Sections, die wir fixen müssen (.text,
.rdata) Schreibrechte haben um ungestört eigenen Code ausführen zu
können. Die Macrovision Programmierer haben es auch in der neuen
major Safedisc Version nicht zu Stande gebracht, einen CRC Check
einzubauen, der uns daran hindert am PE Header rumzuspielen
:) | ||||||||||||||
Bei den Erklärungen des Fixens der Imports werde
ich mich auf das wesentliche beschränken, weil sich dabei seit
meinen letzten Tutorial nichts geändert hat. 0093309E 55 PUSH EBP
0093309F 8BEC MOV EBP,ESP
009330A1 60 PUSHAD
009330A2 BB 9E309300 MOV EBX,OFFSET speed2.{ModuleEntryPoint}
009330A7 33C9 XOR ECX,ECX
009330A9 8A0D 3D309300 MOV CL,BYTE PTR DS:[93303D]
009330AF 85C9 TEST ECX,ECX
009330B1 74 0C JE speed2.009330BF
009330B3 B8 13319300 MOV EAX,speed2.00933113
009330B8 2BC3 SUB EAX,EBX
009330BA 83E8 05 SUB EAX,5
009330BD EB 0E JMP speed2.009330CD
009330BF 51 PUSH ECX
009330C0 B9 59319300 MOV ECX,speed2.00933159
009330C5 8BC1 MOV EAX,ECX
009330C7 2BC3 SUB EAX,EBX
009330C9 0341 01 ADD EAX,DWORD PTR DS:[ECX+1]
009330CC 59 POP ECX
009330CD C603 E9 MOV BYTE PTR DS:[EBX],0E9
009330D0 8943 01 MOV DWORD PTR DS:[EBX+1],EAX
009330D3 51 PUSH ECX
009330D4 68 09309300 PUSH 00933009
009330D9 33C0 XOR EAX,EAX
009330DB 85C9 TEST ECX,ECX
009330DD 74 05 JE 009330E4
009330DF 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
009330E2 EB 00 JMP 009330E4
009330E4 50 PUSH EAX
009330E5 E8 76000000 CALL 00933160 ;Unpack Routine
009330EA 83C4 08 ADD ESP,8
009330ED 59 POP ECX
009330EE 83F8 00 CMP EAX,0 ;Gab es einen Fehler beim Unpacken?
009330F1 74 1C JE 0093310F ;Wenn nicht, dann mache weiter
009330F3 C603 C2 MOV BYTE PTR DS:[EBX],0C2
009330F6 C643 01 0C MOV BYTE PTR DS:[EBX+1],0C
009330FA 85C9 TEST ECX,ECX
009330FC 74 09 JE 00933107
009330FE 61 POPAD
009330FF 5D POP EBP
00933100 B8 00000000 MOV EAX,0
00933105 EB 97 JMP {ModuleEntryPoint}
00933107 50 PUSH EAX
00933108 A1 29309300 MOV EAX,DWORD PTR DS:[933029]
0093310D FFD0 CALL EAX
0093310F 61 POPAD ;räume den Stack auf
00933110 5D POP EBP ; ""
00933111 EB 46 JMP 00933159 ;und springe
00933113 807C24 08 00 CMP BYTE PTR SS:[ESP+8],0
00933118 75 3F JNZ 00933159
0093311A 51 PUSH ECX
0093311B 8B4C24 04 MOV ECX,DWORD PTR SS:[ESP+4]
0093311F 890D 53319300 MOV DWORD PTR DS:[933153],ECX
00933125 B9 31319300 MOV ECX,00933131
0093312A 894C24 04 MOV DWORD PTR SS:[ESP+4],ECX
0093312E 59 POP ECX
0093312F EB 28 JMP 00933159
00933131 50 PUSH EAX
00933132 B8 2D309300 MOV EAX,0093302D
00933137 FF70 08 PUSH DWORD PTR DS:[EAX+8]
0093313A 8B40 0C MOV EAX,DWORD PTR DS:[EAX+C]
0093313D FFD0 CALL EAX
0093313F B8 2D309300 MOV EAX,0093302D
00933144 FF30 PUSH DWORD PTR DS:[EAX]
00933146 8B40 04 MOV EAX,DWORD PTR DS:[EAX+4]
00933149 FFD0 CALL EAX
0093314B 58 POP EAX
0093314C FF35 53319300 PUSH DWORD PTR DS:[933153]
00933152 C3 RETN
00933153 72 16 JB 0093316B
00933155 61 POPAD
00933156 1360 0D ADC ESP,DWORD PTR DS:[EAX+D]
00933159 E9 9388E2FF JMP 0075B9F1 ;zum OEP!!!
Also nichts neues seit Safedisc v2. Doch, es gibt eine kleine Veränderung: Wir können direkt einen bpx auf den Jump zum OEP setzen. Safedisc bemerkt diese nicht mehr (hey Jungs, ihr habt eure Protection VERSCHLECHTERT :D). Also :bpx #00933159 Vorsicht, bevor wir jetzt durchstarten, müssen wir das int3, dass wir an den EP gesetzt haben wieder in das ursprüngliche Byte zurückändern. :eb eip 55 Dann drücken wir F5, breaken, drücken einmal F8 und befinden uns nun am OEP. Eigentlich wäre alles gut, alle Sections sind entpackt und wir könnten dumpen wenn Safedisc uns nicht ein paar Steine in den Weg legen würde... Phear??? Hehe, let's fix dat... zuerst müssen wir uns um die gemangleten Imports kümmern Dass die Imports gemanglet sind, erkennt man ganz leicht, indem man sich die IAT (die sich am Anfang der .rdata Section befindet) anguckt. -filer/Mangled.IAT.gif)
Die RVA's zu den API Funktionen müssen rückwärts gelesen werden, d.h. die Adresse des ersten Imports auf dem Bild ist 77E53837. Diese gehört bei meinem OS zu Kernel32.RaiseException. Uns fällt sofort auf, dass die Kernel32 Imports alle nicht redirected sind, wir brauchen sie also nicht zu fixen. Leider erspart das uns absolut keine Arbeit... Alle Imports, die mit 0174/0175 anfangen, sind gemanglete Imports. Wir merken uns für unseren Imports-fix Code diese Range. Auch merken wir uns, in welchem Bereich der IAT diese gemangleten imports vorkommen. Bei mir sind das ca. die ersten 500h Bytes. Wie auch schon in meinem letzten Tut beschrieben, werden wir unseren Code im PE Header+500h assemblen (oder injecten, falls ihr lieber Code Snippet Creator oder Hiew verwenden wollt). Um die folgenden Schritte nachvollziehen zu können, rate ich jedem, in einige der redirecteten Calls hineinzutracen. Der entsprechende Call zum ersten redirecteten Import in der IAT (00783004) sieht so aus: -filer/Mangled.Call.gif)
Wenn wir in ihn hineintracen sehen wir folgendes: -filer/SDRoutine1.gif)
Der Safedisc Routine, die die gemangleten RVA's auflöst und den entsprechenden Import dann callt, werden 3 Parameter übergeben. 2 davon können wir auf dem Bild erkennen. Es sind die beiden Pushs (0174D582, 0174D58A). Der dritte wird durch den Stack "unsichtbar" mitgeliefert. Es ist dass Offset, an dem unser gemangleter Import gecallt wurde + 6, also das Offset nach dem "Call [00783004]". Das liegt daran, dass ein Call nichts anderes ist, als ein JMP und ein Push $Offset_von_JMP+6 in einem. Diese Tatsache macht es für uns notwendig, nicht nur die IAT (wie bei vielen Protections), sondern auch die Call [.ref]'s aus der .text Section zu fixen. Es ist nämlich so, dass nach dem Redirecten einige Imports für uns wie die selben aussehen, weil sie auf das gleiche Offset in der IAT pointen. Da die Safedisc Routine zum Imports auflösen jedoch dass Offset des Call [.ref]'s mit in ihre Berechnungen ein bezieht, werden unterschiedliche API Funktionen gecallt. Schauen wir uns die eigentliche Routine, die bei 6678D3BA beginnt, doch einmal an. Wenn wir oft genug durchtracen, bemerken wir, dass folgende 3 Stellen von Relevanz sind: -filer/SDRoutine2.gif)
Hier wird überprüft, ob die aktuell zu bearbeitende RVA schon einmal aufgelöst wurde. Ist das nicht der Fall, passieren wir den Jump und sie wird aufgelöst. Ansonsten wird die schon Vorhandene verwendet. Wir werden die Routine so patchen, dass unsere RVA's immer neu aufgelöst werden. Wir machen dazu also aus dem conditional einen unconditional Jump. Das gibt uns ein besseres Gefühl ;) -filer/SDRoutine3.gif)
Wie wir sehen, findet noch eine zweite Überprüfung statt, bevor die aktuelle RVA aufgelöst wird. (Auch hier werden wir patchen indem wir den Jump nopen). Anschließend werden DLLnr. und Funktionsnr. gepusht, die zuvor aus unseren 3 Parametern berechnet wurden und die RVA wird in dem abgebildeten Call aufgelöst. -filer/SDRoutine4.gif)
Diese Stelle ist für uns am interessantesten, weil es das Ende der Routine ist. Der Stack wird aufgeräumt und wenn wir über das RET tracen, befinden wir uns am anfang der korrekten API Funktion. Das heist, bevor wir über das RET tracen, ist der oberste dword auf dem Stack die korrekte RVA für unseren Import. Das werden wir uns in unserem Code zu nutze machen. Dazu assembeln wir am Offset 6678D6AB einen "Jump _ReturnNachSafedisc" Wir unterteilen unseren Code zum Imports fixen in 2 Teile. Der erste wird nötig, weil den Macrovision Programmierern der Trick mit dem 3. Parameter eingefallen ist. Wir werden also zuerst an einem nicht gebrauchten Ort eine temporäre gefixte IAT erstellen, in der keine Imports mehr gemanglet sind. Diese werden wir später über unsere aktuelle kopieren, die wir jetzt aber noch benötigen, um die .text Section zu fixen. Wir werden wir die gesamte Text Section nach Call [.ref]s durchsuchen, die auf gemanglete RVAs pointen und ihre Zieladdressen gemessen an den neuen relativen Adressen der temporären IAT korrigieren, sodass sie nach dem überschreiben der IAT den korrekten Import callen. Als ein geeigneter Ort zum erstellen der temp. IAT erscheint mir die Safedisc Loader Section. Wir schauen uns also nochmal die Sections an, um alle Werte für unseren Code zu haben _ReturnNachSafedisc: mov esp, dword ptr [ebp+0C] ;Räumt den Stack auf, wie die Funktionen popad ;am Ende der Safedisc Routine, die durch popfd ;den JMP gecrusht wurden. pop edx ;Speichert die korrekte RVA in edx cmp dword ptr [esp], 00400500 ;würden wir im Falle eines RETurns in dem jl _KorrigiereStack ;Bereich unseres Codes herauskommen? cmp dword ptr [esp], 00401000 ;Wenn nicht, dann korrigiere den Stack. ja _KorrigiereStack ;(das wird dadurch nötig, dass wir im 2. ret ;Teil unseres Codes einen zusätzlichen _KorrigiereStack: ;PUSH verwenden, um den Returnpoint zu add esp, 4 ;setzen) ret _CODEPART1: ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;; Erstellen einer temporären IAT ;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; mov ecx, 00782FFC ;IAT Anfang-4 mov ebx, 00932FFC ;Safedisc Loader Section-4 _Start: add ecx, 4 ;mache weiter mit der nächsten RVA add ebx, 4 ;erhöhe auch das Offset unserer temp. IAT cmp ecx, 00783500 ;haben wir schon 500h Bytes bearbeitet? ja _EndeBuildIAT mov edx, dword ptr [ecx] ;setze edx auf die RVA des aktuellen Imports cmp edx, 01740000 ;liegt die RVA in jl _BuildIAT cmp edx, 01760000 ;der Safedisc Range? ja _BuildIAT call edx ;wenn ja, calle den Import um die korrekte RVA zu erhalten _BuildIAT: mov dword ptr [ebx], edx ;Trage die korrekte RVA in die temp. IAT ein jmp _Start _EndeBuildIAT: jmp _CODEPART2 _CODEPART2: ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;; Fixen der Call [.ref]s ;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; mov eax, 00401000 ;Anfang der .text Section _SucheNachCallRefs: cmp word ptr [eax], 15FF ;Sind die ersten 2 Bytes der aktuellen Funktion FF15? je _CallRefGefunden ;Wenn ja, überprüfe den Call [.ref] _SucheNachCallRefsLoop: inc eax ;ansonsten mache weiter mit der nächsten Funktion cmp eax, 00782FFF ;Haben wir das Ender der .text Section erreicht? jne _SucheNachCallRefs jmp _AlleCallRefsGefixt ;Alle Call [.ref]s gefixt _CallRefGefunden: cmp dword ptr [eax+02], 00783000 ;Liegt das gelesene Offset in den jl _SucheNachCallRefsLoop cmp dword ptr [eax+02], 00783500 ;ersten 500h Bytes unserer IAT? ja _SucheNachCallRefsLoop _CheckobGemangleterCallRef: mov ecx, dword ptr [eax+02] ;Setze ecx auf das Offset des Imports in der IAT mov ecx, dword ptr [ecx] ;setze ecx auf die RVA des aktuellen Imports cmp ecx, 01740000 ;liegt die RVA in jl _SucheNachCallRefsLoop cmp ecx, 01760000 ;der Safedisc Range? ja _SucheNachCallRefsLoop Push _FixCallRefReturnPoint ;wenn ja, setze unseren Return Point add eax, 6 ;Berechne den 3. Parameter (Call [.ref] Offset+6) push eax ;Und pushe ihn sub eax, 6 ;setzte eax wieder auf den Anfang des Call [.ref]s jmp ecx ;und führe die SD Routine aus, um die korrekte RVA zu erhalten _FixCallRefReturnPoint: mov ebx, 00933000 ;setze ebx auf den Anfang der temp. IAT _FixCallRefLoop: cmp dword ptr [ebx], edx ;Suche die aktuelle RVA in der temp. IAT je _FixCallRef add ebx, 4 ;überprüfe nachsten Import in der temp. IAT cmp ebx, 00933500 ;haben wir das Ende der temp. IAT erreicht? jl _FixCallRefLoop ;wenn nicht, mache weiter jmp eip ;Sonst übergebe uns die Kontrolle zur Fehlersuche _FixCallRef: sub ebx, 00933000 ;Setze ebx auf das relative Offset, gemessen am IAT Anfang add ebx, 00783000 ;und auf das zukünftige Offset wenn die temp. IAT an die richtige Stelle kopiert wurde mov dword ptr [eax+02], ebx ;und update den Call [.ref] mit dem neuen Offset des Imports jmp _SucheNachCallRefsLoop _AlleCallRefsGefixt: jmp _CODEPART3 Leider wurden die Imports nicht nur auf diese Art und Weise redirected. Es gibt noch eine Zweite. Es existieren Longjumps, die einmal Call [.ref]s gewesen sind, die nun auf die stx774 Section pointen. Theoretisch hätten es auch einmal Calls zu Jumptables gewesen sein können, das ist bei NFSU2 aber nicht der Fall. Das sehen wir ganz leicht daran, dass das Byte nach dem Jump immer ein Junk Byte ist. Das liegt daran, dass der ursprünglich an dieser Stelle stehende Call [.ref] ein Byte länger ist als der Jump. Die durch den Jump aufgerufene Safedisc Routine überspringt dieses Byte immer. Ein Beispiel für so einen Long Jump: -filer/Redirected.Jump.gif)
Wir sehen, dass der Befehl nach den Jump keinen Sinn macht. Eigentlich müsste er so aussehen: -filer/Junkbyte.gif)
Wenn wir in einen redirecteten Long Jump reintracen, befinden wir uns nur für eine kurze zeit in der stx774 Section, nach einem RET kommen wir hier heraus: -filer/Loese.redirected.Jump.auf.gif)
Diese Routine macht also fast das gleiche wie die der Call [.ref]s, mit dem kleinen Unterschied, dass der 3. Parameter manuell gepusht wird, da kein Call stattfindet. Danach wird unsere RVA Auflös Routine gecallt, die wir bereits gepatched haben. Wir assembeln also weiter: _CODEPART3: ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;; Fixen der redirecteten Jumps ;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; mov eax, 00401000 ;Anfang der .text Section _SucheNachLongJumps: cmp byte ptr [eax], E9 ;haben wir es möglicherweise mit einem Long Jump zu tun? je _JumpGefunden _SucheNachLongJumpsLoop: inc eax ;Überprüfe das nächste Byte cmp eax, 00782FFF ;Haben wir das Ende erreicht? jne _SucheNachLongJumps jmp _CODEPART4 ;Fixen der redirecteten internen Calls _JumpGefunden: mov ecx, dword ptr [eax+01] ;Setze ecx auf den dword Wert des Abstandes add ecx, eax ;Addiere ihn mit dem aktuellen Offset add ecx, 00000005 ;und mit der länge des Jumps == Ziel Offset cmp ecx, 00930000 ;Ist das Ziel Offset in jl _SucheNachLongJumpsLoop cmp ecx, 00933000 ;der stx774 Section? jnb _SucheNachLongJumpsLoop push _LongJumpFixReturnPoint ;Wenn ja, setze unseren Return Point jmp ecx ;und berechne die korrekte RVA für unseren Import _LongJumpFixReturnPoint: mov ebx, 00933000 ;setze ebx auf den Anfang unserer temp. IAT _LongJumpFixLoop: cmp dword ptr [ebx], edx ;und durchsuche sie nach unserer aktuellen RVA je _LongJumpFix ;gefunden, dann springe add ebx, 00000004 ;sonst überprüfe den nächsten dword cmp ebx, 00933500 ;haben wir das Ende erreicht? jl _LongJumpFixLoop ;wenn nicht, mache weiter jmp eip ;Endlos-Loop, manuelle Fehlerbehebung _LongJumpFix: sub ebx, 00933000 ;Setzt ebx auf das relative Offset, gemessen am IAT Anfang add ebx, 00783000 ;und auf das zukünftige Offset wenn die temp. IAT an die richtige Stelle kopiert wurde _LongJumpIstCallRef: mov word ptr [eax], 15FF ;verwandle den Long Jump in einen Call [.ref] mov dword ptr [eax+02], ebx ;mit dem passenden Offset unserer temp. IAT jmp _SucheNachLongJumpsLoop ;und suche nach dem nächsten Long Jump Puh, so viel also zu dem altbekannten. Wir können jetzt die alte mit der neuen IAT überschreiben. :m 00933000 L 500 00783000 Dennoch, vom Safediscfreien Zocken sind wir noch weit entfernt, denn Safedisc hat noch 2 neue Techniken, unseren Dump vom Laufen abzuhalten. Falls ihr in SI assemblet habt, solltet ihr euren Code sichern: :!dump \??\C:\nfsu2.patch.dat 00400500 500 um ihn beim erneuten starten des Games nicht wieder von neuem assembeln müsst, sondern ihn mit :!loadfile \??\C:\nfsu2.patch.dat 00400500 wieder laden könnt. Wurde der Code mit einem Hex Editor eingefügt, entfällt das natürlich ;) | ||||||||||||||
Der nächste offensichtliche Versuch von Safedisc,
uns das Leben schwer zu machen sind die Stolen Bytes, die alle durch
CC, also int3 Opcodes ersetzt wurden. Wenn wir in SI
einen _CODEPART4: ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;; Fixen der redirecteten Calls ;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; mov eax, 00401000 _SucheNachCalls: cmp byte ptr [eax], E8 ;Haben wir es vielleicht mit einem Call zu tun? je _CallGefunden _SucheNachCallsLoop: inc eax ;Überprüfe das nächste Byte cmp eax, 00782FFF ;Haben wir das Ende erreicht? jl _SucheNachCalls jmp _CODEPART5 ;Springe zum letzten Code von uns :) _CallGefunden: mov ebx, dword ptr [eax+01] ;Setzte ebx auf die Länge des Calls add ebx, eax ;Addiere sie mit dem Offset add ebx, 00000005 ;Und mit der Anzahl der Bytes, die der Call hat cmp ebx, 00401089 ;haben wir es mit einem "Call 00401089" zu tun? jne _SucheNachCallsLoop call eax ;wenn ja, dann calle ihn und lasse ihn ersetzen jmp _SucheNachCallsLoop Um jetzt den korrekten Wert für unsere Stack korrektur zu haben, sollten wir den ganzen Code einmal tracen, bis wir zu der Stelle kommen, an der er gesichert wird: -filer/Stack.Korrektur.gif)
Wir durchlaufen also das "push esp, pushfd, pushad" und schauen, welchen Wert esp nun hat. Aha, 0012FF90. Jetzt haben wir alles was wir brauchen. _ReturnPointInternCall: mov esp, 0012FF90 ;wir wollen, dass alle Register den Selben popad ;Inhalt haben, wie bei unserer Sicherung popfd ;als der Stack auf 0012FF90 stand pop esp mov esp, 0012FFC0 ;Jetzt müssen wir ihn nur noch so einstellen, dass ret ;er unsere korrekte RETurn Adresse beinhaltet Das "mov esp, 0012FFC0" könnte eigentlich auch ein "add esp, 4" oder "add esp, 8" sein, das ist von Call zu Call unterschiedlich. Deswegen habe ich mich für die sicherere Variante entschieden. Alles gefixt? Gut, dann können wir jetzt erstmal dumpen. Einmal machen wir mit Procdump einen Full Dump mit allen PE Rebuilding Optionen und OHNE Import rebuilding. Das kommt noch. Dazu machen wir auch noch einen Dump nur von der .text Section: :!dump \??\C:\nfsu2.text.section.fixed.dat 00401000 00382000 Jetzt werden wir etwas DESTRUCTIVE... | ||||||||||||||
Diesmal werden wir wirklich die stolen Bytes
recovern. Theoretisch könnten wir dazu einfach 24 Stunden
dauerzocken. Das würde zwar ne Menge Spass machen, allerdings wäre
das nicht 100% sicher und es würde vielleicht erst zu spät
auffallen, wenn einige Bytes noch nicht da wären. _CODEPART5: ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;; Recovern der stolen Bytes ;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; mov esi, 00933000 ;Setze esi auf eine Adresse mit Schreibrechten mov eax, 00401000 ;Anfang der .text Section _SucheNachInt3sUndCallRefs: cmp byte ptr [eax], CC ;Ist die aktuelle Funktion ein Int3? je _Int3Gefunden cmp word ptr [eax], 15FF ;oder ein Call [.ref]? je _CODEPART5CallRefGefunden _UeberschreibeByte: mov byte ptr [eax], C3 ;ansonsten überschreibe sie inc eax ;und mache mit dem nächsten Byte weiter cmp eax, 00782FFF ;sind wir fertig? jl _SucheNachInt3sUndCallRefs jmp _SucheNach3erBlockInt3s: _Int3Gefunden: cmp word ptr [eax+04], 90CC ;Haben wir es mit einem Macrovision Trick zu tun? je _MacrovisionTrickGefunden inc eax ;Sonst überschreibe das aktuelle Byte nicht und mache weiter jmp _SucheNachInt3sUndCallRefs _MacrovisionTrickGefunden: mov dword ptr [eax], 90909090 ;NOPe den Macrovision Trick mov byte ptr [eax+04], 90 ;" add eax, 00000006 ;überprüfe die nächste Funktion jmp _SucheNachInt3sUndCallRefs _CODEPART5CallRefGefunden: cmp dword ptr [eax+02], 00783000 ;ließt unser potentieller Call [.ref] jl _UeberschreibeByte cmp dword ptr [eax+02], 00784000 ;eine Adresse aus unserer IAT? ja _UeberschreibeByte ;wenn nicht, überschreibe ihn add eax, 00000006 ;sonst spare ihn aus jmp _SucheNachInt3sUndCallRefs _SucheNach3erBlockInt3s: mov eax, 00401000 ;Anfang der .text Section _SucheNach3erBlockInt3sLoop: cmp word ptr [eax], CCCC ;befinden sich am aktuellen Offset 2 Int3s? je _2Int3sGefunden _NaechstesInt3: inc eax ;Sonst erhöhe das Offset cmp eax, 00782FFF ;Ende? jl _SucheNach3erBlockInt3sLoop jmp eip ;Loop, jetzt sollten wir die .text Section dumpen (nfsu2.stolen.bytes.not.recovered.dat) jmp _SucheNachInt3s ;und mit dem letzten Teil fortfahren :) _2Int3sGefunden: cmp byte ptr [eax+02], CC ;Ist das 3. Byte auch ein Int3? jne _NaechstesInt3 ;Wenn nicht, suche weiter cmp byte ptr [eax+03], C3 ;Ist es das letzte oder folgen noch welche? jne _NaechstesInt3 ;Wenn nicht das letzt, suche weiter cmp byte ptr [eax-01], CC ;Sind noch Int3s vor dem Überprüften? je _NaechstesInt3 ;Wenn ja, suche weiter add eax, 00000003 ;setze eax auf das Offset nach den Int3s. mov ebx, eax ;setze abx auf den Wert von eax add ebx, 00000005 ;addiere die Long Jump Länge dazu sub ebx, _CorrectStack ;und ziehe das Ziel Offset ab imul ebx, FFFFFFFF ;Wir wollen zurück springen, also müssen wir das ganze mal (-1) nehmen mov byte ptr [eax], E9 ;Setze den Opcode für einen Long Jump mov dword ptr [eax+01], ebx ;Und die passende Länge des Jumps jmp _NaechstesInt3 _CorrectStack: cmp word ptr [eax], C483 ;Waren die 3 stolen Bytes ein "add esp, XX" jne _MussNichtKorrigiertWerden movzx ebx, byte ptr [eax+02] ;setze ebx auf das "XX" sub esp, ebx ;und ziehe diesen Wert wieder vom Stack ab _MussNichtKorrigiertWerden: ret ;Kehre zurück _SucheNachInt3s: mov eax, 00401000 ;Anfang der .text Section _SucheNachInt3sLoop: cmp word ptr [eax], CCCC ;sind die aktuellen 2 Bytes potentiell stolen? je _TesteInt3 ;wenn ja, teste sie inc eax ;sonst überprüfe die nächsten cmp eax, 00782FFF ;Haben wir das Ende der .text Section erreicht? jl _SucheNachInt3sLoop: jmp eip ;Endlos-Loop, Wir haben es GESCHAFFT!!! _TesteInt3: mov ebx, eax ;setze ebx auf den Wert von eax sub ebx, 0000002C ;und ziehe die maximal zulässige Entfernung zu einem Call [.ref] davon ab _TesteInt3Loop: cmp word ptr [ebx], 15FF ;Liegt ein Call [.ref] im aktuellen Abstand zum Int3 je _CalleInt3 inc ebx ;wenn nicht, verringere den Abstand cmp ebx, eax ;haben wir den gesamten maximal zulässigen Abstand untersucht? jne _TesteInt3Loop ;Wenn nicht, mache weiter add eax, 00000002 ;Sonst calle das aktuelle Int3 nicht jmp _SucheNachInt3sLoop ;und suche nach weiteren _CalleInt3: pushad ;Sichere alle Register pushfd ;und den Stack call eax ;Calle das Int3 offset, um die stolen Bytes zu recovern popfd ;Stelle den Stack popad ;und alle Register wieder her cmp word ptr [eax], CCCC ;Sind die stolen Bytes recovered worde? je _CalleInt3 ;wenn nicht, calle sie noch einmal add eax, 00000002 ;Sonst suche die nächsten jmp _SucheNachInt3sLoop Phew... das war's fast. Beim Durchlaufen der Routine sollten wir trotzdem vorsichtshalber einen Breakpoint auf den NT Exception Dispatcher setzen, der aufgerufen wird, wenn wir versuchen ein stolen Byte zu recovern, das gar kein stolen Byte ist. :bpx KiUserExceptionDispatcher Zack, siehe da, wenn wir unseren Code laufen lassen, breaken wir irgendwann bei KiUserExceptionDispatcher. Wenn wir jetzt :u eax drücken sehen wir, dass es sich eigentlich laut unseren Kriterien um stolen Bytes handleln müsste. Kurz über den int3s ist ein Call zu Kernel32.CreateMutexA. Des Rätsels Lösung ist, dass es ab einem bestimmten Offset keine stolen Bytes mehr gibt. Bei NFSU2 ist das ca. 00730000. Es ist nun also schon alles gefixed. Alles was wir in SI noch machen müssen, ist die Section zu dumpen. :!dump \??\C:\nfsu2.stolen.bytes.recovered.dat 00401000 00382000 Wir können SI jetzt beenden. Stattdessen öffnen wir Code Fusion und erstellen ein neues Projekt. Als File, welches gepatcht werden soll, geben wir "Any File" an, indem wir auf den entsprechenden Button klicken. Bei "Data to patch" wählen wir "File Compare aus" und stellen die Optionen wie folgt ein: -filer/File.Compare.jpg)
Als Originales File geben wir unsere .text Section an, die nach dem überschreiben mit C3 Bytes gedumpt wurde. Als gepatchtes File geben wir unsere .text Section an, bei der wir die stolen Bytes recovered haben. Bei "Save Original Data in project" entfernen wir den Haken. So erreichen wir, dass wir unsere gefixte .rdata Section (Imports/Interne Calls) mit dem erstellten Patch updaten können. Klicken wir also auf Compare und wir erhalten eine nette Liste von Unterschieden, mit denen wir jetzt den Patch "Int3fix.exe" erstellen können. Diese exe rufen wir auch sofort auf und geben als Target File unsere gefixte .text Section an (nfsu2.text.section.fixed.dat). Wenn das File upgedatet ist dürfen wir es guten Gewissens "nfsu2.text.section.fully.fixed.dat" nennen :) | ||||||||||||||
Wir öfnnen nun also unseren weiter oben erstellten
Full Dump im Hex Workshop, begeben uns ans Offset 1000, wählen
Edit=>Select Block und geben als Wert "00381821" (Raw Size der
.text Section) an. Wir können jetzt getrost entf drücken um die
gesamte Section zu löschen. | ||||||||||||||
So, ein langes Tutorial geht zu Ende. Ich hoffe
euch hat das Lesen Spaß gemacht und ihr habt etwas
gelernt. | ||||||||||||||
| Hast Du noch Fragen oder Probleme mit dem
Tutorial? Zögere nicht mir eine EMail zu schicken, ich werde
versuchen zu helfen: Contact Besuch uns wieder unter http://cip.myz.info/ oder unser Board: http://board.cip.myz.info/ | ||||||||||||||
-filer/Sections.jpg)
-filer/writable.jpg)
-filer/Stolen.Bytes.gif)
-filer/NTOSKRNL.Ende.gif)
-filer/Stolen.Bytes.recovered.gif)
-filer/Redirected.Intern.Call.gif)
-filer/Redirected.Intern.Call.Ende1.gif)
-filer/Redirected.Intern.Call.Ende2.gif)
-filer/Redirected.Intern.Call.Ende3.gif)
-filer/Redirected.Intern.Call.aufgeloest.gif)
-filer/Redirected.Intern.Patch.hier.gif)
-filer/Falsche.int3s.gif)
-filer/Falsche.int3s2.gif)
-filer/Macrovision.Trick.gif)