elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  ASM (Moderador: Eternal Idol)
| | | |-+  [Tuto]Inyección DLL – Full API
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Tuto]Inyección DLL – Full API  (Leído 5,874 veces)
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
[Tuto]Inyección DLL – Full API
« en: 28 Enero 2010, 17:44 pm »

[Tuto]Inyección DLL – Full API



Objetivo: Inyección DLL para el Buscaminas
Dificultad: Intermedio
Herramientas: RadASM, OllyDBG
Cracker: Nox
Fecha: 27/01/2010

Este tutorial tiene finestotalmente didácticos. No me responsabilizo por cómo se pueda utilizar elmismo.

IMPORTANTE: Cualquiertipo de error que encuentren en el tutorial, posteenlo. De esta maneraaprendemos todos.
IMPORTANTE: Se usarael IDE RadASM + MASM

Introducción:
Hola, bueno me anime a dareste tutorial para seguir la alineación de los tutoriales de vladek, [Tutorial]Iniciándomeen el hacking mediante inyección de DLL - Con ejercicio!
[/color]
, [TutorialC++] Lectura/Escritura de detos de una aplicación (externa) | Con ejercicio.

Siven el tiempo del post se darán cuenta que a pasado mucho tiempo y que no hizomas tutoriales a pesar de que dijo que si, conversando con el después de muchosmeses encontrado en línea me dijo que no haría mas tutoriales por motivo de su trabajo y de suestudio que ocupan todo su tiempo.

Citar
En que se llegue a hacer deforma estática.
Así es, el próximo tutorial será sobre eso.
Deberemos usar Offsets y buscar Punteros.
PD: En este tutorial no usamos un puntero, usamos una dirección de memoria.
Esa dirección de memoria tenía de valor "numero" (lo que valiera elnumero)
Los punteros tienen como valor una dirección de memoria.
No los confundas, sino luego se complica
Un saludo.   :P

Decidí seguir con el curso de sus tutoriales, pero antes de llegar a lo citado quiero volver a hacer untutorial de Inyección DLL, usando únicamente APIs.
Creo que los estoyaburriendo así que vamos al rollo.

Conocimientos previosbásicos requeridos:

Conocimiento Básico en ASM.
Conocimiento en Utilización del OllyDBG.

Software necesario:
OllyDBG

Buscaminas
RadASM+ MASM
Inyector

Comencemos:
1) Abriendo el Buscaminas
Un simple Juego deMicrosoft.

2) Abriendo el OllyDBG

3) A la Acción
Abierto el Buscaminas, enese momento vamos a el OllyDBG File>Attach>WinMine
Damos F9 (RUN)
Comencemos a jugar, ahoranos vamos a Memoria en la sección .data hacemos click derecho y ponemos un BPM on Write



¿Por que hacemos eso?
Aquí no tenemos ningún chico malo (Cartelito) por donde atacar, examines el juego… el tiempo corre :O, entonces ¿Dónde se almacena el tiempo?, ¡En la Memoria!, Ahora ya tenemos un sitio en donde atacar, así que nos dirigimos a ella Alt + M y en los módulos nos dice winmine (Lo vemos en la figura Anterior). Vemos esas partes y vemos diferentes secciones (Lo vemos en la figura Anterior), .text, .data, .rsrc, entro otros la mas importante que nosotros usaremos es la .data es en esta sección donde la mayoría de juegos guardan sus datos y es por aquí donde podemos empezar atacar.
Ponemos nuestro BPM on Write para que cuando quieran escribir en memoria pare.

4) Encontrando Addys
Nos dirigimos al disassembler y vemos que paro  



El OllyDBG nos muestra porque Memory Breakpoint When Writing to [0100579C], si recordemos nuestro BPM on Write, donde estamos:

01002FF5   FF05 9C570001    INC DWORD PTR DS:[100579C],
Bueno ahora nos vamos al DUMP Ctrl + G y escribimos esa dirección 100579C
Para ver que hay en esa dirección



Yo lo hago con la ayuda del OllyDBG, nos muestra DS[0100579C]=00000007
Y si vemos el Buscaminas el contador esta en 7, así que ya tenemos la dirección de nuestro contador creo que a todos se nos ocurre nopear esa sección y así nunca mas correrá el tiempo hagámoslo.
Ahora juguemos una partida, removemos el BPM on Write :S vemos que se queda en 1, pero nosotros queremos 0, bueno pues sabemos que en 100579C nos muestra el contador.
Para remover el BPM on Write hacemos,Click derecho BreackPoint >Remove memory BreakPoint
F9 (RUN)

Le Damos a la Carita, para empezar un nuevo juego, nos dirigimos al Dump Ctrl + G escribimos la direccion 100579C  y en el Byte donde veíamos el cambio le ponemos un Breakpoint > Hardware, on write > Byte, justo en el Byte de nuestro contador, en la direccion ya mencionada.


Ahora jugamos y vemos que para en la siguiente dirección 01003830, así que ya tenemos las dos direcciones donde debemos de nopear.

5) Estructura de una DLL:

Cito RVLCN:

.386
.model flat,stdcall
option casemap:none
include windows.inc
include user32.inc
include kernel32.inc
includelib user32.lib
includelib kernel32.lib
.data
.code
Punto_de_Inicio proc hInstance: DWORD, reason:DWORD, rsrvd1:DWORD
mov eax,TRUE
ret
Punto_de_Inicio Endp
// Aquí se programara las funciones.
End Punto_de_Inicio
La estructura de la DLL es similar a un ejecutable, pero hay una diferencia, se
trata de que toda librería necesite un punto de inicio o de entrada como lo dicen
algunos, Es necesario darle un valor EAX como por ejemplo si es TRUE
queremos decir que la DLL se ha cargado correctamente y si pusié ramos
FALSE a EAX estaremos diciendo que se cargo incorrectamente.
Otra cosa que observamos es que la función Punto_de_Inicio tiene 3
parámetros:
hInstance.- Aquí encontramos el manejador de nuestra DLL (handle).
reason.- Este parámetro puede tomar 4 valores segú n la dirección del proceso:
DLL_PROCESS_ATTACH.- Se recibe este valor cuando se carga la librería en el proceso.
DLL_PROCESS_DETACH.- Se recibe este valor cuando se descarga la librería en el proceso.
DLL_THREAD_ATTACH.- Se recibe este valor cuando se crea un hilo de proceso.
DLL_THREAD_DETACH.- Se recibe este valor cuando se ha destruido el hilo del proceso.
rsrvd1.- Parámetro utilizado por windows, normalmente no se utiliza.

6) Creando nuestra DLL

Nos dirigimos al RadASM,  >Archivo>Nuevo Projecto>masm>Dll Project>None>
Elejimos las opciones ASM, Def, Back>Siguiente>Finalizar

Código
  1. .386
  2. .model flat, stdcall
  3. option casemap :none
  4.  
  5.      include \masm32\include\windows.inc
  6.      include \masm32\include\masm32.inc
  7.      include \masm32\include\user32.inc
  8.      include \masm32\include\kernel32.inc
  9.      include \masm32\macros\macros.asm
  10.      includelib \masm32\lib\masm32.lib
  11.      includelib \masm32\lib\user32.lib
  12.      includelib \masm32\lib\kernel32.lib
  13.  
  14. .data
  15.  
  16. Mensaje db "Inyeccion Completa",0
  17. Titulo db "Programado by Nox"
  18. OldBytes     db 6 dup(0) ; Esto crea 6 bites en la memoria con 0
  19. Patch db 6 dup(90h) ; Esto crea 6 bytes en la memoria con NOP
  20. ;NameW db "Buscaminas",0
  21.  
  22. .data?
  23. ;bmhwnd dd ? ; hWnd del Buscaminas
  24. ProcessId dd ? ; PID del Buscaminas
  25. hProcess dd ? ; Handler del proceso del Buscaminas
  26. OldProtect dd ? ; Protector antiguo del proceso del buscaminas
  27.  
  28. PatchWMine PROTO
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36. .code
  37. ;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««
  38. DllMain proc hInstance:HINSTANCE, dwReason:dword, lpvReserved:LPVOID
  39.  
  40. .IF dwReason == DLL_PROCESS_ATTACH
  41.  
  42. invoke MessageBox, NULL,addr Mensaje, addr Titulo,MB_OK + MB_ICONINFORMATION
  43. invoke CreateThread, NULL, NULL, addr PatchWMine, NULL, NULL, NULL
  44.  
  45. .ELSEIF dwReason == DLL_PROCESS_DETACH
  46. invoke ExitProcess, NULL
  47.  
  48. .ENDIF
  49.  
  50. ret
  51.  
  52. DllMain endp
  53.  
  54. ;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««
  55. PatchWMine proc
  56.  
  57.  
  58. ;invoke FindWindow,NULL,offset NameW ; Busca la ventana del Buscaminas
  59. ;mov bmhwnd,eax
  60. invoke GetCurrentProcessId
  61. mov ProcessId,eax ; Obtenemos el PID
  62. ;invoke GetWindowThreadProcessId,bmhwnd,offset ProcessId ; Busca el PID de esa ventana
  63. invoke OpenProcess,PROCESS_ALL_ACCESS,FALSE,ProcessId ; Y con ese PID abre el proceso
  64. mov hProcess,eax
  65.  
  66. invoke VirtualProtectEx,hProcess,01002FF5h,6,PAGE_EXECUTE_READWRITE,offset OldProtect
  67. invoke VirtualProtectEx,hProcess,01003830h,6,PAGE_EXECUTE_READWRITE,offset OldProtect
  68. ;Si Queremos Restablecer los Datos Usamos ReadProcessMemory, para guardarlo
  69. ;en una variable y d hay restablecerlo :
  70. ;invoke ReadProcessMemory,hProcess,01002FF5h,addr OldBytes,6,NULL
  71. invoke WriteProcessMemory,hProcess,01002FF5h,addr Patch,6,NULL ;
  72. invoke WriteProcessMemory,hProcess,01003830h,addr Patch,6,NULL ;  
  73.  
  74. ret
  75.  
  76. PatchWMine endp
  77. ;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««
  78. END DllMain

Bueno si ustedes comparan este code con el [Tutorial C++] Lectura/Escritura de detos de una aplicación (externa) | Con ejercicio.

Se usa las siguientes apis:

Cito:

Usé FindWindow para encontrar el handle de la ventana.
Luego GetWindowThreadProcessId para obtener el id del proceso.
Luego OpenProcess para obtener el handle del proceso.

Ahora nosotros no necesariamente necesitariamos el HWND, si no usar  HANDLE, asi que nos evitamos de usar FindWindow y GetWindowThreadProcessId, que al inyectarnos en su proceso podremos usar una API mas exacta en este caso, GetCurrentProccesId que nos devuelve el PID, la misma funcion que hace la API GetWindowThreadProcessId, y sin usar FindWindow.

Un Handle es una referencia a un objeto, la diferencia que queria marcar es que normalmente un HANDLE es local (el HANDLE 0x10 puede ser un archivo o un evento al mismo tiempo en diferentes procesos) y un HWND es global (la ventana 0x2030 es identificada de tal manera en todo el S.O.), por lo que, yo al menos, lo relaciono mas bien con un identificador.

Si, HWND (Handle Window) es para ventanas; igual para las aplicaciones no son mas que numeros enteros (DWORDs en x86), los tipos se usan para mejorar la comprension del codigo.

a) Explicación de las APIs Usadas
GetCurrentProcessId

La función GetCurrentProcessId devuelve el identificador de proceso del proceso de llamada.

DWORD GetCurrentProcessId(VOID)  

Parameters

This function has no parameters.

;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««


The OpenProcess function returns a handle of an existing process object.

HANDLE OpenProcess(

    DWORD dwDesiredAccess,   // Acceso al Flag
    BOOL bInheritHandle,   // Manejo del Handle  flag
    DWORD dwProcessId    // process identifier
   );   
 


Parameters

dwDesiredAccess

Especifica el acceso al objeto del proceso. Para los sistemas operativos que el control de seguridad de apoyo, este acceso está marcada en contra de cualquier descriptor de seguridad para el proceso de destino. Cualquier combinación de las banderas de acceso siguiente se puede especificar, además de las banderas de acceso STANDARD_RIGHTS_REQUIRED:

Access            Description
PROCESS_ALL_ACCESS   Especifica todas las banderas de acceso posible para el objeto del proceso.


;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««

La función de los cambios VirtualProtectEx la protección de acceso en una región depáginas cometidos en el espacio de direcciones virtuales de un proceso determinado. Tenga en cuenta que esta función difiere de VirtualProtect, que cambia la protección de acceso en el proceso de llamada solamente.

BOOL VirtualProtectEx(

    HANDLE hProcess,   // handle del proceso
    LPVOID lpAddress,   // address of region of committed pages
    DWORD dwSize,   // size of region
    DWORD flNewProtect,   // desired access protection
    PDWORD lpflOldProtect    // address of variable to get old protection  
   );

Parameters

flNewProtect

PAGE_EXECUTE_READWRITE   

Permite ejecutar, leer, y escribir el acceso a la región.   

;«««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««
La función de WriteProcessMemory escribe en memoria en un proceso determinado. Toda la zona que se  escriba debe ser accesible, o la operación fracasara.
BOOL WriteProcessMemory(

    HANDLE hProcess,   // handle del proceso cuyo proceso se escribe en
    LPVOID lpBaseAddress,   // address para empezar a escribir a
    LPVOID lpBuffer,   // puntero al  buffer para escribir data to
    DWORD nSize,   // number of bytes to write
    LPDWORD lpNumberOfBytesWritten    // actual number of bytes written
   );   
7) Finalizando

Bueno solo compilemos, e inyectemos


Funciona Perfecto, Hasta el Proximo Tutorial

Descargar Tuto.Doc
Descargar Proyecto

Pd: Cualquier duda, Posteenlo así nos ayudaremos todos :D
Pd2: Si alguien tiene info sobre DMA y Estáticas, me seria de mucha ayuda que pusieran el link aqui ?, necesito aclarar dudas para el próximo tutorial


« Última modificación: 5 Febrero 2010, 23:23 pm por NoxOner » En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Amerikano|Cls


Desconectado Desconectado

Mensajes: 789


[Beyond This Life]


Ver Perfil WWW
Re: [Tuto]Inyección DLL – Full API
« Respuesta #1 en: 28 Enero 2010, 20:45 pm »

Muy bueno que compartas este tipo de info. Sigue asi ;-)


En línea





Mi blog:
http://amerikanocls.blogspot.com
YST


Desconectado Desconectado

Mensajes: 965


I'm you


Ver Perfil WWW
Re: [Tuto]Inyección DLL – Full API
« Respuesta #2 en: 30 Enero 2010, 00:32 am »

Felicitaciones muy bueno :P
En línea



Yo le enseñe a Kayser a usar objetos en ASM
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [Tuto]Inyección DLL – Full API
« Respuesta #3 en: 30 Enero 2010, 00:46 am »

Me gustó  :).

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: [Tuto]Inyección DLL – Full API
« Respuesta #4 en: 30 Enero 2010, 21:01 pm »

me da gusto que les guste, el tuto.... a personas que mas saben del tema :) xD

:)
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Tuto Instalar virtual DJ 7 Full + complementos
Multimedia
ThonyMaster 0 1,267 Último mensaje 7 Septiembre 2012, 16:00 pm
por ThonyMaster
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines