🎡 🦋 🈹 एंबेडिंग कोड और पायरेटेड सॉफ्टवेयर का खतरा 🧜🏿 🍱 🌾

इस बारे में कि आप कोड अनुभाग में jmp के बिना कोड को कैसे एम्बेड कर सकते हैं और यदि आप असंतुष्ट कोड का पूरी तरह से अध्ययन नहीं करते हैं तो अदृश्य बने रहेंगे। बिल्ली के नीचे, कौन परवाह करता है।

मैं लिनक्स के लिए एक सी disassembler विकसित कर रहा हूं। अपने बारे में, मैं यह नहीं कहूंगा कि मैं एक पेशेवर प्रोग्रामर हूं। मैं एक प्रोग्रामर के रूप में काम नहीं करता हूं, लेकिन जो मैंने सीखा है वह या तो किताबें पढ़ रहा है, या इसे स्वयं आविष्कार कर रहा है, या अन्य कार्यक्रमों के स्रोत कोड का अध्ययन कर रहा है। इसलिए, यदि कोड आपको बचकाना लगता है, तो कसम न खाएं।

शुरू करने के लिए, मैंने एक डिस्सेम्बलर बनाया और मेरा कोड अब इस तरह दिखता है, अर्थात्, एक बाइट को पढ़ा जाता है और वांछित फ़ंक्शन को पास किया जाता है।

void disasm_intel ( unsigned char *ptr, int size, int byte_order, int show ) { show_asm = show; virt = global_virt_text; unsigned char *start = ptr; start_op = ptr; for ( int index = 0; index < size; index++ ) { if ( show_asm == TRUE ) printf ( "%lx: ", virt ); switch ( *ptr ) { case 0x30: intel_opcode_1_0x30 ( &ptr, &index, byte_order ); break; case 0x31: intel_opcode_1_0x31 ( &ptr, &index, byte_order ); break; case 0x66: intel_opcode_1_0x66 ( &ptr, &index, byte_order ); break; case 0x67: intel_opcode_1_0x67 ( &ptr, &index, byte_order ); break; case 0x83: intel_opcode_1_0x83 ( &ptr, &index, byte_order ); break; case 0x88: intel_opcode_1_0x88 ( &ptr, &index, byte_order ); break; // mov register to register byte case 0x89: intel_opcode_1_0x89 ( &ptr, &index, byte_order ); break; case 0x8a: intel_opcode_1_0x8a ( &ptr, &index, byte_order ); break; case 0x8b: intel_opcode_1_0x8b ( &ptr, &index, byte_order ); break; // mov esp, %x : mov ebp, %x case 0x8d: intel_opcode_1_0x8d ( &ptr, &index, byte_order ); break; // lea case 0xb0: intel_opcode_1_0xb0 ( &ptr, &index ); break; // mov al, %x case 0xb1: intel_opcode_1_0xb1 ( &ptr, &index ); break; // mov cl, %x case 0xb2: intel_opcode_1_0xb2 ( &ptr, &index ); break; // mov dl, %x case 0xb3: intel_opcode_1_0xb3 ( &ptr, &index ); break; // mov bl, %x case 0xb4: intel_opcode_1_0xb4 ( &ptr, &index ); break; // mov ah, %x case 0xb5: intel_opcode_1_0xb5 ( &ptr, &index ); break; // mov ch, %x case 0xb6: intel_opcode_1_0xb6 ( &ptr, &index ); break; // mov dh, %x case 0xb7: intel_opcode_1_0xb7 ( &ptr, &index ); break; // mov bh, %x case 0xb8: intel_opcode_1_0xb8 ( &ptr, &index, byte_order ); break; // mov eax, %x case 0xb9: intel_opcode_1_0xb9 ( &ptr, &index, byte_order ); break; // mov ecx, %x case 0xba: intel_opcode_1_0xba ( &ptr, &index, byte_order ); break; // mov edx, %x case 0xbb: intel_opcode_1_0xbb ( &ptr, &index, byte_order ); break; // mov ebx, %x case 0xbe: intel_opcode_1_0xbe ( &ptr, &index, byte_order ); break; // mov esi, %x case 0xbf: intel_opcode_1_0xbf ( &ptr, &index, byte_order ); break; // mov edi, %x case 0xc3: intel_opcode_1_0xc3 ( ); break; // ret case 0xcd: intel_opcode_1_0xcd ( &ptr, &index ); break; // int 0x%x } ptr++; virt += ptr - start; start = ptr; start_op = ptr; } show_asm = FALSE; }

और इस तरह के कार्य पहले से ही एक गुच्छा हैं। कुछ स्थानों पर मैंने मशीन के निर्देशों के अंतर्संबंध को पकड़ने के लिए टिप्पणियां कीं, और शायद बाद में एक अधिक सक्षम डिस्सेम्बलर बना। लेकिन इस रूप में, जिसमें मेरे पास अभी कोड है, मैं आसानी से प्रत्येक ऑपरेटर के लिए कोई भी शर्तें निर्धारित कर सकता हूं।

और इसलिए जब मैं यह कर रहा था, मुझे एक विचार था, क्या कोड अनुभाग के बीच में कोड जोड़ना संभव है? यह पता चला है आप कर सकते हैं, लेकिन सभी मामलों में? अब तक, कोड जोड़ने के लिए, मैं पहले से तैयार मशीन कोड का उपयोग करता हूं। अगर मैं बाद में कर सकता हूं, तो मैं कोड को जोड़ने के लिए मशीन कोड में कोडांतरक अनुवादक बनाऊंगा और अधिक सुविधाजनक था। मेरे मामले में, आपको कोड अनुभाग में ऑफसेट निर्दिष्ट करने की आवश्यकता है और बाइट्स को सही जगह पर कॉपी किया गया है। एक निश्चित समस्या यह भी थी: स्मृति में संबोधित करना। मैंने अंतिम कमांड में एक कोड जोड़ा जो संरचना में आवश्यक डेटा को बचाता है, और यदि आप नए ऑपरेटरों को कोड सेक्शन में सम्मिलित करते हैं, तो सभी ऑफ़सेट को संरेखित किया जाता है ताकि वे नए ऑफ़सेट पर डेटा का संकेत दें। ठीक है, यह बहुत मुश्किल नहीं है, यदि आपने कोड डाला है, तो कोड अनुभाग में समान संख्या में बाइट्स और अन्य सभी अनुभागों के बाद कोड अनुभाग पहले से ही नए ऑफसेट होंगे। मैंने इसे इसलिए बनाया है कि जहां आप कोड पेस्ट करते हैं, वहां सभी अंतर सही तरीके से काम करते हैं। तब समस्या यह थी कि इस तरह के संबोधन में

 mov eax, [eax + eax + 0x100]

तथ्य यह है कि इस तरह के एक संबोधन में ईबो और स्टैक को इंगित किया जा सकता है, और किसी अन्य अनुभाग को नहीं। मैंने इसे बनाने का फैसला किया ताकि अगर पता डेटा सेक्शन को इंगित करता है, तो कोड डालते समय ऑफ़सेट पर विचार करें, यदि यह स्टैक को इंगित करता है, अर्थात डेटा सेक्शन में पता नहीं है, तो ऑफ़सेट पर ध्यान न दें।

और इस तरह से हमलावर फायदा उठा सकते हैं। आखिरकार, कार्यक्रम में कुछ फ़ंक्शन की शुरुआत में दुर्भावनापूर्ण कोड डाला जा सकता है, उदाहरण के लिए, ताकि एक कांटा बच्चा पैदा हो और एक विशेष फ़ाइल डाउनलोड हो। लिनक्स में, यह बिना किसी समस्या के किया जा सकता है। वास्तव में, में / usr / शामिल ऑपरेटिंग सिस्टम के सभी सिस्टम कार्यों के साथ एक फ़ाइल है। यही है, आप नेटवर्क भाग का उपयोग कर सकते हैं, भले ही प्रोग्राम में नेटवर्क फ़ंक्शन न हों। मुझे नहीं पता कि खिड़कियों में कैसे, लेकिन मैं बाद में पीई प्रारूप के साथ काम जोड़ने की कोशिश करूंगा। यह लिनक्स के समान ही कर सकता है। अब तक मेरे पास एक कंसोल संस्करण है। लेकिन फिर मुझे gtk पर करने की योजना है।

मेरे लेख पर अपना समय बिताने के लिए धन्यवाद।

एंबेडिंग कोड और पायरेटेड सॉफ्टवेयर का खतरा

More articles: