[讨论]发现LordPE一个bug-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 313 粉丝 0 关注私信	gkdark 1 2010-6-7 23:30 2 楼 0 果然如此..! 作为一个菜鸟.....我无能为力..坐等高手解释.!
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 313 粉丝 0 关注私信	gkdark 1 2010-6-7 23:45 3 楼 0 壳脱了以后就可以重建了..! 可能加了壳的原因吧.!
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 313 粉丝 0 关注私信	gkdark 1 2010-6-7 23:46 4 楼 0 我是菜鸟..可能资源重建那里有问题..不知道夸平台会不会出问题! 上传的附件：测试(脱壳).rar （281.94kb，5次下载）
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2010-6-8 04:41 5 楼 0 .text ROffset 改为600, RSize改为12200 其实不是LordPE的bug，而是 imagehlp.dll PIMAGE_SECTION_HEADER __stdcall ImageRvaToSection(PIMAGE_NT_HEADERS NtHeaders, PVOID Base, ULONG Rva) { PIMAGE_SECTION_HEADER pSection; // eax@1 unsigned int iSection; // esi@1 DWORD sectionRva; // edx@2 pSection = (PIMAGE_SECTION_HEADER)((char *)&NtHeaders->OptionalHeader + NtHeaders->FileHeader.SizeOfOptionalHeader); iSection = 0; if ( NtHeaders->FileHeader.NumberOfSections ) { while ( 1 ) { sectionRva = pSection->VirtualAddress; if ( Rva >= sectionRva ) { if ( Rva < sectionRva + pSection->SizeOfRawData ) //这里SizeOfRawData可能无效, 导致找到一个错误的段 break; } ++pSection; ++iSection; if ( iSection >= NtHeaders->FileHeader.NumberOfSections ) goto LABEL_5; } } else { LABEL_5: pSection = 0; } return pSection; }
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 313 粉丝 0 关注私信	gkdark 1 2010-6-8 07:14 6 楼 0 楼上的大大 ... imagehelp.dll,你写的代码是你自己逆向出来的吗?
奘和雪币： 4902 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 745 粉丝 0 关注私信	奘和 2010-6-8 08:19 7 楼 0 膜拜LS的LS。。。
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2010-6-8 09:19 8 楼 0 发哥就是强。
blueapplez 雪币： 456 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-6-8 10:27 9 楼 0 大牛们都来了太强大了~ 真想捏一下楼上那只老鼠~~~
pady 雪币： 212 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	pady 2010-6-8 16:00 10 楼 0 强..我只有围观的份了
blueapplez 雪币： 456 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-6-13 21:02 11 楼 0 我是想说真正的原因应该不是forgot斑竹所讲，这几天忙别的了没来得及测试现在补上。 #include "stdafx.h" #include "windows.h" #include "imagehlp.h" #pragma comment(lib, "imagehlp.lib") int main(int argc, char* argv[]) { HANDLE hFile = CreateFile("..\\测试.exe", GENERIC_READ, NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hFile == (HANDLE)-1) { return 0; } DWORD dwFileSize = GetFileSize(hFile, NULL); BYTE pExe = new BYTE[dwFileSize]; ZeroMemory(pExe, dwFileSize); DWORD ReadBytes = 0; ReadFile(hFile, pExe, dwFileSize, &ReadBytes, NULL); IMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pExe; IMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)(pExe + pDos->e_lfanew); for (DWORD dwi = 0; dwi<0xffffffff; dwi++) { IMAGE_SECTION_HEADER pImageSectionHeaser = ImageRvaToSection(pNtHeader, (PVOID)0x0040000, dwi); //判断得到的section段头的正确性 if (pImageSectionHeaser) { if (strcmp((char )pImageSectionHeaser->Name, ".text") == 0) { continue; } if (strcmp((char )pImageSectionHeaser->Name, ".rdata") == 0) { continue; } if (strcmp((char )pImageSectionHeaser->Name, ".data") == 0) { continue; } if (strcmp((char )pImageSectionHeaser->Name, ".rsrc") == 0) { continue; } if (strcmp((char )pImageSectionHeaser->Name, ".aspack") == 0) { continue; } if (strcmp((char )pImageSectionHeaser->Name, ".adata") == 0) { continue; } //得到了一个错误的section段头 ::MessageBox(0, "There is something wrong!", 0, 0); } } delete [] pExe; ::MessageBox(0, "Finished!", "OK", NULL); return 0; }
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 346 粉丝 26 关注私信	demoscene 7 2010-6-13 21:21 12 楼 0 没看明白说明了什么
blueapplez 雪币： 456 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-6-13 21:23 13 楼 0 我说的就是 imagehlp.dll里面提供的那个ImageRvaToSection 他没有错误。
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2010-6-14 18:47 14 楼 0 他没有错误，你有错误
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 125 粉丝 0 关注私信	yzjsdn 2010-6-15 10:37 15 楼 0 信发哥,得精华.
blueapplez 雪币： 456 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-6-17 17:54 16 楼 0 谢谢斑竹大人给我回复我知道是怎么回事了，以我的例子来说每次都会返回.text段头肯定不对啊再次谢谢~~哈哈哈
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

gkdark

雪币： 199

活跃值： (65)

能力值：

( LV5，RANK：70 )

在线值：

发帖

22

回帖

313

粉丝

0

关注

私信

gkdark 1 2010-6-7 23:30: 2 楼
0

果然如此..! 作为一个菜鸟.....我无能为力..坐等高手解释.!

gkdark

雪币： 199

活跃值： (65)

能力值：

( LV5，RANK：70 )

在线值：

发帖

22

回帖

313

粉丝

0

关注

私信

gkdark 1 2010-6-7 23:45: 3 楼
0

壳脱了以后就可以重建了..! 可能加了壳的原因吧.!

gkdark

雪币： 199

活跃值： (65)

能力值：

( LV5，RANK：70 )

在线值：

发帖

22

回帖

313

粉丝

0

关注

私信

gkdark 1 2010-6-7 23:46: 4 楼
0

我是菜鸟..可能资源重建那里有问题..不知道夸平台会不会出问题!

上传的附件：

测试(脱壳).rar （281.94kb，5次下载）

forgot

雪币： 6073

活跃值： (2236)

能力值： (RANK：1060 )

在线值：

发帖

155

回帖

3744

粉丝

15

关注

私信

forgot 26 2010-6-8 04:41: 5 楼
0

.text ROffset 改为600, RSize改为12200

其实不是LordPE的bug，而是 imagehlp.dll

PIMAGE_SECTION_HEADER __stdcall ImageRvaToSection(PIMAGE_NT_HEADERS NtHeaders, PVOID Base, ULONG Rva)
{
  PIMAGE_SECTION_HEADER pSection; // eax@1
  unsigned int iSection; // esi@1
  DWORD sectionRva; // edx@2

  pSection = (PIMAGE_SECTION_HEADER)((char *)&NtHeaders->OptionalHeader + NtHeaders->FileHeader.SizeOfOptionalHeader);
  iSection = 0;
  if ( NtHeaders->FileHeader.NumberOfSections )
  {
    while ( 1 )
    {
      sectionRva = pSection->VirtualAddress;
      if ( Rva >= sectionRva )
      {
        if ( Rva < sectionRva + pSection->SizeOfRawData ) //这里SizeOfRawData可能无效, 导致找到一个错误的段
          break;
      }
      ++pSection;
      ++iSection;
      if ( iSection >= NtHeaders->FileHeader.NumberOfSections )
        goto LABEL_5;
    }
  }
  else
  {
LABEL_5:
    pSection = 0;
  }
  return pSection;
}

gkdark

雪币： 199

活跃值： (65)

能力值：

( LV5，RANK：70 )

在线值：

发帖

22

回帖

313

粉丝

0

关注

私信

gkdark 1 2010-6-8 07:14: 6 楼
0

楼上的大大 ... imagehelp.dll,你写的代码是你自己逆向出来的吗?

奘和

雪币： 4902

活跃值： (90)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

745

粉丝

0

关注

私信

奘和 2010-6-8 08:19: 7 楼
0

膜拜LS的LS。。。

海风月影

雪币： 7300

活跃值： (3758)

能力值： (RANK：1130 )

在线值：

发帖

93

回帖

2313

粉丝

116

关注

私信

海风月影 22 2010-6-8 09:19: 8 楼
0

发哥就是强。

blueapplez

雪币： 456

活跃值： (421)

能力值：

( LV9，RANK：610 )

在线值：

发帖

90

回帖

1048

粉丝

6

关注

私信

blueapplez 14 2010-6-8 10:27: 9 楼
0

大牛们都来了太强大了~

真想捏一下楼上那只老鼠~~~

pady

雪币： 212

活跃值： (47)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

38

粉丝

0

关注

私信

pady 2010-6-8 16:00: 10 楼
0

强..我只有围观的份了

blueapplez

雪币： 456

活跃值： (421)

能力值：

( LV9，RANK：610 )

在线值：

发帖

90

回帖

1048

粉丝

6

关注

私信

blueapplez 14 2010-6-13 21:02: 11 楼
0

我是想说真正的原因应该不是forgot斑竹所讲，这几天忙别的了没来得及测试
现在补上。

#include "stdafx.h"
#include "windows.h"
#include "imagehlp.h"
#pragma comment(lib, "imagehlp.lib")

int main(int argc, char* argv[])
{
	HANDLE hFile = CreateFile("..\\测试.exe", GENERIC_READ, NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == (HANDLE)-1)
	{
		return 0;
	}
	DWORD dwFileSize = GetFileSize(hFile, NULL);
	BYTE *pExe = new BYTE[dwFileSize];
	ZeroMemory(pExe, dwFileSize);
	DWORD ReadBytes = 0;
	ReadFile(hFile, pExe, dwFileSize, &ReadBytes, NULL);
	IMAGE_DOS_HEADER *pDos = (PIMAGE_DOS_HEADER)pExe;
	IMAGE_NT_HEADERS *pNtHeader = (PIMAGE_NT_HEADERS)(pExe + pDos->e_lfanew);

	for (DWORD dwi = 0; dwi<0xffffffff; dwi++)
	{
		IMAGE_SECTION_HEADER *pImageSectionHeaser = ImageRvaToSection(pNtHeader, (PVOID)0x0040000, dwi);

		//判断得到的section段头的正确性
 		if (pImageSectionHeaser)
 		{
			if (strcmp((char *)pImageSectionHeaser->Name, ".text") == 0)
			{
				continue;
			}
			if (strcmp((char *)pImageSectionHeaser->Name, ".rdata") == 0)
			{
				continue;
			}
			if (strcmp((char *)pImageSectionHeaser->Name, ".data") == 0)
			{
				continue;
			}
			if (strcmp((char *)pImageSectionHeaser->Name, ".rsrc") == 0)
			{
				continue;
			}
			if (strcmp((char *)pImageSectionHeaser->Name, ".aspack") == 0)
			{
				continue;
			}
			if (strcmp((char *)pImageSectionHeaser->Name, ".adata") == 0)
			{
				continue;
			}
			//得到了一个错误的section段头
			::MessageBox(0, "There is something wrong!", 0, 0);	
 		}
	}
	delete [] pExe;
	::MessageBox(0, "Finished!", "OK", NULL);
	return 0;
}