分享一个hijack实例
by Fpc
对于逆向者而言,找到关键点固然令人兴奋,兴奋之后怎样利用却是有多个选择。比如数据解密类,可以硬肛算法,找到所有的参数,再写一个脱机工具。而有时你不想那么掉头发,那么劫持是一个可以接受的方式,将程序流程拦下来,将明文保存下来。这方面aheadlib提供了基础框架。
本例既是如此,利用version库实现目的,自由度很大。以下是代码,没有新的知识点,这个思路可参考借鉴。
分享一个hijack实例
by Fpc
对于逆向者而言,找到关键点固然令人兴奋,兴奋之后怎样利用却是有多个选择。比如数据解密类,可以硬肛算法,找到所有的参数,再写一个脱机工具。而有时你不想那么掉头发,那么劫持是一个可以接受的方式,将程序流程拦下来,将明文保存下来。这方面aheadlib提供了基础框架。
本例既是如此,利用version库实现目的,自由度很大。以下是代码,没有新的知识点,这个思路可参考借鉴。
// nversion.cpp : Defines the entry point for the DLL application.
//
// modified on the base of aheadlib-code
//
// for XXXXX ver XXXX, by Fpc
//
// 首先请原谅糟糕的代码水平 T_T
//
// 用途:
// 某软件解密的步骤是先读取文件,用复杂的算法得到中间结果,此中间结果生成后调用一个call完成解密和解压缩,本劫持用于保存生成的结果。
// 利用点:
// 在解密call完成后劫持代码,跳到我们的修改处,取得文件名信息,建立目标文件夹,建立目标文件,写文件,关文件,恢复现场,返回
// 修改难点:
// 原文件空间很有限,并且程序中的api数量有限,diy是利用起来不方便、找罪受
// 利用的优势:
// 劫持时机可以选择,对于代码量、api调用没限制,都是你自己可以编写的。
// 可利用的劫持时机:
// 比如采用version库,在被载入时通过peb -> ldr搜寻一下,此例中发现是幸运的,version加载后,目标dll已经加载完毕,可以对其patch了。注意要先使目标地址可写。
// 如果此时目标dll还没加载怎么办,需要多一个环节,先hook GetCommandLineA/W,主程序运行时一般dll都加载了,此时再去找目标dll,打补丁。(这是从一个补丁文件中学来的)
// 基本思路:
// 在内存中出现明文时并且提供了相关长度、文件路径等信息后,让代码跳到version我们自己编写的空间myapi中,取得这些信息,并生成保存新文件所需要的信息,建立文件夹(不需要判断是否成功),
// 建立文件,取得保存文件的信息,写文件,关闭文件,恢复现场,运行被破坏的指令,恢复到原代码处继续运行。
// 好处是在version空间内,写什么代码不受限制
//
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 头文件
//
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 导出函数
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 宏定义
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BOOL WINAPI DllMain(HMODULE , DWORD , PVOID );
BOOL __stdcall ProtectMem(LPVOID, DWORD);
char strErr[256]; // error info
FARPROC fpHookedAPI=0; // addr of hooked api
FARPROC fpOrgHookedAPI=0; // addr of safe place of hooked api, using it when not recoved
FARPROC fpNtPVM=0; // addr of NtProtectVirtualMemory
FARPROC fpGCL=0; // addr of hooked api
DWORD dwImageBaseXXXX=0; // image base of target
DWORD dwRVAtoPatch=0xAABBCC;
DWORD dwMyFileHandle; // file handle to write
DWORD dwBytesWritten=0;
WCHAR wcMyPath[256], wcMyFileName[256];
WCHAR wcSourcePath[256], *wcpSourcePath;
WCHAR wcDrive[8];
WCHAR wcDir[256];
WCHAR wcFileName[64];
WCHAR wcExt[16];
WCHAR *wcTmp1, *wcTmp2;
WCHAR wcSubStrBBBB[]=L"CCCCDDDD";
//WCHAR wcChar[]="/";
//////////////////////////////////////////////
//
// main process to save XXX data
//
void NAKED MyAPI()
{
__asm{
nop
//int 3
nop
nop
nop
pushad
nop
mov eax, [ebp+0x8]
mov eax, [eax]
mov wcpSourcePath, eax
}
// add patch code here
//
//
wcscpy(wcSourcePath, wcpSourcePath);
_wsplitpath(wcSourcePath, wcDrive, wcDir, wcFileName, wcExt);
wcTmp1=wcsstr(wcDir, wcSubStrBBBB); // find sub str of target
wcTmp2=wcschr(wcTmp1, '/')+1; // tmp2= "/username......./XXXXX/"
wcTmp1=wcschr(wcTmp2, '/'); // tmp2= "username......./XXXXX/"
wcscpy(wcMyPath, L"D:/FFFFGGGG"); // tmp1=/xxxx or something
wcscat(wcMyPath, wcTmp1); // we got dst dir
wcscpy(wcMyFileName, wcMyPath);
wcscat(wcMyFileName, wcFileName);
wcscat(wcMyFileName, wcExt); // we got dst filename
CreateDirectoryW(wcMyPath, 0);
__asm{
nop
nop
push 0
push 0x80
push 2
push 0
push 0
push 0x40000000
lea ecx, wcMyFileName
push ecx
nop
mov eax, CreateFileW
call eax // create file
nop
mov dwMyFileHandle, eax
inc eax
jz __fail_create_file
nop
nop
push 0
lea edx, dwBytesWritten
push edx
mov eax, [ebp-0xCC] // plain length, from target
push eax
mov ecx, [ebp-0xDD] // plain context
push ecx
mov eax, dwMyFileHandle
push eax
mov eax, WriteFile // write to file
call eax
nop
nop
mov eax, dwMyFileHandle
push eax
mov eax, CloseHandle
call eax // close file
nop
nop
__fail_create_file:
nop
}
//
__asm{
nop
nop
popad
nop
mov XXXXX, eax // restore code
cmp eax, XXXXXX
nop
nop
ret
};
}
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// Hook 命名空间
namespace Hook
{
HHOOK m_hHook;
// HOOK 句柄
// HOOK 函数
LRESULT CALLBACK HookProc(INT iCode, WPARAM wParam, LPARAM lParam)
{
if (iCode > 0)
{
;
}
return CallNextHookEx(m_hHook, iCode, wParam, lParam);
}
// Hook
inline BOOL WINAPI Hook(INT iHookId = WH_CALLWNDPROC)
{
m_hHook = SetWindowsHookEx(iHookId, HookProc, NULL, GetCurrentThreadId());
return (m_hHook != NULL);
}
// Unhook
inline VOID WINAPI Unhook()
{
if (m_hHook)
{
UnhookWindowsHookEx(m_hHook);
}
}
}
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// AheadLib 命名空间
namespace AheadLib
{
HMODULE m_hModule = NULL; // 原始模块句柄
DWORD m_dwReturn[15] = {0}; // 原始函数返回地址
// 加载原始模块
inline BOOL WINAPI Load()
{
TCHAR tzPath[MAX_PATH];
TCHAR tzTemp[MAX_PATH * 2];
GetSystemDirectory(tzPath, MAX_PATH);
lstrcat(tzPath, TEXT("\\version"));
m_hModule = LoadLibrary(tzPath);
if (m_hModule == NULL)
{
wsprintf(tzTemp, TEXT("无法加载 %s,程序无法正常运行。"), tzPath);
MessageBox(NULL, tzTemp, TEXT("AheadLib"), MB_ICONSTOP);
}
return (m_hModule != NULL);
}
// 释放原始模块
inline VOID WINAPI Free()
{
if (m_hModule)
{
FreeLibrary(m_hModule);
}
}
// 获取原始函数地址
FARPROC WINAPI GetAddress(PCSTR pszProcName)
{
FARPROC fpAddress;
CHAR szProcName[16];
TCHAR tzTemp[MAX_PATH];
fpAddress = GetProcAddress(m_hModule, pszProcName);
if (fpAddress == NULL)
{
if (HIWORD(pszProcName) == 0)
{
wsprintf(szProcName, "%d", pszProcName);
pszProcName = szProcName;
}
wsprintf(tzTemp, TEXT("无法找到函数 %hs,程序无法正常运行。"), pszProcName);
MessageBox(NULL, tzTemp, TEXT("AheadLib"), MB_ICONSTOP);
ExitProcess(-2);
}
return fpAddress;
}
}
using namespace AheadLib;
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// the code is copied from ntdll (win7)
// dont know it will work in other OS
// just for testing
//
BOOL __declspec(naked) _NtProtectVirtualMemory()
{
__asm{
mov eax, 0x4d
xor ecx, ecx
lea edx, [esp+4]
call fs:[0xc0]
add esp, 0x4
ret 0x14
}
}
// set page access to ReadWrite
// call it first when writing mem fail
//
BOOL __stdcall ProtectMem(LPVOID addr, DWORD dsize)
{
DWORD oldprotect;
DWORD nouse;
__asm{
lea eax, oldprotect // disgard
push eax
push PAGE_EXECUTE_READWRITE //
lea eax, dsize
push eax
lea eax, addr
push eax
push 0xffffffff
//call _NtProtectVirtualMemory
call [fpNtPVM]
test eax, eax
jz __pmGood
xor eax, eax
jmp __pmEnd
__pmGood:
xor eax, eax
inc eax
__pmEnd:
//xor eax, eax
//inc eax
//ret // ret will be added by compiler
}
;
}
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 入口函数
// 这里不太需要改动了
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
HMODULE m_k32 = NULL, m_nt = NULL; // handles for dll
__asm{
nop
nop
nop
//int 3
nop
nop
}
if (dwReason == DLL_PROCESS_ATTACH)
{
DisableThreadLibraryCalls(hModule);
Hook::Hook();
strcpy(strErr, TEXT("API hooked."));
//
m_k32 = LoadLibrary(TEXT("kernel32")); // getting GCL addr, this api will be hooked
if(m_k32 != NULL)
{
fpGCL=GetProcAddress(m_k32, TEXT("GetCommandLineW")); // target uses W instead of A
fpHookedAPI=fpGCL;
}
else
{
strcpy(strErr, TEXT("k32 loaded fail"));
__asm jmp __myDllInitEnd
}
m_nt = LoadLibrary(TEXT("ntdll")); // getting ntPVM addr, this api will change page access, it is needed when patching mem.
if(m_nt != NULL)
fpNtPVM=GetProcAddress(m_nt, TEXT("NtProtectVirtualMemory"));
else
{
strcpy(strErr, TEXT("nt loaded fail"));
__asm jmp __myDllInitEnd
}
__asm{
// find module of 'XXXX.dll'
// luckyly, we found it, then we patch it.
//
nop
nop
pushad
nop
nop
mov ebx, hModule
mov edi, ebx
mov eax, fs:[0x30] // checking dll module (PEB)
mov eax, [eax+0xc]
mov esi, [eax+0x14]
mov edx, [eax+0x18]
__chk_next_module:
lodsd // get LDR of current module
mov esi, eax
cmp edx, esi
jz __not_found_module
mov ecx, [eax+0x28] // get current module name
test ecx, ecx
jz __not_found_module
nop // cmp module name, is my target?
push esi
mov esi, ecx
nop
nop
lodsd
cmp eax, 0xAA00BB //"XX"
jz __chk_next_dword
pop esi // restore esi
mov eax, esi
jmp __chk_next_module
__chk_next_dword:
add esi, 0xc // we should chk it carefully
lodsd
cmp eax, 0xCC00DD // check next 2 bytes
jz __found_XX
nop
pop esi
mov eax, esi
jmp __chk_next_module
__found_XX:
nop
nop
pop esi
mov eax, esi
mov ecx, [eax+0x10] // get imagebase of target
mov dwImageBaseXXXX, ecx // save imagebase
// patch target
mov edi, dwImageBaseXXXX
add edi, dwRVAtoPatch
nop
nop
// set page
mov ecx, 0x7
push ecx
push edi
call ProtectMem // set page access to ReadWrite
test eax, eax
je __myDllInitEnd
nop
nop
xor eax, eax
mov al, 0xe8 // using 'call' instead of 'jump' causing we use 'ret' to return, no need of thinking of jumping back
stosb
lea eax, MyAPI // set jmp's offset, patch code to 'myapi', our working process ;)
sub eax, edi
sub eax, 4
stosd
nop
mov ax, 0x9090 // nop the next two bytes
stosw
nop
__not_found_module:
__myDllInitEnd:
nop
popad // return
};
//
//::MessageBox(NULL, strErr, "Info", MB_OK);
return Load();
}
else if (dwReason == DLL_PROCESS_DETACH)
{
Free();
Hook::Unhook();
}
return TRUE;
}
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 导出函数
ALCDECL AheadLib_GetFileVersionInfoA(void)
{
GetAddress("GetFileVersionInfoA");
__asm JMP EAX;
}
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 导出函数
//....
// nversion.cpp : Defines the entry point for the DLL application.
//
// modified on the base of aheadlib-code
//
// for XXXXX ver XXXX, by Fpc
//
// 首先请原谅糟糕的代码水平 T_T
//
// 用途:
// 某软件解密的步骤是先读取文件,用复杂的算法得到中间结果,此中间结果生成后调用一个call完成解密和解压缩,本劫持用于保存生成的结果。
// 利用点:
// 在解密call完成后劫持代码,跳到我们的修改处,取得文件名信息,建立目标文件夹,建立目标文件,写文件,关文件,恢复现场,返回
// 修改难点:
// 原文件空间很有限,并且程序中的api数量有限,diy是利用起来不方便、找罪受
// 利用的优势:
// 劫持时机可以选择,对于代码量、api调用没限制,都是你自己可以编写的。
// 可利用的劫持时机:
// 比如采用version库,在被载入时通过peb -> ldr搜寻一下,此例中发现是幸运的,version加载后,目标dll已经加载完毕,可以对其patch了。注意要先使目标地址可写。
// 如果此时目标dll还没加载怎么办,需要多一个环节,先hook GetCommandLineA/W,主程序运行时一般dll都加载了,此时再去找目标dll,打补丁。(这是从一个补丁文件中学来的)
// 基本思路:
// 在内存中出现明文时并且提供了相关长度、文件路径等信息后,让代码跳到version我们自己编写的空间myapi中,取得这些信息,并生成保存新文件所需要的信息,建立文件夹(不需要判断是否成功),
// 建立文件,取得保存文件的信息,写文件,关闭文件,恢复现场,运行被破坏的指令,恢复到原代码处继续运行。
// 好处是在version空间内,写什么代码不受限制
//
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 头文件
//
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 导出函数
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 宏定义
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BOOL WINAPI DllMain(HMODULE , DWORD , PVOID );
BOOL __stdcall ProtectMem(LPVOID, DWORD);
char strErr[256]; // error info
FARPROC fpHookedAPI=0; // addr of hooked api
FARPROC fpOrgHookedAPI=0; // addr of safe place of hooked api, using it when not recoved
FARPROC fpNtPVM=0; // addr of NtProtectVirtualMemory
FARPROC fpGCL=0; // addr of hooked api
DWORD dwImageBaseXXXX=0; // image base of target
DWORD dwRVAtoPatch=0xAABBCC;
DWORD dwMyFileHandle; // file handle to write
DWORD dwBytesWritten=0;
WCHAR wcMyPath[256], wcMyFileName[256];
WCHAR wcSourcePath[256], *wcpSourcePath;
WCHAR wcDrive[8];
WCHAR wcDir[256];
WCHAR wcFileName[64];
WCHAR wcExt[16];
WCHAR *wcTmp1, *wcTmp2;
WCHAR wcSubStrBBBB[]=L"CCCCDDDD";
//WCHAR wcChar[]="/";
//////////////////////////////////////////////
//
// main process to save XXX data
//
void NAKED MyAPI()
{
__asm{
nop
//int 3
nop
nop
nop
pushad
nop
mov eax, [ebp+0x8]
mov eax, [eax]
mov wcpSourcePath, eax
}
// add patch code here
//
//
wcscpy(wcSourcePath, wcpSourcePath);
_wsplitpath(wcSourcePath, wcDrive, wcDir, wcFileName, wcExt);
wcTmp1=wcsstr(wcDir, wcSubStrBBBB); // find sub str of target
wcTmp2=wcschr(wcTmp1, '/')+1; // tmp2= "/username......./XXXXX/"
wcTmp1=wcschr(wcTmp2, '/'); // tmp2= "username......./XXXXX/"
wcscpy(wcMyPath, L"D:/FFFFGGGG"); // tmp1=/xxxx or something
wcscat(wcMyPath, wcTmp1); // we got dst dir
wcscpy(wcMyFileName, wcMyPath);
wcscat(wcMyFileName, wcFileName);
wcscat(wcMyFileName, wcExt); // we got dst filename
CreateDirectoryW(wcMyPath, 0);
__asm{
nop
nop
push 0
push 0x80
push 2
push 0
push 0
push 0x40000000
lea ecx, wcMyFileName
push ecx
nop
mov eax, CreateFileW
call eax // create file
nop
mov dwMyFileHandle, eax
inc eax
jz __fail_create_file
nop
nop
push 0
lea edx, dwBytesWritten
push edx
mov eax, [ebp-0xCC] // plain length, from target
push eax
mov ecx, [ebp-0xDD] // plain context
push ecx
mov eax, dwMyFileHandle
push eax
mov eax, WriteFile // write to file
call eax
nop
nop
mov eax, dwMyFileHandle
push eax
mov eax, CloseHandle
call eax // close file
nop
nop
__fail_create_file:
nop
}
//
__asm{
nop
nop
popad
nop
mov XXXXX, eax // restore code
cmp eax, XXXXXX
nop
nop
ret
};
}
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// Hook 命名空间
namespace Hook
{
HHOOK m_hHook;
// HOOK 句柄
// HOOK 函数
LRESULT CALLBACK HookProc(INT iCode, WPARAM wParam, LPARAM lParam)
{
if (iCode > 0)
{
;
}
return CallNextHookEx(m_hHook, iCode, wParam, lParam);
}
// Hook
inline BOOL WINAPI Hook(INT iHookId = WH_CALLWNDPROC)
{
m_hHook = SetWindowsHookEx(iHookId, HookProc, NULL, GetCurrentThreadId());
return (m_hHook != NULL);
}
// Unhook
inline VOID WINAPI Unhook()
{
if (m_hHook)
{
UnhookWindowsHookEx(m_hHook);
}
}
}
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// AheadLib 命名空间
namespace AheadLib
{
HMODULE m_hModule = NULL; // 原始模块句柄
DWORD m_dwReturn[15] = {0}; // 原始函数返回地址
// 加载原始模块
inline BOOL WINAPI Load()
{
TCHAR tzPath[MAX_PATH];
TCHAR tzTemp[MAX_PATH * 2];
GetSystemDirectory(tzPath, MAX_PATH);
lstrcat(tzPath, TEXT("\\version"));
m_hModule = LoadLibrary(tzPath);
if (m_hModule == NULL)
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
