eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Signal
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› МИСТИКА !!!
Посл.ответ Сообщение

Ранг: 26.6 (посетитель)
Статус: Участник

Создано: 2 августа 2008 17:43 New!
Цитата · Личное сообщение · #1

в Висте в игрушках есть какойто не понятный обработчик int 3
Если взять какую нибудь игрушку, напр. \Program Files\Microsoft Games\Chess\Chess.exe
то там есть такой код:
.01040741: int 3
.01040742: push ebp
.01040743: int 3
.01040744: mov eax,[0112B144]
.01040749: xor eax,ebp
.0104074B: mov [ebp][-04],eax
.0104074E: mov eax,[ebp][08]
.01040751: push ebx
.01040752: mov ebx,[ebp][0C]
.01040755: push esi
.01040756: mov esi,[ebp][10]
.01040759: mov [ebp][-00000218],eax
.0104075F: mov eax,[ebp][14]
.01040762: push eax
.01040763: mov [ebp][-00000214],ebx
.01040769: mov [ebp][-0000021C],eax
.0104076F: push ebp
.01040770: int 3
.01040771: push ebp
.01040772: int 3
.01040773: push ebp
.01040774: int 3
.......................
Который вызывается так:
.01037A90: push d,[0112B0FC]
.01037A96: push d,[0112B0F8]
.01037A9C: push d,[0112B104]
.01037AA2: push d,[0112B100]
.01037AA8: push d,[ebp][-00000458]
.01037AAE: push ebx
.01037AAF: push ebx
.01037AB0: push d,[0113AE98]
.01037AB6: call .001040741 -------------------- Вызов мистической функции
.01037ABB: xor eax,eax

Так вот если (под любым дебагером) поставить бряк по адресу напр. 1037AAE
то он сработает нормально, если же войти в функцию 001040741 то там уже начинается чертовщина какаято. Дебагер не останавливается на int 3 внутри функции а вместо этого каждый int 3 выполняет какуюто часть кода. Первый похоже на
push ebp
mov ebp, esp
sub esp, 200h
последующие int3 тоже делают чтото своё.
Это всё очень похоже на обработчик исклющений, и там действительно установлен SEH.
Но вопервых у дебагера приоритет выше, а во вторых я даже проверил - он не вызывается

Как они это всё делают !!! ??? !!!
Для чего ??? защита от чегото ???
Кто знает чтонить об этом ?
Как сделать самому такое ?

МИСТИКА !

Ранг: 26.6 (посетитель)
Статус: Участник

Создано: 3 августа 2008 17:33 New!
Цитата · Личное сообщение · #2

Иещё обнаружил что в екзешниках, где это встречаетса присутствует первая секция с названием ".pexe" в которой повидимому находится какаято криптованная структура. Хедер етой структуры выглядит так:
"LAV\x01", 0x03 .....
так вот если пакоцать этот хедер то все int3 срабатывают как надо и бесовщина исчезает. Прога только не работает. Всё дело в этом - однозначно!


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 3 августа 2008 17:58 New!
Цитата · Личное сообщение · #3

крис чето писал по поводу названия секций в висте. Вроде там из-за названия секции пакованым exe делаются поблажки, короче сделано спецом для совместимости.

Ранг: 16.8 (новичок)
Статус: Участник

Создано: 3 августа 2008 18:25 New!
Цитата · Личное сообщение · #4

В Висте многие DLL, особенно крпитозащиты, упакованы, в том
числе UPX, причем только некоторые секции
Большая часть int 3 По моему , просто DebugBreak
ищи ОБРАБОТЧИК

Ранг: 26.6 (посетитель)
Статус: Участник

Создано: 3 августа 2008 19:06 New!
Цитата · Личное сообщение · #5

Про ЮпиИкс в Висте ты это сдорово конечно завернул.

Я тут немного поковырял в Иде. NTOSKRNL.EXE И могу абсолютно точно сказать што это новая фишка в Висте. Не знаю как называется, но при загрузке имеджа NTOSKRNL ищет секцию под названием ".pexe"
и если находит её то раскриптовывает и по инфе в нутри создаёт свои обработчики прерываний для текущиго приложения. На этом силы у меня иссякли. Вечер воскресенья всётки нада и пива попить
Хотя тема конечно очень интересная, при случае продолжу. Надо самому попробовать такое сделать.


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 3 августа 2008 19:32 New!
Цитата · Личное сообщение · #6

Крис писал что еще к секциям от старфорса (точна названия не помню) виста по другому относится

Ранг: 38.7 (посетитель)
Статус: Участник

Создано: 3 августа 2008 19:52 New!
Цитата · Личное сообщение · #7


Ранг: 1993.2 (!!!!)
Статус: Модератор
retired

Создано: 3 августа 2008 20:52 New!
Цитата · Личное сообщение · #8

Про секции-насколько я знаю, это древний баян, ещё с ХР, там аспак и тд. А тут возможно заюзаны секции с дебаговой инфой, и виста обращается с ними хитро. Лишь предположение, ибо не смотрел.

Ранг: 16.8 (новичок)
Статус: Участник

Создано: 3 августа 2008 23:18 New!
Цитата · Личное сообщение · #9

По поводу UPX в Висте
Explorer использует BatchCrypto.dll
Вся DLL упакована UPX
При загрузке немного модифицируеь распакованную
Естественно DLL Виста имеет
Linker 8.0
OS 6.0

Виста NTOSkrnl содержит 23 секции:
.text
_PAGELK
POOLCODE
MISYSPTE
POOLMI
.data
ALMOSTRO
SPINLOCK
PAGE
PAGEKD
PAGELK
PAGEVRFV
PAGEHDLS
PAGEBSS
PAGEVRFB
.edata
PAGEDATA
PAGEKDD
PAGEVRFC
pAGEVRFD
INIT
.rsrc
.reloc

Содержит в дополнение к BOOTVID.dll, HAL.dll, KDCOM.dll (XP, 2003) НОВЫЕ:

CI.dll - Code Integrity Module
CLFS.SYS - Common Lof File System Driver
PSHEID.dll - Драйвер аппаратных ошибок, специфичных ля платформы
Секций .pe........ ЗАМЕЧЕНО НЕ БЫЛО
ИДА ещё то покажет


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 4 августа 2008 02:46 New!
Цитата · Личное сообщение · #10

Flint пишет:
крис чето писал по поводу названия секций в висте.


Это ещё с 2k (ну или с XP). Софтовый анти-DEP

Ранг: 3.0 (гость)
Статус: Участник

Создано: 4 августа 2008 14:23 New!
Цитата · Личное сообщение · #11

Flint пишет:
Крис писал что еще к секциям от старфорса (точна названия не помню) виста по другому относится

.sforce, также для .aspack

Ранг: 26.6 (посетитель)
Статус: Участник

Создано: 4 августа 2008 19:03 New!
Цитата · Личное сообщение · #12

vitokop пишет:
По поводу UPX в Висте
Explorer использует BatchCrypto.dll

Скачай антивирус касперскава он наверняка ещё больше полезных програмок упакованных UPXом на твоём компе найдёт
www.baidumsg.com/malwareremoval/malwareremoval_27559.html
или
www.prevx.com/filenames/X1698212232086632862-0/BATCHCRYPTO.DLL.html

Ранг: 1.3 (гость)
Статус: Участник

Создано: 15 августа 2008 16:45 New!
Цитата · Личное сообщение · #13

Flint:
Крис писал что еще к секциям от старфорса (точна названия не помню) виста по другому относится


mADmAT:
Я тут немного поковырял в Иде. NTOSKRNL.EXE И могу абсолютно точно сказать што это новая фишка в Висте. ....


Скорее всего, в висте добавили механизм определения специальных секций, по которым устанавливаются дополнительные фичи.
По типу собственных обработчиков прерываний для текущего приложения.


Ранг: 116.6 (ветеран)
Статус: Участник

Создано: 15 августа 2008 17:11 New!
Цитата · Личное сообщение · #14

Залейте кто-нить этот файл на файлообменник.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 16 августа 2008 19:13 New!
Цитата · Личное сообщение · #15

определенно UPX
 eXeL@B —› Основной форум —› МИСТИКА !!!

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS