часть IIсекреты проектирования shell-кода предположим, что shell-код наделен сознанием (хотя это и не так). что бы мы ощутили оказавшись на его месте? представьте себе, что вы диверсант-десантник которого выбрасывают куда-то в пустоту. вас окружает враждебная территория и еще темнота. где вы? в каком месте приземлились? рекогносцировка на местности (лат. recognoscere [рассматривать] – разведка с целью получения сведений о расположении противника, его огневых средствах, особенностях местности, где предполагаются боевые действия, и т. п. проводимая командирами или офицерами штаба перед началом боевых действий) и будет вашей первой задачей (а если вас занесет в болото, то и последней тоже)Картинка 1 ночь, проведенная за монитором^ глава 1проблемы, стоящие перед shell-кодом и пути их преодоления попытка реализовать собственный shell-код неминуемо натыкает атакующего на многочисленные препятствия и ограничения. одни из которых обходятся путем хитроумных хаков и извращений, с другими же приходится мириться, воспринимая их как неотъемлемую часть жестоких сил природы.Картинка 2 shell-код, заброшенный на вражескую территорию уязвимого приложения может полагаться только на себя^ запрещенные символы Строковые переполняющиеся буфера (в особенности те, что относятся к консольному вводу и клавиатуре) налагают жесткие ограничения на ассортимент своего содержимого. Самое неприятное ограничение заключается в том, что символ нуля на всем протяжении строки может встречаться лишь однажды и лишь на конце строки (правда, это ограничение не распространяется на UNICODE-строки). Это затрудняет подготовку shell-кода и препятствует выбору произвольных целевых адресов. Код, не использующих нулевых байт, приятно называть Zero-Free кодом и техника его подготовки – настоящая Кама-Сутра.^ Искусство затирания адресов. Рассмотрим ситуацию, когда следом за переполняющимся буфером идет уязвимый указатель на вызываемую функцию (или указатель this), а интересующая злоумышленника функция root располагается по адресу 00401000h. Поскольку, только один символ, затирающий указатель, может быть символом нуля, то непосредственная запись требуемого значения невозможна и приходится хитрить. Начнем с того, что в 32-разрядных операционных системах (к которым, в частности, принадлежит Windows NT и многие клоны UNIX'а) стек, данные и код большинства приложений лежат в узком диапазоне адресов: 00100000h – ~00x00000h, т. е. как минимум один ноль у нас уже есть – и это старший байт адреса. В зависимости от архитектуры процессора он может располагаться как по младшим, так и по старшим адресам. Семейство x86-процессоров держит его в старших адресах, что с точки зрения атакующего, очень даже хорошо, поскольку мы можем навязать уязвимому приложению любой 00XxYyZzh адрес, при условии, что Xx, Yy и Zz не равны нулю. Будем рассуждать творчески: позарез необходимый нам адрес 00401000h в прямом виде недостижим в принципе. Но, может быть, нас устроит что-нибудь другое? Например, почему бы не начать выполнение функции не с первого байта? Функции с классическим прологом (коих вокруг нас большинство) начинаются с инструкции push ebp, сохраняющей значение регистра EBP в стеке. Если этого не сделать, то при выходе функция непременно грохнется, но… это уже будет неважно (свою миссию функция выполнила и все, что было нужно атакующему она выполнила). Хуже, если паразитный символ нуля встречается в середине адреса или присутствует в нем дважды, например – 00500000h. В некоторых случаях помогает способ коррекции существующих адресов. Допустим, затираемый указатель содержит адрес 005000FAh. Тогда, для достижения желаемого результата атакующий должен затереть один лишь младший символ адреса, заменив FAh символом нуля. Как вариант можно попробовать поискать в дизассемблерном листинге команду перехода (вызова) интересующей нас функции, – существует вероятность, что она будет располагаться по "правильным" адресам. При условии, что целевая функция вызывается не однажды, и вызовы следуют из различных мест (а обычно именно так и бывает), вероятность, чтобы хотя бы один из адресов нам "подойдет" весьма велика. Следует также учитывать, что некоторые функции ввода не вырезают символ перевода каретки из вводимой строки, чем практически полностью обезоруживают атакующих. Непосредственный ввод целевых адресов становится практически невозможным (ну что интересного можно найти по адресу 0AXxYyh?), коррекция существующих адресов хотя и остается возможной, но на практике встретить подходящий указатель крайне маловероятно (фактически мы ограничены лишь одним адресом ??000A, где ?? прежнее значение уязвимого указателя). Единственное, что остается – полностью затереть все 4-байта указателя вместе с двумя последующими за ним байтами. Тогда, мы сможем навязать уязвимому приложению любой FfXxYyZz, где Ff > 00h. Этот регион обычно принадлежит коду операционной системы и драйверам. С ненулевой вероятностью здесь можно найти машинную команду, передающую управление по целевому адресу. В простейшем случае это call адрес/jmp адрес (что достаточно маловероятно), в более общем случае – call регистр/jmp регистр. Обе – двухбайтовые команды (FF Dx и FF Ex соответственно) и в памяти таких последовательностей сотни! Главное, чтобы на момент вызова затертого указателя (а, значит, и на момент передачи управления команде call регистр/jmp регистр) выбранный регистр содержал требуемый целевой адрес. Штатные функции консольного ввода интерпретируют некоторые символы особым образом (например, символ с кодом 008 удаляет символ, стоящий перед курсором) и они [censored] еще до попадания в уязвимый буфер. Следует быть готовым и к тому, что атакуемая программа контролирует корректность поступающих данных, откидывая все нетекстовые символы или (что еще хуже) приводит их к верхнему/нижнему регистру. Вероятность успешной атаки (если только это не DoS атака) становится исчезающе мала.^ Подготовка shell-кода. В тех случаях, когда переполняющийся строковой буфер используется для передачи двоичного shell-кода (например, головы червя), проблема нулевых символов стоит чрезвычайно остро – нулевые символы содержатся как в машинных командах, так и на концах строк, передаваемых системных функциям в качестве основного аргумента (обычно это "cmd.exe" или "/bin/sh"). Для изгнания нулей из операндов машинных инструкций следует прибегнуть к адресной арифметике. Так, например, mov eax,01h (B8 00 00 00 01) эквивалентно xor eax,eax/inc eax (33 C0 40). Последняя записи, кстати, даже короче. Текстовые строки (вместе с завершающим нулем в конце) так же могут быть сформированы непосредственно на вершине стека, например:00000000: 33C0 xor eax,eax00000002: 50 push eax00000003: 682E657865 push 06578652E ;"exe."00000008: 682E636D64 push 0646D632E ;"dmc."^ Листинг 1 размещение строковых аргументов на стеке с динамической генерацией завершающего символа нуля Как вариант, можно воспользоваться командой xor eax,eax/mov [xxx], eax, вставляющей завершающий нуль в позицию xxx, где xxx адрес конца текстовой строки, вычисленный тем или иным способом (см. "в поисках самого себя"). Более радикальным средством предотвращения появления нулей является шифровка shell-кода, в подавляющем большинстве случаев сводящаяся к тривиальному XOR. Основную трудность представляет поиск подходящего ключа шифрования – ни один шифруемый байт не должен обращаться в символ нуля. Поскольку, x XOR x == 0, для шифрования подойдет любой байтовый ключ, не совпадающий ни с одним байтом shell-кода. Если же в shell-коде присутствует полный набор всех возможных значений от 00h до FFh, следует увеличить длину ключа до слова и двойного слова, выбирая ее так, чтобы ни какой байт накладываемой гаммы не совпадал ни с одним шифруемым байтом. А как построить такую гамму (метод перебора не предлагать)? Да очень просто – подсчитываем частоту каждого из символов shell-кода, отбираем 4 символа, которые встречаются реже всего, выписываем их смещения относительно начала shell-кода в столбик и вычисляем остаток от деления на 4. Вновь записываем полученные значения в столбик, отбирая те, которые в нем не встречаются – это и будут позиции данного байта в ключе. Непонятно? Не волнуйтесь, сейчас все это разберем на конкретном примере. Допустим, в нашем shell-кода наиболее "низкочастотными" оказались символы 69h, ABh, CCh, DDh встречающиеся в следующих позициях:символ смещения позиций всех его вхождений-------------------------------------------69h 04h, 17h, 21hABh 12h, 1Bh, 1Eh, 1Fh, 27hCCh 01h, 15h, 18h, 1Ch, 24h, 26hDDh 02h, 03h, 06h, 16h, 19h, 1Ah, 1DhЛистинг 2 таблица смещений наиболее "низкочастотных" символов, отсчитываемых от начала шифруемого кода После вычисления остатка от деления на 4 над каждым из смещений, мы получаем следующий ряд значений:символ остаток от деления смещений позиций на 4------------------------------------------------ 69h 00h, 03h, 00hABh 02h, 03h, 02h, 03h, 03hCCh 01h, 01h, 00h, 00h, 00h, 02hDDh 02h, 03h, 02h, 02h, 01h, 02h, 01hЛистинг 3 таблица остатков от деления смещений на 4 Мы получили четыре ряда данных, представляющих собой позиции наложения шифруемого символа на гамму, в которой он обращается в нуль, что недопустимо, поэтому нам необходимо выписать все значения, которые не встречаются в каждом ряду данных:символ подходящие позиции в гамме----------------------------------69h 01h, 02h ABh 00h, 01hCCh 03hDDh 00hЛистинг 4 таблица подходящих позиций символов ключа в гамме Теперь из полученных смещений можно собрать гамму, комбинируя их таким образом, чтобы каждый символ встречался в гамме лишь однажды. Смотрите, символ DDh может встречаться только в позиции 00h, символ CCh – только в позиции 03h, а два остальных символа – в любой из оставшихся позиций. То есть это будет либо DDh ABh 69h ССh, либо DD 69h ABh 69h. Если же гамму подобрать не удается – необходимо увеличить ее длину. Разумеется, выполнять все расчеты вручную совершенно необязательно и эту работу можно переложить на компьютер. Естественно, перед передачей управления на зашифрованный код он должен быть в обязательном порядке расшифрован. Эта задача возлагается на расшифровщик, к которому предъявляются следующие требования: он должен быть а) по возможности компактным, б) позиционно независимым (т. е. полностью перемещаемым) и в) не содержать в себе символом нуля. В частности, червь Love San поступает так:.data:0040458B EB 19 jmp short loc_4045A6 .data:0040458B ; здесь мы прыгаем в середину кода, .data:0040458B ; чтобы потом совершить CALL назад .data:0040458B; (CALL вперед содержит запрещенные символы нуля).data:0040458D.data:0040458D sub_40458D proc near ; CODE XREF: sub_40458D+19↓p.data:0040458D.data:0040458D 5E pop esi ; ESI := 4045ABh .data:0040458D ; выталкиваем из стека адрес возврата, помещенный туда командой call .data:0040458D ; это необходимо для определения своего местоположения в памяти .data:0040458D ;.data:0040458E 31 C9 xor ecx, ecx .data:0040458E ; обнуляем регистр ECX.data:0040458E ;.data:00404590 81 E9 89 FF FF sub ecx, -77h .data:00404590 ; увеличиваем ECX на 77h (уменьшаем ECX на –77h) .data:00404590 ; комбинация xor ecx,ecx/sub ecx, -77h эквивалентна mov ecx,77h .data:00404590 ; за тем исключением, что ее машинное представление не содержит .data:00404590 ; в себе нулей.data:00404596.data:00404596 loc_404596: ; CODE XREF: sub_40458D+15↓j .data:00404596 81 36 80 BF 32 xor dword ptr [esi], 9432BF80h .data:00404596 ; расшифровываем очередной двойное слово специально подобранной гаммой.data:00404596 ;.data:0040459C 81 EE FC FF FF sub esi, -4h .data:0040459C ; увеличиваем ESI на 4h (переходим к следующему двойному слову) .data:0040459C ;.data:004045A2 E2 F2 loop loc_404596 .data:004045A2 ; мотаем цикл, пока есть что расшифровывать.data:004045A2 ;.data:004045A4 EB 05 jmp short loc_4045AB .data:004045A4 ; передаем управление расшифрованному shell-коду.data:004045A4 ;.data:004045A6 loc_4045A6: ; CODE XREF: .data:0040458B↑j.data:004045A6 E8 E2 FF FF FF call sub_40458D .data:004045A6 ; прыгаем назад, забрасывая адрес возврата (а это – адрес следующей .data:004045A6 ; выполняемой инструкции) на вершину стека, после чего выталкиваем .data:004045A6 ; его в регистр ESI, что эквивалентно mov esi,eip, но такой машинной .data:004045A6 ; команды в языке x86 процессоров нет .data:004045A6 ; .data:004045AB ; начало расшифрованного текстаЛистинг 5 расшифровщик shell-кода, выдранный из вируса Love San^ вчера были большие, но по пять…или размер тоже имеет значение! По статистике габариты подавляющего большинства переполняющихся буферов составляет 8 байт. Значительно реже переполняются буфера, вмещающие в себя от 16 до 128 (512) байт, а буферов больших размеров в живой природе практически не встречаются. Закладываясь на худший из возможных вариантов (а в боевой обстановке атакующим приходится действовать именно так!), учитесь выживать даже в жесточайших условиях окружающей среды с минимум пиши, воды и кислорода. В крошечный объем переполняющегося буфера можно вместить очень многое, если подходить ко всякому делу творчески и думать головой. Первое (и самое простое), что пришло нашим хакерским предкам в голову – это разбить атакующую программу на две неравные части – компактную голову и протяжный хвост. Голова обеспечивает следующие функции: переполнение буфера, захват управления и загрузку хвоста. Голова может нести двоичный код, но может обходиться и без него, осуществляя всю диверсионную деятельность руками уязвимой программы. Действительно, многие программы содержат большое количество служебных функций, дающих полный контроль над системой или, на худой конец, позволяют вывести себя из строя и пойти в управляемый разнос. Искажение одной или нескольких критических ячеек программы, ведет к ее немедленному обрушению и количество искаженных ячеек начинает расти как снежный ком. Через длинную или короткую цепочку причинно-следственных последствий в ключевые ячейки программы попадают значения, необходимые злоумышленнику. Причудливый узор мусорных байт внезапно складывается в законченную комбинацию, замок глухо щелкает и дверцы сейфа медленно раскрываются. Это похоже на шахматную головоломку с постановкой мата в N ходов, причем состояние большинства полей неизвестно, поэтому сложность задачи быстро растет с увеличением глубины N. Конкретные примеры головоломок привести сложно, т. к. даже простейшие из них занимают несколько страниц убористого текста (в противном же случае листинги выглядят слишком искусственно, а решение лежит буквально на поверхности). Интересующиеся могут обратиться к коду червя Slapper, до сих пор остающимся непревзойденным эквилибристом по глубине атаки и детально проанализированным специалистами копании Symantec, отчет которых можно найти на их же сайте (см. "An Analysis of the Slapper Worm Exploit"). Впрочем, атаки подобного типа скорее относятся к экзотике интеллектуальных развлечений, чем к практическим приемам вторжения в систему и потому чрезвычайно мало распространены. В плане возвращения к средствам традиционной "мануальной терапии", отметим, что если размер переполняющегося буфера равен 8 байтам, отсюда еще не следует, что и длина shell-кода должна быть равна тем же 8 байтам. Ведь это же переполняющийся буфер! Но не стоит бросаться и в другую крайность, надеяться, что предельно допустимая длина shell-кода окажется практически неограниченной. Подавляющее большинство уязвимых приложений содержат несколько уровней проверок корректности пользовательского ввода, которые будучи даже не совсем правильно реализованными, все-таки налагают определенные, под час весьма жесткие, ограничения на атаку. Если в куцый объем переполняющегося буфера вместить загрузчик никак не удается, атакующий переходит к плану "B", заключающемуся в поиске альтернативных способов передачи shell-кода. Допустим, одно из полей пользовательского пакета данных допускает переполнение, приводящее к захвату управления, но его размер катастрофически мал. Но ведь остальные поля тоже содержаться в оперативной памяти! Так почему бы не использовать их для передачи shell-кода? Переполняющийся буфер, воздействуя на систему тем или иным образом, должен передать управление не на свое начало, а на первый байт shell-кода, если конечно, атакующий знает, относительный или абсолютный адрес последнего в памяти. Поскольку, простейший способ передачи управления на автоматические буфера сводится к инструкции jmp esp, то наиболее выгодно внедрять shell-код в те буфера, которые расположены в непосредственной близости от вершины стека, в противном случае ситуация рискует самопроизвольно выйти из под контроля и для создания надежно работающего shell-кода атакующему придется попотеть. Собственно говоря, shell-код может находится в самых неожиданных местах, например, в хвосте последнего TCP-пакета (в подавляющем большинстве случаев он попадает в адресное пространство уязвимого процесса, причем зачастую располагается по более или менее предсказуемым адресам). В более сложных случаях shell-код может быть передан отдельным сеансом, – злоумышленник создает несколько подключений к серверу, по одному передается shell-код (без переполнения, но в тех полях, размер которых достаточен для его вмещения), а другому –запрос, вызывающий переполнение и передающий управление на shell-код. Дело в том, что в многопоточных приложениях локальные стеки всех потоков располагаются в едином адресном пространстве процесса и их адреса назначаются не хаотичным, а строго упорядоченным образом. При условии, что между двумя последними подключениями, установленными злоумышленником, к серверу не подключился кто-то еще, "трас-поточное" определение адресов представляет собой хоть и сложную, но вполне разрешимую проблему.^ в поисках самого себя Первой задачей shell-кода является определение своего местоположения в памяти или более строго говоря, текущего значения регистра указателя команд (в, частности, в x86-процессорах это регистр EIP). Статические буфера, расположенные в секции данных, располагаются по более или менее предсказуемым адресам, легко выявляемых дизассемблированием уязвимого приложения. Однако, они чрезвычайно чувствительны к версии атакуемого приложения и в меньшей степени – к модели операционной системы (различные операционные системы имеют неодинаковый нижний адрес загрузки приложений). Динамические библиотеки в большинстве своем перемещаемы и могут загружаться в память по различным базовым адресам, хотя при статической компоновке, каждый конкретный набор динамических библиотек всегда загружается одним и тем же образом. Автоматические буфера, расположенные в стеке, и динамические буфера, расположенные в куче, размещаются по чрезвычайно трудно предсказуемым или даже совершенно непредсказуемым адресам. Использование абсолютной адресации (или, говоря другими словами, жесткой привязки к конкретным адресам, вроде mov eax, [406090h]) ставит shell-код в зависимость от окружающей среды и приводит к многочисленным обрушениям уязвимых приложений, в которых буфер оказался не там, где ожидалось. "Из чего только делают современных хакеров, что они даже переполнить буфер, не угробив при этом систему, оказываются не в состоянии?" вздыхает прошлое поколение. Чтобы этого не происходило, shell-код должен быть полностью перемещаемым – т. е. уметь работать в любых, заранее ему неизвестных адресах. Поставленную задачу можно решить двумя путями – либо использовать только относительную адресацию (что на x86-платформе в общем-то недостижимо), либо самостоятельно определять свой базовый адрес загрузки и вести "летоисчисление" уже от него. И тот, и другой способ рассматриваются ниже, с характерной для хакеров подробностью и обстоятельностью. Семейство x86-процессоров с относительной адресаций категорически не в ладах и разработка shell-кода для них – это отличная гимнастика для ума и огромное поле для всевозможных извращений. Всего имеется две относительных команды (call и jmp/jx с опкодами E8h и Ebh,E9h/7xh,0F 8xh соответственно) и обе – команды управления. Непосредственное использование регистра EIP в адресных выражениях запрещено. Использование относительных CALL'ов в 32-разрядном режиме имеет свои трудности. Аргумент команды задается знаковым 4-байтовым целым, отсчитываемым от начала следующей команды и, при вызове нижележащих подпрограмм, в старших разрядах содержащих одни нули. А, поскольку, в строковых буферах символ нуля может встретиться лишь однажды, такой shell-код просто не сможет работать. Если же заменить нули на что-то другое, можно совершить очччень далекий переход, далеко выходящий за пределы выделенного блока памяти. Чтобы совершить переход по абсолютному адресу (например, вызвать некоторую системную функцию или функцию уязвимой программы) можно воспользоваться конструкцией call регистр/jmp регистр, предварительно загрузив регистр командой mov регистр, непосредственный операнд (от нулевых символов можно избавиться с помощью команд адресной арифметики) или командой call непосредственный операнд с опкодом FF /2, 9A или FF /3 для ближнего, дальнего и перехода по операнду в памяти соответственно. Относительная адресация данных (в т. ч. и самомодифицирующегося кода) обеспечивается на порядок сложнее. Все, имеющиеся в нашем распоряжении команды, адресуются исключительно относительно регистра-указателя верхушки стека (в x86 процессорах это регистр ESP), что, конечно, довольно привлекательно само по себе, но и таит определенную внутреннею опасность. Положение указателя стека после переполнения в общем случае не определено и наличие необходимого количества стековой памяти не гарантировано. Так что действовать приходится на свой страх и риск. Стек можно использовать и для подготовки строковых/числовых аргументов системных функций, формируя их командой push и передавая через относительный указатель ESP + X, где X может быть как числом, так и регистром. Аналогичным образом осуществляется и подготовка самомодифицирующегося кода – мы "пушим" код в стек и модифицируем его, отталкиваясь от значения регистра ESP. Любители же "классической миссионерской" могут пойти другим путем, определяя текущую позицию EIP посредством конструкции call $ + 5/ret, правда в лоб такую последовательность машинных команд в строковой буфер не передать, т. к. 32-раязрдярый аргумент команды call содержат несколько символов нуля. В простейшем случае они изгоняются "заклинаниям" 66 E8 FF FF C0, которое эквивалентно инструкциям call $ 3/inc eax наложенным друг на друга (естественно, это может быть не только EAX и не только inc). Затем лишь остается вытолкнуть содержимое верхушки стека в любой регистр общего назначения, например, EBP или EBX. К сожалению, без использования стека здесь не обойтись и предлагаемый метод требует, чтобы указатель вершины стека смотрел на выделенный регион памяти, доступной на запись. Для перестраховки (если переполняющийся буфер действительно срывает стек на хрен) регистр ESP рекомендуется инициализировать самостоятельно. Это действительно очень просто сделать, ведь многие из регистровых переменных уязвимой программы содержат предсказуемые значения, точнее – используются предсказуемым образом. Так, в Си++ программах ECX наверняка содержит указатель this, а this это не только ценный мех, но и как минимум 4 байта доступной памяти! В порядке дальнейшего развития этой идеи отметим, что не стоит, право же, игнорировать значения регистров, доставшихся shell-коду в момент начала его выполнения. Многие из них указывают на полезные структуры данных и выделенные регионы памяти, которые мы гарантированно можем использовать, не рискуя нарваться на исключение и прочие неожиданные неприятности. Некоторые регистровые переменные чувствительны к версии уязвимого приложения, некоторые – к версии компилятора и ключам компиляции, так что "гарантированность" эта очень и очень относительна, впрочем, как и все сущее на земле.^ техника вызова системных функций Возможность вызова системных функций, строго говоря, не является обязательным условием успешности атаки, поскольку все необходимое для атаки жертва (уязвимая программа) уже содержит внутри себя, в том числе и вызовы системных функций вместе с высокоуровневой оберткой прикладных библиотек вокруг них. Дизассемблировав исследуемое приложение и определив целевые адреса интересующих нас функций, мы можем сделать call целевой адрес или push адрес возврата/jmp относительный целевой адрес или mov регистр, абсолютный целевой адрес/push адрес возврата/jmp регистр. Замечательно, если уязвимая программа импортирует пару функций LoadLibrary/GetProcAddress, – тогда shell-код сможет загрузить любую динамическую библиотеку и обратиться к любой из ее функций. А если функции GetProcAddress в таблице импорта нет? Тогда – атакующий будет вынужден самостоятельно определять адреса интересующих его функций, отталкиваясь от базового адреса загрузки, возращенным LoadLibrary и действуя либо путем "ручного" разбора PE-файла, либо отождествляя функции по их сигнатурам. Первое сложно, второе – ненадежно. Закладывается на фиксированные адреса системных функций категорически недопустимо, поскольку они варьируются от одной версии операционной системы к другой. Хорошо, а как быть когда функция LoadLibrary в таблице импорта конкретно отсутствует и одной или нескольких системных функций, жизненно необходимых shell-коду для распространения, там тоже нет? В UNIX-системах можно (и нужно!) использовать прямой вызов функций ядра, реализуемый либо посредством прерывания по вектору 80h (LINUX, Free BSD, параметры передаются через регистры), либо через дальний call по адресу 0007h:00000000h (System V, параметры передаются через стек), при этом номера системных вызовов содержатся в файле /usr/include/sys/syscall.h, так же смотри врезку "реализация системных вызовов в различных ос". Еще можно вспомнить машинные команды syscall/sysenter, которые, как и следует из их названия, осуществляют прямые системные вызовы вместе с передачей параметров. В Windows NT и производных от нее системах дела обстоят намного сложнее. Взаимодействие с ядром реализуется посредством прерывания int 2Eh, неофициально называемого native API interface ("родной" API интерфейс). Кое-какая информация на этот счет содержится в легендарном Interrupt List'e Ральфа Брауна и "Недокументированных возможностях Windows NT" Коберниченко, но мало, очень мало. Это чрезвычайно скудно документированный интерфейс и единственным источником данных остаются дизассемблерные листинги KERNEL32.DLL и NTDLL.DLL. Работа c native API требует высокого профессионализма и глубокого знания архитектуры операционной системы, да и как-то громоздко все получается, – ядро NT оперирует с небольшим числом довольно примитивных (или, если угодно, – низкоуровневых) функций. К непосредственному употреблению они непригодны и, как и всякий полуфабрикат, должны быть соответствующим образом приготовлены. Например, функция LoadLibrary "распадается" по меньшей мере на два системных вызова – NtCreateFile (EAX == 17h) открывает файл, NtCreateSection (EAX == 2Bh) проецирует файл в память (т. е. работает как CreateFileMapping), после чего NtClose (EAX == 0Fh) со спокойной совестью закрывает дескриптор. Что же касается функции GetProcAddress, то она целиком реализована в NTDLL.DLL и в ядре даже не ночевала (впрочем, при наличии спецификации PE-формата – она входит в Platform SDK и MSDN – таблицу экспорта можно проанализировать и в "ручную"). С другой стороны, обращаться к ядру для выбора "эмулятора" LoadLibrary совершенно необязательно, поскольку библиотеки NTDLL.DLL и KERNEL32.DLL всегда присутствуют в адресном пространстве любого процесса и если мы сможем определить адрес их загрузки, мы сорвем банк. Автору известно два способа решения этой задачи – через системный обработчик структурных исключений и через PEB. Первый – самоочевиден, но громоздок и неэлегантен, а второй элегантен, но ненадежен. "PEB только на моей памяти менялась три раза" (с) Юрий Харон. Однако, последнее обстоятельство ничуть не помешало червю Love San разбросать себя по миллионам машин. Если во время выполнения приложения возникает исключительная ситуация (деление на ноль или обращение к несуществующей странице памяти, например) и само приложение никак ее не обрабатывает, то управление получает системный обработчик, реализованный внутри KERNEL32.DLL и в W2K SP3 расположенный по адресу 77EA1856h. В других операционных системах этот адрес будет иным, поэтому грамотно спроектированный shell-код должен автоматически определять адрес обработчика на лету. Вызывать исключение и трассировать код (как это приходилось делать во времена старушки MS-DOS) теперь совершенно необязательно. Лучше обратиться к цепочке структурных обработчиков, упакованных в структуру EXCEPTION_REGISTRATION, первое двойное слово которых содержит указатель на следующий обработчик (или FFFFFFFFh, если никаких обработчиков больше нет), а второе – адрес данного обработка_EXCEPTION_REGISTRATION struc prev dd ? handler dd ?_EXCEPTION_REGISTRATION ends^ Листинг 6 структура EXCEPTION REGISTRATION Первый элемент цепочки обработчиков храниться по адресу FS:[00000000h], а все последующие – непосредственно в адресном пространстве подопытного процесса. Перемещаясь от элемента к элементу мы будем двигаться до тех пор, пока в поле prev не встретим FFFFFFFFFh, тогда поле handler предыдущего элемента будет содержат адрес системного обработчика. Неофициально этот механизм называется "раскруткой стека структурных исключений" и подробнее о нем можно прочитать в статье Мэтта Питрека "A Crash Course on the Depths of Win32 Structured Exception Handling", входящий в состав MSDN. В качестве наглядной иллюстрации ниже приведен код, возвращающий в регистре EAX адрес системного обработчика..data:00501007 xor eax, eax ; EAX := 0.data:00501009 xor ebx, ebx ; EBX := 0.data:0050100B mov ecx, fs:[eax+4] ; адрес обработчика.data:0050100F mov eax, fs:[eax] ; указатель на след. обработчик.data:00501012 jmp short loc_501019 ; на проверку условия цикла.data:00501014 ; ───────────────────────────────────────────────────────────────────.data:00501014 loc_501014:.data:00501014 mov ebx, [eax+4] ; адрес обработчика.data:00501017 mov eax, [eax] ; указатель на след. обработчик.data:00501019.data:00501019 loc_501019:.data:00501019 cmp eax, 0FFFFFFFFh ; это последний обработчик?.data:0050101C jnz short loc_501014 ; мотаем цикл пока не конец^ Листинг 7 код, определяющий базовый адрес загрузки KERNEL32.DLL по SEH Коль скоро по крайней мере один адрес, принадлежащий библиотеке KERNEL32.DLL нам известен, определить базовый адрес ее загрузки уже не составит никакого труда (он кратен 1000h и содержит в своем начале NewExe заголовок, элементарно опознаваемый по сигнатурам "MZ" и "PE"). Следующий код принимает ожидает в регистре EBP адрес системного загрузчика и в нем же возвращает базовый адрес загрузки KERNEL32.DLL.001B:0044676C CMP WORD PTR [EBP+00],5A4D ; это "MZ"?001B:00446772 JNZ 00446781 ; -- нет, не MZ -->001B:00446774 MOV EAX,[EBP+3C] ; на "PE" заголовок001B:00446777 CMP DWORD PTR [EAX+EBP+0],4550 ; это "PE"?001B:0044677F JZ 00446789 ; -- да, это PE -->001B:00446781 SUB EBP,00010000 ; след. 1Кб блок001B:00446787 LOOP 0044676C ; мотаем цикл001B:00446789 …^ Листинг 8 функция определяющая базовый адрес загрузки KERNEL32.DLL путем поиска сигнатур "MZ" и "PE" в оперативной памяти Существует и более элегантный способ определения базового адреса загрузки KERNEL32.DLL, основанный на PEB (Process Environment Block – блок окружения процесса), указатель на который содержится в двойном слове по адресу FS:[00000030h], а сам PEB разлагается следующим образом:^ PEB STRUC PEB_InheritedAddressSpace DB ? PEB_ReadImageFileExecOptions DB ? PEB_BeingDebugged DB ? PEB_SpareBool DB ? PEB_Mutant DD ? PEB_ImageBaseAddress DD ? PEB_PebLdrData DD PEB_LDR_DATA PTR ? ; +0Ch … PEB_SessionId DD ? PEB^ Листинг 9 реализация структуры PEB в W2K/XP По смещению 0Ch в нем содержится указатель на PEN_LDR_DATA, представляющий собой список загруженных динамических библиотек, перечисленный в порядке их инициализации (NTDLL.DLL инициализируется первой, следом за ней идет KERNEL32.DLL):^ PEB_LDR_DATA STRUC PEB_LDR_cbsize DD ? ; +00 PEB_LDR_Flags DD ? ; +04 PEB_LDR_Unknown8 DD ? ; +08 PEB_LDR_InLoadOrderModuleList LIST_ENTRY ? ; +0Ch PEB_LDR_InMemoryOrderModuleList LIST_ENTRY ? ; +14h PEB_LDR_InInitOrderModuleList LIST_ENTRY ? ; +1Ch^ PEB_LDR_DATA ENDSLIST_ENTRY STRUC LE_FORWARD dd *forward_in_the_list ; + 00h LE_BACKWARD dd *backward_in_the_list ; + 04h LE_IMAGE_BASE dd imagebase_of_ntdll.dll ; + 08h … LE_IMAGE_TIME dd imagetimestamp ; + 44hLIST_ENTRY^ Листинг 10 реализация структуры PEB_LDR_DATA в W2K/XP Собственно, вся идея заключается в том, чтобы прочитав двойное слово по адресу FS:[00000030h], преобразовать его в указатель на PEB и перейти по адресу на который ссылается указатель, лежащий по смещению 0Ch от его начала – InInitOrderModuleList. Отбросив первый элемент, принадлежащий NTDLL.DLL, мы получим указатель на LIST_ENTRY, содержащей характеристики KERNEL32.DLL (в частности, базовый адрес загрузки храниться в третьем двойном слове). Впрочем, это легче программировать, чем говорить и все вышесказанное с легкостью умещается в пяти ассемблерных командах. Ниже приведен код, выдранный из червя Love San, до сих пор терроризирующего Интернет. Данный фрагмент не имеет никакого отношения к автору вируса и был им "позаимствованный" из сторонних источников. Об этом говорят "лишние" ассемблерные команды, предназначенные для совместимости с Windows 9x (в ней все не так, как в NT), но ведь ареал обитания Love San'а ограничен исключительно NT-подобными системами и он в принципе неспособен поражать Windows 9x! data:004046FE 64 A1 30 00 00 mov eax, large fs:30h ; PEB basedata:00404704 85 C0 test eax, eax ;data:00404706 78 0C js short loc_404714 ; -- мы на w9x -->data:00404708 8B 40 0C mov eax, [eax+0Ch] ; PEB_LDR_DATAdata:0040470B 8B 70 1C mov esi, [eax+1Ch] ; 1й элемент InInitOrderModuleListdata:0040470E AD lodsd ; следующий элементdata:0040470F 8B 68 08 mov ebp, [eax+8] ; базовый адрес KERNEL32.DLLdata:00404712 EB 09 jmp short loc_40471Ddata:00404714; ────────────────────────────────────────────────────────────────data:00404714 loc_404714: ; CODE XREF: kk_get_kernel32+A↑jdata:00404714 8B 40 34 mov eax, [eax+34h]data:00404717 8B A8 B8 00 00+ mov ebp, [eax+0B8h]data:00404717data:0040471D loc_40471D: ; CODE XREF: kk_get_kernel32+16↑jЛистинг 11 фрагмент червя Love San, ответственный за определение базового адреса загрузки KERNEL32.DLL и обеспечивающий червю завидную независимости от версии атакуемой операционной системы Ручной разбор PE-формата несмотря на свое устрашающее название реализуется элементарно. Двойное слово, лежащее по смещению 3Ch от начала базового адреса загрузки, содержит смещение (не указатель!) PE-заголовка файла, который в свою очередь в 78h своем двойном слове содержит смещение таблицы экспорта, 18h – 1Bh и 20h – 23h байты которой хранят количество экспортируемых функций и смещение таблицы экспортируемых имен соответственно (хотя, функции экспортируются так же и по ординалам, смещение таблицы экспорта которых находится в 24h –27h байтах). Запомните эти значения – 3Ch, 78h, 20h/24h – они будут вам часто встречаться в коде червей и эксплоитов, значительно облегчая идентификацию алгоритма последних..data:00404728 mov ebp, [esp+arg_4] ; базовый адрес загрузки KERNEL32.data:0040472C mov eax, [ebp+3Ch] ; на PE-заголовок.data:0040472F mov edx, [ebp+eax+78h] ; на таблицу экспорта.data:00404733 add edx, ebp.data:00404735 mov ecx, [edx+18h] ; кол-во экспортируемых функций.data:00404738 mov ebx, [edx+20h] ; на таблицу экспортируемых имен.data:0040473B add ebx, ebp ; адрес таблицы экспор. имен^ ^ глава 2техника написания переносимого shell-кода shell-код никогда заранее не знает куда попадет, поэтому он должен уметь выживать в любых условиях, автоматически адаптируясь под конкретную операционную систему, что не так-то просто сделать. подавляющее большинство хакеров именно на этом и прокалывались. немногие выжившие в поединке дали миру киберпространства то, в чем нуждались десятки червей, вирусов и их создателей…^ Картинка 3 заплечный рюкзак перемещаемого shell-кода Последнее время в хакерских кругах много говорят о переносимом shell-коде. Одни восхищаются им, другие презрительно хмыкают, уподобляя переносимый shell-код морской свинке. И не морской, и не свинке. Шутка. Но доля истины в ней есть. "Переносимым" называют программное обеспечение, полностью абстрагированное от конструктивных особенностей конкретного программно-аппаратного обеспечения. Функция printf успешно выводит "hello, world!" как на монитор, так и на телетайп. Поэтому, она переносима. Обратите внимание: переносима именно функция, но не ее реализация. Монитор и телетайп обслуживает различный код, выбираемый на стадии компиляции приложения, а точнее его линковки, но это уже не суть важно. Shell-код – это машинный код, тесно связанный с особенностями атакуемом системы и переносимым он не может быть по определению. Компиляторов shell-кода не существует, хотя бы уже потому что не существует адекватных языков его описания, что