W rejestrze EAX mamy liczbê, któr± trzeba pomno¿yæ przez 2 i wynik dodaæ zmiennej first_thunk...

znaleziona_funkcja: shl mov add mov eax, 2 ebx, [ebp+offset first_thunk] eax, ebx eax, [eax] ; EAX= adres funkcji Mamy adres funkcji, teraz mo¿emy ju¿ w ³atwy sposób uzyskaæ adres KERNEL32.DLL kernel db "KERNEL32.DLL",0 mov edx, offset kernel add edx, ebp push edx ; zachowaj ;GetModuleHandle("KERNEL32.DLL"); ; je¿eli b³±d, to funkcja zwraca NULL mov [ebp+offset adresGMH], eax cali eax cmp eax, O jne znaleziono_kernel W przypadku, gdy który¶ z fragmentów kodu skoczy do etykiety "nie_znalezione", mo¿emy siê jeszcze ratowaæ prób± wykorzystania sta³ego adresu za³adowania KERNEL32.DLL, ale uwaga adres ten nie musi byæ we wszystkich wersjach Windows taki sam. Trzeba uwa¿aæ poniewa¿ w przypadku, gdy nie jest to adres j±dra, to mo¿emy doprowadziæ do zawieszenia siê systemu. nie_znalezione: mov eax, OBFFTOOOOh Wcze¶niej je¿eli wszystko posz³o po naszej my¶li, to program skoczy do etykiety "znaleziono_kernel" a rejestr EAX bêdzie wskazywa³ na modu³ j±dra w pamiêci. znaleziono_kernel: mov mov cmp jne mov add cmp jne [ebp+offset adres j±dra], eax edi, eax wordptr [edi]. 'ZM' b³±d edi, [edi+3Ch] edi, [ebp+offset adres j±dra] word ptr [edi], 'EP' b³±d zachowaj adres j±dra standardowe sprawdzenia Wszystko w porz±dku, mamy zlokalizowane j±dro w pamiêci. Teraz powinni¶my odszukaæ funkcjê GetProcAddress, która zwraca nam adres funkcji w pamiêci. Dziêki temu w przysz³o¶ci nie bêdzie potrzeby stosowania naszego kodu do odnajdywania funkcji, co bardzo nam u³atwi prace, poniewa¿ kiedy zajdzie potrzeba wywo³ania dowolnego API, pos³u¿ymy siê GetModuleHandle (zwróci nam uchwyt do modu³u) oraz GetProcAddress (zwróci nam adres funkcji z tego modu³u do którego mamy uchwyt). Sprawa wydaje siê byæ prosta i oczywista. Posiadaj±c adres j±dra, mo¿emy przyst±piæ do analizowania jego tabeli eksportów, w celu odnalezienia szukanej, eksportowanej przez ten modu³ funkcji GetProcAddress . 32 pushad mov add mov add lodsd mov lodsd lodsd mov add lodsd add mov lodsd add mov lodsd add mov mov lodsd add esi, [edi+78h] esi, [ebp+offset adres j±dra] [ebp+offset eksport], esi esi, lOh [ebp+offset baza_numer], eax [ebp+offset liczba_nazw], eax eax, [ebp+offset adres j±dra] eax, [ebp+offset adres j±dra] [ebp+offset adres_funkcji], eax eax, [ebp+offset adres j±dra] [ebp+offset adres_nazw], eax eax, [ebp+offset adres j±dra] [ebp+offset adres_numerow], eax esi, [ebp+offset adres_funkcji] eax, [ebp+offset adres j±dra] ; przejd¼ do tabeli eksportu (element O w DataDirectory) ; dodaj aby otrzymaæ VA z RVA ; zachowaj ; ustaw siê. na pole w IMAGE_EXPORT_DIRECTORY ; pobierz nBase ; pobierz NumberOfFunctions ; pobierz NumberOjNames ; pobierz AddressOfFunctions ; pobierz AddressOjNames ; pobierz AddressOjNameOrdinals Pobrali¶my wszystkie istotne pola z IMAGE_EXPORT_DIRECTORY. funkcji GetProcAddress w tabeli eksportów: Mo¿emy przyst±piæ do szukania mov mov mov add xor mov add szuka j_dalej: mov skanuj: cmpsb jne cmp je esi, [ebp+offset adres_nazw] [ebp+offset indeks], esi edi, [esi] edi, [ebp+offset adres j±dra] ecx, ecx ebx, offset strGPA ebx, ebp esi, ebx nastêpny byte ptr [edi], O znaleziono_funkcj e skanuj ; wska¼nik na pierwsz± nazwê ; zachowaj indeks do tabeli ;licznik ; ustaw EBX na nazwê funkcji, której szukamy ; ESI = nazwa szukanej funkcji ; porównaj jeden bajt (znak stringa) ; nie ta funkcja? ; koniec? nastêpny: inc cmp jge add mov mov add ex ex, word ptr [ebp+offset liczba_nazw] b³±d dword ptr [ebp+offset indeks], 4 esi, [ebp+offset indeks] edi, [esi] edi, [ebp+offset adres j±dra] szukaj_dalej ; porównanie licznika z ilo¶ci± ; importowanych funkcji z KERENL32.DLL ; 4 = DWORD, zwiêksz i próbuj dalej 33 ,gdzie mamy tak zdefiniowane zmienne: strGPA db "GetProcAddress",0 adresGPA dd O Gdy znaleziono string w tabeli wskazywanej przez AddressOfNames, odpowiadaj±cy szukanej funkcji, to rejestr CX zawiera indeks do tabeli AddressOfNameOrdinals. Teraz je¿eli chcemy uzyskaæ RVA szukanej funkcji, to trzeba wykonaæ (zapis jêzyka C): NumerFunkcji = *(CX * 2 + AddressOfNameOrdinals ); (mno¿ymy przez 2 bo elementami w tabeli AddressOfNameOrdinals s± WORD'y) NumerFunkcji jest indeksem do tabeli adresów funkcji (AddressOfNames), której elementami s±DWORD'y. Zatem posiadaj±c taki indeks, mo¿emy otrzymaæ adres naszej API GetProcAddress: AdresFunkcji= *(NumerFunkcji*4 + AddressOfFunctions); Tak wygl±da to w assemblerze: znaleziono_funkcje: mov ebx, esi inc ebx shl ecx, l ; ECX=ECX*2, bo 2A1=2 mov esi, [ebp+offset adres_numerow] ; AddressOfNameOrdinals add esi, ecx xor eax, eax mov ax, word ptr [esi] shl eax, 2 ; NumerFunkcji=NumerFunkcji*4, bo 2A2=4 mov esi, [ebp+offset adres_funkcji] ; AddressOfFunctions add esi, eax mov edi, dword ptr [esi] ; pobierz RVA add edi, [ebp+offset adres J±dra] ; i skonwertuj do VA (YirtalAddress) EDI wskazuje na funkcjê GetProcAddress ! Zachowamy to. mov [ebp+offset adresGPA], edi popad ; zakoñcz ca³± operacjê, odzyskaj zachowane rejestry Teraz ju¿ mo¿emy spokojnie wywo³ywaæ dowolne API, mo¿emy przecie¿ odnale¼æ ich adresy: push offset mov eax, [ebp+offset adres j±dra] push eax mov eax, [ebp+offset adresGPA] ; GetProcAddress(funkcja,modu³); cali eax cmp eax, O jz b³±d Powy¿szy fragment kodu dotyczy przypadku, kiedy chcemy wywo³aæ funkcjê eksportowan± w KERNEL32.DLL. W innych przypadkach musimy uzyskaæ uchwyt do modu³u, w którym znajduje siê funkcja. Robimy to poprzez funkcjê GetModuleHandle(), jej adres mamy zapamiêtany w adresGMH. W rejestrze EAX mamy adres szukanej funkcji, teraz odk³adaj±c na stos kolejno jej argumenty (wg konwencji C) i wykonuj±c cali eax wywo³ujemy odpowiednio nasz± funkcjê. 34 4