книги хакеры / журнал хакер / 097_Optimized

Результатработыпрограммы

var pdwSize: DWORD; bOrder: BOOL

): DWORD; stdcall;

Здесь мы объявляем переменную типа «функ­ ция» с именем GetTcpTable. Чуть позже, когда мы создадим код загрузки библиотеки, в эту переменную будет записан адрес системной функции. GetTcpTable получает 3 параметра:

1.Указатель на структуру MIB_TCPTABLE. Это и есть таблица состояний, которую мы получим на выходе.

2.Размер выделенной памяти для хранения таблицы. О том, сколько памяти выделять, мы поговорим, когда будем рассматривать реальный пример.

3.Булево значение, которое определяет, нужно ли сортировать таблицу.

Самое интересное здесь — это, конечно же, первый параметр, где мы видим структуру MIB_TCPTABLE. Она выглядит следующим образом:

MIB _ TCPTABLE = record dwNumEntries: DWORD;

table: array [0..0] of MIB _ TCPROW; end;

Уже по именам можно понять, для чего нужны поля структуры. Первый параметр — это коли­ чество записей в таблицы состояний, а второй

— это массив структур типа MIB_TCPROW, где содержатся сами записи.

Структура MIB _ TCPROW

MIB _ TCPROW = record dwState: DWORD; dwLocalAddr: DWORD; dwLocalPort: DWORD; dwRemoteAddr: DWORD; dwRemotePort: DWORD;

end;

Вот тут и содержится вся необходимая нам информация, которую отображает TCP View:

•dwState — состояние;

•dwLocalAddr — локальный адрес;

•dwLocalPort — локальный порт;

•dwRemoteAddr — адрес удаленной машины, которая запросила соединение;

•dwRemotePort — удаленный порт.

СостояниеUDP

Идентичная функция есть и для получения состояния UDP-портов — GetUdpTable.

Разница заключается только в том, что структура состояния содержит исключи­ тельно локальный порт и локальный адрес. У UDP нет возможности создавать соеди­ нения, а значит удаленного адреса и порта просто не может быть. Полный код описания процедур GetTcpTable, GetUdpTable и

необходимых структур можешь увидеть в листинге 1. Тебе остается только создать и добавить в него этот код.

Загрузка библиотеки

Настало время написать код загрузки библи­ отеки. Создадим для этого процедуру:

LoadAPIHelpAPI: procedure LoadAPIHelpAPI; begin

if HIphlpapi = 0 then

HIpHlpApi :=

LoadLibrary('iphlpapi.dll'); if HIpHlpApi > HINSTANCE_ERROR

then begin

@GetTcpTable := GetProcAddress( HIpHlpApi, 'GetTcpTable'); @GetUdpTable := GetProcAddress( HIpHlpApi, 'GetUdpTable');

end;

end;

В этом коде нетрудно заметить переменную HIpHlpApi. Что это? А это всего-навсего хэндл загруженной библиотеки. Ее нужно объявить где нибудь в модуле, чуть ранее:

var

HIpHlpApi: THandle = 0;

Теперь вернемся к LoadAPIHelpAPI. Сна­ чала проверяем переменную HIpHlpApi. Если она равна нулю, то загружаем сетевую библиотеку. Кстати, имя этой библиотеки — iphlpapi.dll.

Ну что, проверим результат? В случае по­ ложительного ответа, мы получим адреса всех необходимых функций с помощью

GetProcAddress.

Листинг1

type

//Описание отдельной записи TCP

PMIB _ TCPROW = ^MIB _ TCPROW;

MIB _ TCPROW = record dwState: DWORD; dwLocalAddr: DWORD; dwLocalPort: DWORD; dwRemoteAddr: DWORD; dwRemotePort: DWORD; end;

//Структура для хранения массива записей TCP

PMIB _ TCPTABLE = ^MIB _ TCPTABLE;

MIB _ TCPTABLE = record dwNumEntries: DWORD; table: array [0..0] of MIB _

TCPROW;

end;

//Описание отдельной UDP-записи

PMIB _ UDPROW = ^MIB _ UDPROW;

MIB _ UDPROW = record dwLocalAddr: DWORD; dwLocalPort: DWORD; end;

//Структура для хранения массива записей UDP

PMIB _ UDPTABLE = ^MIB _ UDPTABLE;

MIB _ UDPTABLE = record dwNumEntries: DWORD; table: array [0..0] of MIB _

UDPROW;

end;

var

//Функция получения таблицы TCP

GetTcpTable: function

(pTcpTable: PMIB _ TCPTABLE; var pdwSize: DWORD; bOrder:

BOOL): DWORD; stdcall; {$EXTERNALSYM GetTcpTable}

//Функция получения таблицы UDP

GetUdpTable: function

(pUdpTable: PMIB _ UDPTABLE; var pdwSize: DWORD; bOrder:

BOOL): DWORD; stdcall; {$EXTERNALSYM GetUdpTable}

Чтобы функция выполнялась автоматически при использовании модуля, вызовем ее в разделе initialization:

Initialization

LoadAPIHelpAPI;

Листинг2

var

error, dwSize:DWORD; tcpTable:PMIB _ TCPTABLE; i:Integer;

begin lwTCP.Items.Clear; dwSize:=0;

// Первый вызов для определения

количества записей

error := GetTcpTable(nil, &dwSize, TRUE);

if (error <> ERROR_INSUFFICIENT_

BUFFER) then exit;

// Выделяем необходимую память и

получаем таблицу TCP try

ReallocMem(tcpTable, dwSize); error := GetTcpTable(tcpTable,

&dwSize, TRUE); if (error>0) then exit;

// перебираем все записи и

добавляем их в ListView for i := 0 to tcpTable.

dwNumEntries — 1 do begin

with lwTCP.Items.Add do begin

Caption:='TCP';

SubItems.Add(

inet _ ntoa(TInAddr(tcpTable^. table[i].dwLocalAddr)));

SubItems.Add(IntToStr(tcpTable^.

table[i].dwLocalPort)); SubItems.Add(inet _ ntoa

(TInAddr(tcpTable^.table[i].

dwRemoteAddr)));

SubItems.Add(IntToStr(tcpTable^.

table[i].dwRemotePort));

SubItems.Add(TCPState[tcpTable^.

Table[I].dwState]);

SubItems.Add('');

end;

end; finally

FreeMem(tcpTable);

end;

end;

Уже по названию легко понять, для чего нужны эти константы. Исходя из личного опыта, могу сказать, что иногда состояние может быть равным 0, хотя соот­ ветствующей константы нет. Видимо, данный факт нужно воспринимать как ошибку, а может быть, как нечто

неопознанное (возможно, даже инопла­ нетное — примечание Лозовского). Чтобы было удобнее превращать числовое значение состояния в строку, можно создать константу в виде массива строк, например, вот так:

TcpState: array [0..12] of String =

'???', 'CLOSED', 'LISTENING', 'SYN _

SENT', 'SYN _ RCVD', 'ESTABLISHED', 'FIN _ WAIT1', 'FIN _ WAIT2', 'CLOSE _

WAIT', 'CLOSING', 'LAST _ ACK', 'TIME _

'DELETE _ TCB');

UDP

Ради экономии места я не буду рассматри­ вать код получения UDP-таблицы.

Ты можешь написать его сам, поскольку он идентичен работе с TCP.

Просто поменяем функцию GetTCPTable на GetUDPTable, а переменную типа

PMIB_TCPTABLE на PMIB_UDPTABLE.

Попробуй реализовать код самостоятель­ но, не заглядывая в листинг 3.

Формабудущейпрограммы

Крис Касперски

ASM

вежая в памяти события давно

Cминувших дней (уже листья

облететь за это время), напомним, что, исправив кучу IDA Pro (перечисление которых слишком много места), мы дошли

до файла demo_3.asm, который нам удалось ассемблировать MASM'ом, со следующими ключами:

ML.EXE /coff /I. /c /Cp /Zp1 /Zm demo _ 3.asm

Здесь /coff — создавать оbj-файл в форма­ те coff (иные форматы ms link не поддержи­ вает, а искать другие линкеры нам в лом); /I. — искать включаемые файлы в текущей директории; /c — только ассемблировать, не линковать (линковать мы будем вруч­ ную); /Cp — учитывать регистр символов; /Zp1 — выравнивание для структур; /Zm

— режим совместимости с MASM 5.10, в формате которого IDA Pro и создает листинги.

БитвазаAPI

Транслятор MASM (входящий, в частности,

в состав NTDDK) не выдает ни единой ошибки и генерирует obj-файл. Наступает волнующее время линковки:

$link.exe demo _ 3.obj Microsoft (R) Incremental Linker

Version 5.12.8181

Copyright (C) Microsoft Corp

19921998. All rights reserved.

LINK:fatal error LNK1221: a subsystem can't be inferred and must be defined

Линкер матерится, что подсистема не задана, и линковать не хочет. Ну, это даже не вопрос! Подсистема задается через ключ /SUBSYSTEM, за которым следует одно из следующих ключевых слов: NATIVE — для драйверов, WINDOWS — для GUI-приложе­ ний, CONSOLE — для консольных прило­ жений, WINDOWSCE — для платформы

Windows CE, POSIX — э… ну… это такая пародия на UNIX, все равно ни хрена нера­ ботающая.

Фактически выбирать приходится между

WINDOWS и CONSOLE. Чем они отличают­ ся? С точки зрения PE-формата, одним би­ том в заголовке, указывающим системному загрузчику, создавать или не создавать кон­ соль при запуске файла. Попытка линковки консольного файла как GUI заканчивается фатально (консоль не создается и весь ввод/вывод обламывается). Обратное не столь плачевно, но пустое консольное

окно на фоне GUI выглядит как то странно. Но мы то знаем, что наше приложение кон­ сольного типа, поэтому пишем:

$link /SUBSYSTEM:CONSOLE demo _ 3.obj Microsoft (R) Incremental Linker

Version 5.12.8181

Copyright (C) Microsoft Corp

19921998. All rights reserved.

demo _ 3.obj:error LNK2001: unresolved external symbol _ WriteFile

demo _ 3.obj:error LNK2001: unresolved external symbol _ GetVersion

…

demo _ 3.obj:error LNK2001: unresolved external symbol _ SetStdHandle

demo _ 3.obj:error LNK2001: unresolved external symbol _ CloseHandle

demo _ 3.exe:fatal error LNK1120: 40 unresolved externals

Хорошая новость — линкер заглатывает на­ живку и пытается переварить файл. Плохая новость — это у него не получается.

А не получается потому, что он не распоз­ нает имена API-функций, которых в нашем демонстрационном примере аж целых 40 штук! В переводе с английского руга­ тельство «error LNK2001: unresolved external

symbol _WriteFile» звучит как «Егор: LNK2001:

неразрешимый внешний символ _WriteFile». Сразу же возникает вопрос: откуда взялся знак прочерка и почему это WriteFile вдруг стала неразрешимым символом?! Смотрим в ассемблерный листинг. Контекстный поиск по «_WriteFile» ничего не дает! API-функция там объявлена без знака прочерка:

;Segment type: Externs

;BOOL __stdcall WriteFile(HANDLE hFile, LPCVOID lpBuffer,

;DWORD nBytesToWrite, LPDWORD lpNumberOfBytesWritten,LPOVERLAPPED lpOverlapped);

extrn WriteFile:dword

А теперь открываем demo_3.obj в любом hex-редакторе (например, в FAR'е по <F3> или в HIEW'е) и повторяем процедуру поиска еще раз.

Строка «WriteFile» встречается дважды: один раз со знаком прочерка, другой — без. Вот этот самый прочерк линкеру и не нравится. Откуда же он берется?! А оттуда! Курим листинг и убеждаемся, насколько IDA Pro коварна и хитра. Тип API-функции (stdcall) задан только в комментарии! Транс­ лятор же комментариев не читает и берет тип по умолчанию, которым в данном случае является Си (cdecl), предписывающий перед всеми символьными именами ставить знак прочерка, что, собственно говоря, и происходит.

Кстати, комментарий неправильный. Дело

втом, что тип вызова никак не stdcall, согласно которому транслятор должен превратить «WriteFile» в «_WriteFile@20», где

20 — размер аргументов в байтах, заданный

вдесятеричной нотации. Это вообще не сама функция, а двойное слово, в которое операционная система заносит эффектив­ ный адрес WriteFile при загрузке PE-файла

впамять. В библиотеке KERNEL32.LIB

(входящей, в частности, в состав SDK) ему соответствует имя «__imp__WriteFile@20».

Именно такой титул должен носить прототип API-функции, если мы хотим успешно слинковать obj-файл, и именно это имя мы используем при вызове API-функции при программировании на голом ассемблере (без включаемых файлов). Вот только IDA Pro во все эти подробности не вникает, перекладывая их на наши плечи.

Если во всем ассемблерном листинге по­ менять «WriteFile» на «_imp__WriteFile@20»,

то линкер переварит его вполне нормально

идаже не отрыгнет. Нет, это не опечатка.

Именно «_imp__WriteFile@20», а не «__imp__ WriteFile@20». Почему?! Да потому, что вто­ рой символ прочерка транслятор добавит самостоятельно. Если же сразу указать 2 символа прочерка, то на выходе их образу­ ется целых 3, а это уже передоз.

Копируем demo_3.asm в demo_3_test.asm,

загружаем его в FAR по <F4>, давим

<CTRL-F7> (replace) и меняем «WriteFile» на «_imp__WriteFile@20». Ассемблируем как

ираньше, после чего повторяем попытку линковки с явным указанием имени библио­ теки KERNEL32.LIB:

Результат линковки после замены

«WriteFile» « _ imp _ WriteFile@20» $link /SUBSYSTEM:CONSOLE demo_3_test. obj KERNEL32.LIB

Microsoft (R) Incremental Linker

Version 5.12.8181

Copyright (C) Microsoft Corp

1992 1998. All rights reserved.

demo_3_test.obj:error LNK2001: unresolved external symbol _ GetVersion

…

demo_3_test.obj:error LNK2001: unresolved external symbol _ SetStdHandle demo_3_test.obj:error LNK2001: unresolved external symbol _

CloseHandle

demo_3_test.exe:fatal error LNK1120: 39 unresolved externals

Этоработает!Количествоошибокуменьши­ лосьнаединицуи первоенеразрешенное имятеперьне«_WriteFile»,а «_GetVersion»!

ПереименовавоставшиесяAPI-функции,мы добьемсянормальнойлинковкипрограммы, ноэтосколькожетрудапредстоит!И в каждом новомассемблерномфайле,этутупую работу придется повторять заново. Настоящие хакеры идут другим путем — воспользо­ вавшись директивами externdef и equ, они создают для каждой

API-функции свой алиас (alias), застав­ ляющий транслятор трактовать функцию func как __imp__func@XX. В частности, для

WriteFile это будет выглядеть так:

externdef imp _ _ WriteFile@20:PTR pr5

WriteFile equ < _ imp _ _ WriteFile@20>

Эту работу необязательно выполнять вручную

иза вечер-другой можно написать утилиту, захватывающую DLL и выдающую готовый набор алиасов на выходе. Другой вариант

— воспользоваться макросредствами FAR'а или редактора TSE-Pro (бывший QEDIT), позволяющих делать все что угодно и даже больше.

Самое главное, что коллекцию алиасов можно разместить в отдельном файле, подключае­ мом к ассемблерному листингу директивой include. Создав все необходимые включаемые файлы один-единственный раз, мы можем пользоваться ими сколько угодно, причем не только для ассемблирования дизассемблер­ ных листингов, полученных IDA Pro, но и в сво­ их собственных ассемблерных программах. Параметр prN, идущий после PTR, показыва­ ет, сколько аргументов принимает функция,

ичисленно равен их размеру (число после символа «@»), деленному на размер двойного слова, составляющий, как известно, 4 байта. То есть в случае с WriteFile мы получаем: 20/4 = 5. Также обрати внимание на символы про­ черка. В первой строке «imp__func@XX» пишется вообще без знаков прочерка, во вто­ рой — с одним прочерком.Любыедругиевари­

неработают.Такчтоненадокосячить!

Колдовствомакроса

В нашем случае создать включаемый файл для 40 ка API-функций будет быстрее, чем писать и отлаживать полностью автомати­ зированную утилиту. С макросами на FAR'е вся работа не займет и 15 минут. Главное

— иметь правильную стратегию! Перенаправив вывод линкера в файл demo_3.err, открываем его в редакторе по <F4>, подгоняем курсор к строке с первой ошибкой, затем по <CTRL-TAB> возвра­ щаемся назад в панели, открывая по <F4>

файл KERNEL32.LIB из SDK и тут же на­ жимаем <CTRLL> для запрета редактиро­ вания (чтобы случайно его не испортить). Вновь возвращаемся в панели по

<CTRL-TAB> и, нажав <SHIFT-F4>, создаем новый файл demo_API.inc.

На этом подготовительные работы можно считать законченными и самое время приступать к созданию макроса. При всей свой внешней простоте в макросах

заключена огромная сила, но пользоваться ей могут только маги (черные), мыщъх'и (серые, пещерные) и хомяки (всех пород). Я бы еще добавил к этому списку траву и грибы, да ведь только редакция, стрема­ ющаяся наркоконтроля, ни за что это

Никакойхакнеобходитсябезчерноймагии

макрос заново, имеет смысл обзавестись редактором макросов, также представляющим собой плагин):

1.Вызываем калькулятор, используя свойственный ему метод вызова;

2.нажимаем <SHIFT-INS> вставляя «@NN» из буфера обмена;

3.нажимаем <HOME> для перехода в начало строки;

4.нажимаем <DEL> для удаления символа «@»;

5.нажимаем <END> для перехода в конец строки;

6.пишем «/4» и нажимаем <ENTER> для расчета значения;

7.копируем вычисленное значение в буфер обмена;

8.продолжаем выполнение прежней макропоследователь­ ности до шага 27;

9.нажимаем <UP> для перехода на строку вверх;

10.нажимаем <END> для перехода в конец строки (на «pr0»);

11.нажимаем <BASKSPACE> для удаления «0» и вставляем результат вычислений;

12.нажимаем <DOWN>, <END> для перехода в конец следую­ щей строки;

13.продолжаем выполнение прежней макропоследователь­ ности с шага 27.

В результате у нас должен образоваться включаемый файл следующего вида (смотри, сколько времени у нас заняло со­ ставление макроса и сколько бы отняла разработка програм­ мы на любом другом языке программирования!):

Фрагмент включаемого файла demo _ API.inc, непо-

нятки с ___imp_RtlUnwind

externdef imp__WriteFile@20:PTR pr5 WriteFile equ <_imp__WriteFile@20>

externdef imp__GetVersion@0:PTR pr0 GetVersion equ <_imp__GetVersion@0>

externdef imp__ExitProcess@4:PTR pr1 ExitProcess equ <_imp__ExitProcess@4>

Магический макрос споткнулся на функции ___imp_RtlUnwind (он попросту не нашел ее в KERNEL32.LIB) и все пош­

ло кувырком. Что же это за противная функция такая?! Кстати, KERNEL32.LIB ее действительно нет. Так что макрос тут не причем. Смотрим в demo_3.asm (не забывая

убрать один из символов прочерка, вставленный транслятором). Контекс­ тный поиск тут же находит RtlUnwind, представляющую собой классический переходник (thunk) к одноименной функции из KERNEL32.DLL:

RtlUnwind proc near

jmp ds:__imp_RtlUnwind RtlUnwind endp

Только вот по не совсем понятной причине IDA Pro не нашла этой функции в KERNEL32.DLL (не знала о ней или не захо­ тела искать), но тот же HIEW отобразил thunk совершенно правильно!

Собственно, багофича заключается в том, что IDA Pro дает API-функции неправильное имя. Ну какой же это __imp_RtlUnwind?!

Правильный вариант включает в себя 2 символа прочерка между imp и RtlUnwind. Естественно, наш магический (но слегка туповатый) макрос не ожидал такой внезап­ ной подлости! Приходится брать бразды правления в свои руки и либо править

Просмотрobj-файлав hex-редакторе

/ 136

Неассемблируетсяaam16

После выхода первой статьи этого цикла на хакерском форуме читатель с ником realstudent задал предметный вопрос, из которого выяснилось, что, во первых, у него не ассемблирует­ ся инструкция aam 16 (но это мелочи, сейчас мы ее обломаем) и, во вторых, «секреты ассемблирования дизассемблерных листингов» (в девичестве) превратились в «сношение с идой». Вот такая трава растет на широте Москвы (наглый докторишка Лозовский не колется, где берет — примечание gorl’а).

А само сообщение (и ответ на него) выглядели так:

Q: Есть древнее приложение — программер микрухи через LPT (очень напрягает он своей работой), но без сырцов, и твоя статья пришлась очень в тему. А тема такая: решил восстановить его и дописать, если возможно. Пользовался IDA 5.x (лицензионная, ясное дело) и MASM 9.0 (тоже лицензионный, с Митино). Все ошибки убил, кроме одной, и в чем ее смысл, никак не могу понять. В асме я нормально разбираюсь, смотрел другие исходники на koders.com — все у людей также; был на microsoft.com, но так и не понял, к чему эта ошибка здесь. Не ассемблируется строка «aam 16».

— error A2008: syntax error : integer

По мануалам от Intel'а команда поддерживает аргумент (в смысле, команда правильная), а вверху листинга у меня торчит:

.686p

;.mmx

.model large, C

A: Без измен, мужик! Только без измен! Это она по специфи­ кациям ассемблируется, но только разработчики ассемблера спецификации читают по диагонали, и у них на этот счет имеется свое, особое мнение, которое умом не понять. А в свете того что Microsoft озаботилась разработкой собственного процессора, сдается мне, что x86 коллектив разработчиков не осилил. Это совсем неудивительно, если вернуться на десяток лет назад

и вспомнить, что Microsoft не могла разобраться в разработан­ ных ей же спецификациях на расширенную память и драйверы забивали косяки только так.

Но это была лирика. Что же касается сути проблемы, то она обходится методом «не ассемблируется… ну и хрен с ней…». Вставляем директиву DB и записываем инструкцию непосредс­ твенно в машинных кодах. В данном случае это выглядит так: «DB 0DBh, 10h», где DBh — опкод команды AAM, а 10h — непос­ редственный операнд. Та же история наблюдается и с командой AAD (да и не только с ней), опкод

форме она вызывается так: «DB

DEEONI$

/ DEEONIS@GMAIL.COM /