Уиндолс има по-висока степен на зашита на кода на програмите,от колкотото ДОС,например.Обичайно приложенията получават достъп до сермент данни и стека,но нямат права да изменят собствения си сигмент код.Това обаче не значи,че да се направи това е невъзможно-достатъчно е да се "помоли" Уиндолс да извика функция VirtualProtect().В качеството на параметър във функцияята се предава адресът на 1-вия байт на блока памет,до който искаме да получим достъп,количеството байтове в блока,а също така и флага,оределящкакъв тип ни е нужен(т.е. четене,запис,узпълнение и т.н.).Във дункцията се предава и адресът на променливата,в която се съхранява началото състоянието на защита на оказания блок,която ние сме задължени да възстанови,селд като извършим необходимите манипулации.

Следният фрагмент на Win32-код показва тази техника!Асемблер операторът след отметката myloop-"mov dword ptr a, 0x12345678".Предишните оператори го заменят на "mov dword prt a,0x87654321".

Пробвайте да поместите приведения код в C\C++ и да го проследите

LPVOID address;

//Получаваме адреса на думата,която е нужно да изменим.

_asm mov dword ptr address, offset

[myloop +3]

//Получаваме разрешение да модифицираме участъка от кода

result = VirtualProtect(address, 4,PAGE_WRITECOPY, &oldprotect);

//Изменяме асемблерния код.Това е равно на *(LPVOID) address = 0c87654321

_asm mov ebx, dword ptr address

_asm moc dword ptr [ebx], 0x87654321

//Всичко е направено

result = VirtualProtect(address, 4, PAGE_EXECUTE, &oldprotect);

myloop:

_asm mov dword ptra, 0x12345678

=>Създаваме нов фрагмет от кода

Аналогично може да създадем нов драгмет на кода на програмата.В качеството на пример ще разгледамесъздаването на функции и променливата не пипа указател на кънкцията:

typedef LONG (* Function Type) (LONG , LONG);

FunctionType ComputeSum;

И така , ComputeSum-променлива от типа Function Type,определящ указател на функцията от следния вид:LOG Dunction(LONG,LONG);

Първо,е нужно да се определят опкодовете,които ще съставят нашата функция.Изясняваме,че за реализацията на операцията по събиране на две числа са нобходими 11 майта.

Тези 11 байта е необходимо да мъдат отделено с помощта на оператора

new:

ComputeSum=(DunctionType) new BYTE[11]

Сега може да запълним отделената област опкодове:

((LPBYTE) ComputeSum)[0] =0x55; //

push ebp

((LPBYTE) ComputeSum)[1] =0x8B; //

movebp

((LPBYTE) ComputeSum)[2] =0xEC;

((LPBYTE) ComputeSum)[3] =0x8B; //

mov eax, [bp+8]

((LPBYTE) ComputeSum)[4] =0x45;

((LPBYTE) ComputeSum)[5] =0x08;

((LPBYTE) ComputeSum)[6] =0x03; //

add eax [bp+12]

((LPBYTE) ComputeSum)[7] =0x45;

((LPBYTE) ComputeSum)[8] =0x0C;

((LPBYTE) ComputeSum)[9] =0x5D;

// pop ebp

(LPBYTE) ComputeSum)[10] =0xC3;

// ret ebp

Накрая може да извикаме функцияра VirtualProtect().Всички наши команди са по местата си, нужно е просто да разрешим изпълнението им.Командата ще направи следното:

VirtualProtect(ComputeSum, 11, PAGE_EXECUTE, &oldprotect);

Както и по-рано,променливата oldprotect трябва да да е то типа DWORD.И така,сега имаме указател на обичайна функция,която може да извикаме,например така:

sum = ComputeSum(1, 2);

sum = ComputeSum(val1, val2)

Единственият детайл,който не бива да забравяме е освобождаването на паметта,отделена за нашата функция от оператора new.Преди това няма да навреди ,да възстановим статуса на защита на отделения блок памет.

VirtualProtect(CompSum, 11, oldprotect, &oldprotect);

delete(LPBYTE) ComputeSum;

В заключение малка забележка:ако искате,вашата "мутираща" програма да се изпълнява правилно и под Windows NT и XP,то след модификацията на сигмента на кода е нужно да извикате следната функция FlushInstructionCache().За Windows ще ви се наложи да я използвате!

Инфото е от списания Хакер

Успех и прятно програмиране

Редактирано 10 април 200620 г. от Biased (преглед на промените)

е леко обеснение на прост език може ли ?

предполага се автора да го е тествал