The first mark is the OEP, if they notice the second mark is the first call that must aim at GetVersion, this call that before pointed at [ 00F81990 ] now aims at [ 00612518 ] that he is
Trang 100612000 00010000 uedit32 .adata code Imag R RWE
00622000 00020000 uedit32 .data1 imports Imag R RWE
00642000 00110000 uedit32 .pdata Imag R RWE
00752000 0006F000 uedit32 .rsrc resources Imag R RWE
Let us use the section adata, this is a section of the Armadillo, we modify the base
of 00F81440 to 00612000 and was thus
Chúng ta hảy sử dụng section adata, đây là một trong những section của Armadillo, chúng ta thay đổi base 00F81440 thành 00612000 và nó sẽ như vầy:
00129538 00 20 61 00 00 E0 15 00 b à
00129540 75 46 00 00 E8 EF EA 00 uF èïê
Let us clear the Breakpoint Hardware and we put a Breakpoint Hardware on execution in the OEP that is 00514CB5, we give a F9 and stops in
Chúng ta xóa Breakpoint Hardware và put một Breakpoint Hardware on execution tại OEP là 00514CB5, và chúng ta nhấn F9 và dừng lại tại :
00514CB5 55 PUSH EBP
00514CB6 8BEC MOV EBP,ESP
00514CB8 6A FF PUSH -1
00514CBA 68 80885700 PUSH uedit32.00578880
00514CBF 68 A0855100 PUSH uedit32.005185A0
00514CC4 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00514CCA 50 PUSH EAX
00514CCB 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00514CD2 83EC 58 SUB ESP,58
00514CD5 53 PUSH EBX
00514CD6 56 PUSH ESI
00514CD7 57 PUSH EDI
00514CD8 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00514CDB FF15 18156200 CALL DWORD PTR DS:[612518]
00514CE1 33D2 XOR EDX,EDX
00514CE3 8AD4 MOV DL,AH
Trang 2The first mark is the OEP, if they notice the second mark is the first call that must aim at GetVersion, this call that before pointed at [ 00F81990 ] now aims at [
00612518 ] that he is in the section adata within the memory of our feasible one, executes the LordPE and gives dump full… [ if enginé to IntelliDump gives single error change ` activates dump ] to the process uedit32.exe, we keep the file like uedit32_dmp.exe
Mark đầu tiên là OEP, chúng ta chú ý rằng tại mark thứ 2 là hàm call đầu tiên phải trỏ đến là hàm GetVersion, hàm này trước đây trỏ đến [ 00F81990] , còn bây giờ trỏ đến [ 00612518 ] mà nó nằm trong section adata trong vùng memory
có thể thực thi được, mở LordPE và dump full [ nếu máy móc mà IntelliDump thì sẽ cho ra lỗi ‘activates dump’ ] process uedit32.exe, chúng ta sẽ lưu file này
là uedit32_dmp.exe
The file uedit32_dmp.exe will have the redirigidas calls to the APIs to the memory that begins in 00612000 which adata of the memory of our feasible one is in the section, now what lacks is to write a code which is executed before the OEP, which
it loaded the modules and it solves the directions of the APIs, places in its respective place in the section adata and later the control to the OEP returns to him, here is where we will use Tools Armadillo, we execute this utility, we fence to the section of IATScrambler and will see
File uedit32_dmp.exe sẽ có redirect calls đến các hàm APIs trong memory mà chúng bắt đầu tại addr 00612000 là memory của adata là vùng section có thể thực thi ( feasible ) , bây giờ còn thiếu là viết vào file một đọan code chúng đươc thực thi trước OEP, nó là những gì mà module tải lên và nó sẽ giải quyết các chỉ thị của hàm APIs, vị trí code này nằm trong vùng tương ứng của nó trong section adata và sau nó sẽ trả điều khiển về cho OEP Ở đây chúng ta dùng tool Armadillo, chúng ta tiến hành chạy ứng dụng này, chúng ta nhảy đến tab IATScrambler và sẽ thấy như sau:
Trang 3Here it requests several data to us, some already we have them and others we will have to obtain them
Ở đây yêu cầu ta nhâp vài dữ liêu cho tool,một số dữ liêu chúng ta đã có sẳn, và các dữ liệu khác chúng ta sẽ tìm chúng
1 Route to file IAT that we kept with the ImpRec
2 Dumpeado route of our feasible one with the calls to the APIs already redirigidas
3 Base GOES to which the directions of the APIs were copied
4 IT GOES where it was begun to execute the code that repaired the IAT and will give back the control to the OEP
5 IT GOES of the OEP
6 Amount of bytes available for the code of the repair of the IAT
7 IT GOES in the IAT of the Armadillo where the direction keeps from the API LoadLibrary
Trang 48 IT GOES in the IAT of the Armadillo where the direction keeps from the API GetProcAddress
1 File IAT mà chúng ta đã save bằng ImpREC
2 File dumped có section có thể thực thi chứa các hàm calls gọi đến APIs đã sẳn sàng để redirect
3 Base của các derections của hàm APIs đã đươc copy trước đó
4 Address bắt đầu thực thi code sữa chửa IAT và sẽ trả lại điều khiển cho OEP
5 Address OEP
6 Số lượng bytes dành cho code sữa chữa IAT
7 Là address trong bảng IAT của Armadillo chứa direction hàm API LoadLibrary
8 Là address trong bảng IAT của Armadillo chứa direction hàm API GetProcAddress
We have the data 1, 2, 3, and 5, axial one that we look for 4, 6, 7 and 8
Chúng ta có các dữ liệu trong mục 1,2,3 và 5, chúng ta sẽ tìm các dữ liệu trong mục 4,6,7 và 8 còn lại
Let us see the Memory Map see as section we can use
Chúng ta nhìn vào Memory Map để tìm section mà chúng ta có thể sử dụng
Memory map Address Size Owner Section Contains Type Access Initial
00400000 00001000 uedit32 PE header Imag R RWE
00401000 0015D000 uedit32 .text Imag R RWE
0055E000 00039000 uedit32 .rdata Imag R RWE
00597000 0004A000 uedit32 .data Imag R RWE
005E1000 00001000 uedit32 .SHARED data Imag R RWE 005E2000 00030000 uedit32 .text1 code Imag R RWE
00612000 00010000 uedit32 .adata code Imag R RWE
00622000 00020000 uedit32 .data1 imports Imag R RWE
00642000 00110000 uedit32 .pdata Imag R RWE
00752000 0006F000 uedit32 .rsrc resources Imag R RWE
Trang 5We cannot use the section adata since it is in that section where the IAT was armed, the section data1 contains imports that will be to us of utility, so our obvious option is text1 that it begins in 005E2000 and it has a size of 00030000 bytes, this is an excessive size for our necessities, in addition we remember that even we need the CodeSplicing, so we clear, if our EP is 005E2000 and single we wished to use until the direction 005F0000, then
Chúng ta ko dùng section adata vì nó là section chứa IAT mà chúng đã “nạp đạn” sẳn sàng Section data1 chứa imports mà chúng ta sẽ dùng nó cho ứng dụng, vì vậy rõ ràng là chúng ta phải chọn section text1 rồi, mà nó bắt đầu tại 005E2000 và nó có size là 00030000 bytes, đây là size quá dư thừa cho yêu cầu của chúng ta; hơn nữa chúng ta nhớ rằng chúng ta còn cần cho CodeSplicing,
vì vậy chúng ta đã sáng tỏ mọi vấn đề, nếu EP của chúng ta là 005E2000 và đơn giản là chúng ta chỉ muốn sữ dụng cho đến chỉ thị 005F0000, vì vậy:
005F0000 – 005E2000 = E000
We already have the value for data 4 and the 6, for the 7 and the 8 it is necessary to load in the Olly our feasible one dumpeado uedit32_dmp.exe, in the Dump to go to the section data1 that is where the imports keep and to look for where the directions keep from the APIs LoadLibrary and GetProcAddress, for this we wrote
in the bar of commandos
Chúng ta đã có dữ liệu mục 4 và 6, đối với mục 7 và 8 thì cần phải load file dumped uedit32_dmp.exe vào olly, trong win Dump goto đến section data1 mà
nó chứa các imports và tìm nơi chứa directions của các hàm the APIs LoadLibrary và GetProcAddress, ở đây chúng ta gỏ vào command như sau:
In the Dump window that this in direction 00622000 [ beginning of data1 ] we give
a Ctrl+B and we put value HEX: that it gave the bar us of commandos but of inverted way
Trong Dump window tại 00622000 [ bắt đầu section data1] chúng ta gỏ Ctrl+B
và put giá trị HEX: trong thanh bar command
Trang 6We pressed OK and stopped in
Chúng ta nhấn OK và dừng lại tại
0062205C 61 D9 E5 77 0C 15 F4 77 aÙåw.ơw
00622064 AF DD E5 77 5D 26 E5 77 ¯Ýåw]&åw
0062206C 9B 58 E5 77 BC 1B E4 77 ›Xåw¼äw
00622074 58 E3 E5 77 7E 17 E4 77 Xãåw~äw
0062207C 6B 90 E4 77 4C A4 E5 77 k äwL¤åw
00622084 12 AC E5 77 C5 B6 E5 77 ¬åwŶåw