Жорстке впровадження DLL в Windows-програми
На суд читача видається
стаття про впровадження власного виконуваного коду в Windows програми.
У статті використані різні
технічні терміни, що відносяться до програмування під ОС Windows, зокрема
із застосуванням Windows API. Тексти програм, наведені як приклади,
тестувалися в середовищі Borland C + + Builder 6.0. Робота програми перевірялася в
середовищі Windows 2000, Windows 9x середу в силу морального старіння НЕ
розглядалася.
Введення в
спеціальність
Впровадження свого коду в чужу
програму може знадобиться для безлічі завдань, наприклад, для налагодження і
аналізу роботи додатків, для встановлення різного роду програмних захистів, для
"шпигунських" цілей. На
сьогоднішній день існує досить багато методів впровадити свій код в чужу
програму. Досить докладно вони описані в статті автора Tanaka "Програми-невидимки"
, Однак усі
описані методи є зовнішніми по відношенню до цільової програми, тобто для
впровадження коду кожного разу необхідний запуск стороннього додатку, так
званого "завантажувача", що здійснює впровадження. Пропонований
спосіб відрізняється тим, що здійснює разову, досить просту модифікацію
внутрішніх структур. exe файлу, не модифікує виконуваний код програми, не
збільшує розмір файлу, не потребує зовнішнього завантажувача, практично непомітний
для користувача. Метод дозволяє модифікувати більшість. Exe файлів.
Як це
працює
Принцип роботи заснований на
наступному: практично будь-яка Windows-програма використовує динамічні
бібліотеки (DLL). У них можуть зберігатися різні функції (у тому числі системні
- В USER32.DLL, GDI.DLL і т.д.), ресурси типу діалогів, ікон, картинок,
покажчиків миші. Досить складно знайти програму, яка не використовувала б
DLL взагалі. Відповідно, програма, що використовує DLL-бібліотеки, містить у
своєму. exe файлі інформацію про те, які саме бібліотеки їй потрібні, і які
функції з цих бібліотек вона використовує (імпортує). При запуску будь-якої
програми завантажувач Windows зчитує список використовуваних цієї
програмою DLL-бібліотек і завантажує (відображає) їх у адресний простір
програми. Після цього для кожної імпортованої програмою функції завантажувач
визначає адресу виклику.
Кожна DLL-бібліотека містить функцію з ім'ям DllMain наступного
виду:
BOOL WINAPI DllMain (HINSTANCE hinstDll, DWORD fdwReason, PVOID
fImpLoad);
Призначення
її - суто інформаційний. Викликаючи цю функцію, завантажувач повідомляє бібліотеці
про те, що вона буде підключена до якогось процесу, або в контексті процесу
відбувається створення потоку. Завантаження будь-якої програми включає в себе
послідовний виклик функцій DllMain всіх використовуваних DLL. Аналогічно даний
виклик здійснюється при відключенні і вивантаження бібліотеки. Думаю, що суть
методу вам вже зрозуміла: досить додати до списку використовуваних програмою
DLL-бібліотек свою, у якій функція DllMain містить необхідний вам код.
Весь код в рамках цієї ф-ції буде виконуватись з пріоритетом
"зарядженої" програми.
У міру скромного уяви наведу кілька прикладів
використання даної методики для вирішення практичних завдань. Перше, що
спадає на думку - це система "навісний" захисту, яку можна
встановити на будь-яке готове додаток. Метод перевірки допуску може бути будь-яким
- Від найпростішого пароля, до звернення до зовнішнього пристрою, що містить
private-key для декодування частини виконуваного коду програми (наприклад,
USB-ключ). Далі - як було сказано в передмові - будь-які види троянів/вірусів.
Рецепт
Що ж, тепер нам необхідно
змінити. exe файл таким чином, що б у списку використовуваних програмою DLL
бібліотек з'явилася наша бібліотека. На перший погляд дана задача
представляється як "темний ліс" - де цей список взяти, чого в ньому
шукати, як чого міняти? Але все не так сумно! До нашого з вами щастя,
формат. exe файлу Windows досить строго стандартизований і докладно описаний
в документації. Бажаючим детально покопирсатися у нутрощах можу
порадити ознайомитися з ось цим документом:
Peering
Inside the PE: A Tour of the Win32 Portable Executable File Format,
для інших я постараюсь
привести тут мінімум інформації, необхідний для реалізації програми,
"заряджають" нашим кодом майже будь-який. exe файл. (Щодо
обмежень методу - див. гл. Висновки)
Приступаючи до пацієнта. Формат файлу програми, так само званий
"стерпним виконавчим" (PE - portable executable), визначає
поведінка операційної системи на всіх етапах роботи - починаючи від відображення
файлу на адресний простір процесу, завантаження необхідних бібліотек,
ініціалізації ресурсів, до власне вивантаження програми. Найважливіше з того,
що варто знати про РЕ-файлах, це те, що виконуваний файл на диску і модуль,
одержуваний після завантаження, дуже схожі. Причиною цього є те, що
завантажувач Windows повинен створити з дискового файлу виконуваний процес без
великих зусиль. Точніше кажучи, завантажувач просто використовує механізми
відображення файлів у пам'ять, щоб завантажити відповідні частини РЕ-файл до
адресний простір програми .* Так само просто завантажується і DLL. Після того
як ЕХЕ або. DLL модулі завантажені, Windows поводиться з ними так само, як і з
іншими відображеними в пам'ять файлами.
* Див довідку за функція CreateFile, MapViewOfFile,
CreateFileMapping.
Так
як структура виконавчого файлу є досить громіздкою, вникати
докладно в опис кожного її елемента ми не буде, лише коротко зупинимося на
необхідних нам елементах. Всі файли
програм для Windows мають такий вигляд (див. рис. 1):
рис. 1 Структура виконавчого
файлу.
1. Заголовок MSDOS Починаючи з нульового зсуву, у файлі
розташовується заголовок MSDOS, що має формат IMAGE_DOS_HEADER (див. файл
winnt.h). У цьому заголовку нас цікавить тільки одне поле:
IMAGE_DOS_HEADER-> e_lfanew,
містить зміщення сигнатури
файлу.
2. Сигнатура PE-файлу Сигнатура, інакше - підпис, що означає, що
цей файл є виконавчим файлом для WIndows. Являє собою рядок
PEif (sect_num == -1)
(
Log-> Lines-> Add ( "Дана програма не використовує
Динамічні бібліотеки !");
UnmapViewOfFile (fBeg); CloseHandle (fMap);
return;
)
sect ++;
DWORD AfterImportSecBeg =
(DWORD) fBeg + sect-> PointerToRawData;
sect -;
// Отримуємо файловий вказівник на розділ c таблицею імпорту.
LPVOID ImportSecBeg;
(DWORD) ImportSecBeg =
(DWORD) fBeg + sect-> PointerToRawData;
// Обчислюємо зсув таблиці імпорту в секції
// імпорту щодо її початку (секції).
LPVOID ImportTable;
(DWORD) ImportTable = ImportRVA - sect-> VirtualAddress;
(DWORD) ImportTable =
(DWORD) ImportSecBeg
+
(DWORD) ImportTable;
IMAGE_IMPORT_DESCRIPTOR
* DLLInfo = (IMAGE_IMPORT_DESCRIPTOR *) ImportTable;
LPVOID DLLName;
DWORD DLLCounter = 0;
// Виводимо інформацію про використовувані DLL
while (DLLInfo-> Name! = NULL)
(
DLLCounter ++;
(DWORD) DLLName =
(DWORD) DLLInfo-> Name - sect-> VirtualAddress;
(DWORD) DLLName =
(DWORD) ImportSecBeg + (DWORD) DLLName;
Log-> Lines-> Add (IntToStr (DLLCounter )+"->"+( LPSTR) DLLName);
Application-> ProcessMessages ();
DLLInfo ++;
)
Log-> Lines-> Add ( "Усього використовується" + IntToStr (DLLCounter) +
"Бібліотек .");
4.
Визначаємо, чи є у файлі достатньо вільного місця для розміщення нової
таблиці імпорту.
// Обчислюємо розмір нової таблиці імпорту:
// Підсумовуємо кількість вже використовуються DLL + наша DLL + zero
запис.
DWORD NewImportTableSize =
sizeof (IMAGE_IMPORT_DESCRIPTOR) * (DLLCounter +2);
char dllName [] =
"azx";
NewImportTableSize + =
strlen (dllName) 1;
// Отримуємо файловий вказівник на кінець секції імпорту.
LPVOID pos;
(DWORD) pos =
AfterImportSecBeg-1;
DWORD maxFree = 0;
DWORD prevPtr;
LPVOID FreePtr = NULL;
// Шукаємо максимальний шматок вільного місця в секції ...
while (pos> = ImportSecBeg)
(
if (* (BYTE *) pos ==
0x00)
(
prevPtr = (DWORD) pos;
while (* (BYTE *) pos ==
0x00)
(DWORD) pos -= 1;
if (((DWORD) prevPtr --
(DWORD) pos)> maxFree)
(
maxFree =
((DWORD) prevPtr - (DWORD) pos);
(DWORD) FreePtr =
(DWORD) pos + 1;
)
)
(DWORD) pos -= 1;
)
// модифікуємо отриманий покажчик на вільний блок, тому що
// він може вказувати на завершальний нульовий DWORD
// будь-якої структури
(LPDWORD) FreePtr + = 1;
maxFree -= 4;
// Перевіряємо обсяг вільного місця
if (maxFree
(
Log-> Lines-> Add ( "Недостатньо вільного місця в
таблиці імпорту
для занесення інформації про додаткової
бібліотеці .");
UnmapViewOfFile (fBeg);
CloseHandle (fMap);
return;
)
else
Log-> Lines-> Add ( "Достатньо вільного
місця для занесення додаткової інформації .");
Application-> ProcessMessages ();
5. Фінальна частина: Створюємо у файлі нову таблицю імпорту та
структуру IMAGE_IMPORT_BY_NAME. Записуємо в файл рядки з ім'ям нашої
бібліотеки та імпортованої функції. Обчислюємо всі необхідні адреси, заносимо
їх у структури IMAGE_IMPORT_DESCRIPTOR, IMAGE_IMPORT_BY_NAME. Заносимо в заголовок
нова адреса таблиці імпорту.
// 1. Копіюємо стару таблицю імпорту в нове місце
memcpy (FreePtr, ImportTable,
sizeof (IMAGE_IMPORT_DESCRIPTOR) * DLLCounter);
// 2.1 Зберігаємо рядок з іменем нашої DLL в старій таблиці імпорту
// (для економії місця)
memcpy (ImportTable, OUR_DLL_NAME, strlen (OUR_DLL_NAME ));
LPDWORD zeroPtr;
(DWORD) zeroPtr =
(DWORD) ImportTable + strlen (OUR_DLL_NAME);
// 2.2 Зберігаємо структуру IMAGE_IMPORT_BY_NAME в старій таблиці імпорту.
// (так само для економії місця)
IMAGE_IMPORT_BY_NAME myName;
myName.Hint = 0x00;
myName.Name [0] = 0x00;
WORD Hint = 0;
char myFuncName [] =
OUR_FUNC_NAME;
hackRec patch;
patch.ZeroDword = NULL;
patch.IAT = ImportRVA +
strlen (OUR_DLL_NAME) + sizeof (hackRec);
patch.IATEnd = NULL;
DWORD IIBN_Table;
memcpy (zeroPtr, & patch,
sizeof (patch)); (DWORD) zeroPtr + = sizeof (patch);
memcpy (zeroPtr, & Hint,
sizeof (WORD)); (DWORD) zeroPtr + = sizeof (WORD);
memcpy (zeroPtr, myFuncName,
strlen (myFuncName) +1);
(DWORD) zeroPtr + =
strlen (myFuncName) 1;
memcpy (zeroPtr, & myName,
sizeof (IMAGE_IMPORT_BY_NAME));
// 2.3. Заповнюємо структуру IMAGE_IMPORT_DESCRIPTOR даними про нашої DLL
IMAGE_IMPORT_DESCRIPTOR myDLL;
// Обчислюємо покажчик на нашу структуру IMAGE_IMPORT_BY_NAME:
// це адреса початку старої таблиці імпорту + довжина рядка з
ім'ям
// нашій DLL + нульовий DWORD
IIBN_Table = ImportRVA + strlen (OUR_DLL_NAME) + sizeof (DWORD);
// Покажчик на таблицю Characteristics
myDLL.Characteristics = IIBN_Table;
myDLL.TimeDateStamp = NULL;
myDLL.ForwarderChain =
NULL;
// Записуємо адреса рядки з ім'ям файлу нашої DLL
myDLL.Name = ImportRVA;
// Покажчик на таблицю FirstThunk
myDLL.FirstThunk = IIBN_Table;
// Записуємо в нову таблицю імпорту запис про нашу DLL
LPVOID OldFreePtr = FreePtr;
(DWORD) FreePtr
+ = sizeof (IMAGE_IMPORT_DESCRIPTOR) * DLLCounter;
memcpy (FreePtr, & myDLL,
sizeof (IMAGE_IMPORT_DESCRIPTOR ));
// Створюємо "фінальну" нульову запис з усіма полями рівними
нулю
myDLL.Characteristics = NULL;
myDLL.TimeDateStamp = NULL;
myDLL.ForwarderChain = NULL;
myDLL.Name = NULL;
myDLL.FirstThunk = NULL;
// І записуємо її в кінець нової таблиці імпорту.
(DWORD) FreePtr + = sizeof (IMAGE_IMPORT_DESCRIPTOR) * DLLCounter;
memcpy (FreePtr, & myDLL,
sizeof (IMAGE_IMPORT_DESCRIPTOR ));
// 3. Встановлюємо покажчик на нашу таблицю імпорту.
// Обчислюємо RVA нашої таблиці
DWORD NewImportTableRVA = (DWORD) OldFreePtr - (DWORD) ImportSecBeg +
sect-> VirtualAddress;
// заносити його в DataDirectory
pe_opt_head-> DataDirectory [IMAGE_DIRECTORY_ENTRY_IMPORT]. VirtualAddress
=
NewImportTableRVA;
pe_opt_head-> DataDirectory [IMAGE_DIRECTORY_ENTRY_IMPORT]. Size
=
(DLLCounter + 1) *
sizeof (IMAGE_IMPORT_DESCRIPTOR);
UnmapViewOfFile (fBeg);
CloseHandle (fMap);
Висновок
Ця методика дозволяє
впроваджувати свою DLL бібліотеку в програми, що мають достатньо вільного місця в
секції з таблицею імпорту. Наведена програма може бути доопрацьована
наступних напрямках:
Створення таблиці імпорту в
другий секції (якщо в секції з оригінальною таблицею не вистачає місця)
Створення нової секції та зберігання
нової таблиці імпорту в ній.
Особисте слово варто сказати про. exe файлах, що входять до
стандартну поставку Windows (таких як calc.exe, paint.exe, wordpad.exe, etc.).
У них таблиця імпорту продубльована на початку файлу, між MZ-і PE-заголовками,
тому при модифікації таких файлів необхідно у відповідних записів у
DataDirectory обнулити адреси на ці таблиці (докладніше див файл winnt.h,
розділ Directory Entries).
Список
літератури
Для підготовки даної роботи
були використані матеріали з сайту http://www.bugtraq.ru/
