Contournement des anti-debugs

Horgh · 04-06-2013, 20h16

Citation :Remplacez JNZ par JZ.

Oh le réflexe qui pue. J'en connais qui ferait une syncope à voir des choses pareilles :')

qtkt · 04-06-2013, 20h19

(04-06-2013 20h16)Horgh a écrit : Veuillez vous enregistrer pour visualiser l'ensemble du forum en cliquant ici.
Citation :Remplacez JNZ par JZ.

Oh le réflexe qui pue. J'en connais qui ferait une syncope à voir des choses pareilles :')

C'est sympa de critiquer, mais ce ne serais pas mieux d'expliquer la bonne facon de faire ou d'au moins expliquer ce qui ne va pas ?

InstinctHack · 04-06-2013, 20h34

@qtkt je pense (je suis pas sûr) que tu fait une inversion de saut, ce qui signifie que tu inverse le comportement du programme à cet endroit, donc si la condition est valide au départ, elle ne l'est plus, ce qui est rarement souhaitable dans les faits.

fr0g · (Ce message a été modifié le : 04-06-2013 20h59 par fr0g.)

Je vais suivre avec un trick de base sous linux , même méthode que le post précédant pour bypass)
(avec Veuillez vous enregistrer pour visualiser l'ensemble du forum en cliquant ici.)

Code C :



#include <stdio.h>

#include <sys/ptrace.h>



int main(int ac, char **av)

{

  if (ptrace(PTRACE_TRACEME, 0, 1, 0) < 0)

    {

      printf("DEBUG DETECTED\n");

      return (1);

    }

  printf("Hello world !!!\n");

  return (0);

}

Ce main desassemblé donne ça :

Code :

0x0804844c <+0>:    push   %ebp

   0x0804844d <+1>:    mov    %esp,%ebp

   0x0804844f <+3>:    and    $0xfffffff0,%esp

   0x08048452 <+6>:    sub    $0x10,%esp

   0x08048455 <+9>:    movl   $0x0,0xc(%esp)

   0x0804845d <+17>:    movl   $0x1,0x8(%esp)

   0x08048465 <+25>:    movl   $0x0,0x4(%esp)

   0x0804846d <+33>:    movl   $0x0,(%esp)

   0x08048474 <+40>:    call   0x8048350 <ptrace@plt>

   0x08048479 <+45>:    test   %eax,%eax

   0x0804847b <+47>:    jns    0x8048490 <main+68>

   0x0804847d <+49>:    movl   $0x8048540,(%esp)

   0x08048484 <+56>:    call   0x8048320 <puts@plt>

   0x08048489 <+61>:    mov    $0x1,%eax

   0x0804848e <+66>:    jmp    0x80484a1 <main+85>

   0x08048490 <+68>:    movl   $0x804854f,(%esp)

   0x08048497 <+75>:    call   0x8048320 <puts@plt>

   0x0804849c <+80>:    mov    $0x0,%eax

   0x080484a1 <+85>:    leave  

   0x080484a2 <+86>:    ret

ce qui nous intéresse c'est :

Code ASM :

call   0x8048350 ; appel de ptrace

test   eax,eax

jns    0x8048490 ; (=> printf hello world)

si vous utilisez un programme de debug, (GDB / IDA / ltrace / strace & co) , le registre EAX contiendra -1 après l'appel de ptrace (avec les paramètres utilisés dans le cas présent)

Il suffit de break entre l'appel de ptrace et le saut conditionnel, ou le programme compare la valeur renvoyée par ptrace (contenue dans EAX) à 0 .

on set EAX à 0 , et le programme va prendre le saut pour continuer vers les autres étapes.

(j'ai compile' en 32 bits pour éviter de pourrir le bloc de code avec la taille des adresses Smile

)

0pc0deFR · 05-06-2013, 08h43

(04-06-2013 20h34)InstinctHack a écrit : Veuillez vous enregistrer pour visualiser l'ensemble du forum en cliquant ici.@qtkt je pense (je suis pas sûr) que tu fait une inversion de saut, ce qui signifie que tu inverse le comportement du programme à cet endroit, donc si la condition est valide au départ, elle ne l'est plus, ce qui est rarement souhaitable dans les faits.

C'est tout à fait ça. C'est une inversion de condition. A savoir qu'un malware ou un outil qui va être reverse et qui possède cette fonction va souvent se terminer si la fonction IsDebuggerPresent se valide. En inversant le comportement le programme ne se termine pas. Les conséquences sont assez limitées. Il faut vérifier le comportement du programme après la fonction et juger par soi même.

Il y a des manières plus jolies pour contourner ça. Le hook par exemple avec un script Olly pour faire en sorte que la fonction renvoie toujours 0. Pour le coup, j'ai préféré présenter une technique simple qui fonctionne avec tous les outils de debug.

supersnail · (Ce message a été modifié le : 05-06-2013 21h23 par supersnail.)

'Fen bref, le plus simple c'est soit de virer l'instruction en la noppant (0x90 deux fois), soit de la remplacer par un "jmp" (0xEB) au lieu de faire de l'inversion de sauts Wink

0pc0deFR · 05-06-2013, 23h40

(05-06-2013 21h23)supersnail a écrit : Veuillez vous enregistrer pour visualiser l'ensemble du forum en cliquant ici.'Fen bref, le plus simple c'est soit de virer l'instruction en la noppant (0x90 deux fois), soit de la remplacer par un "jmp" (0xEB) au lieu de faire de l'inversion de sauts

Effectivement Smile

Identifiant Mot de passe
S'enregistrer \| Mot de passe oublié ? Se rappeler