Reversing Windows Native Api Functions Θα παίξουμε ένα μικρό παιχνίδι. Θα δούμε πως ψάχνουμε μέσα στο native API των windows για functions οι οποίες χρησιμοποιούνται από τις εσωτερικές διεργασίες του λειτουργικού συστήματος και δεν συνίσταται (από την μαμά) να καλούνται από τα προγράμματα μας. Όχι μόνο θα τις ανακαλύψουμε, αλλά θα τις καλέσουμε και θα ελέγξουμε τα αποτελέσματα τους. Όπως είπαμε, θα χρησιμοποποιήσουμε συναρτήσεις που βρίσκονται μέσα στο native API των Windows. Το native API είναι ένα επίπεδο πιο κάτω από το γνωστό Base API που η μαμά συστήνει (και όχι άδικα) να χρησιμοποιούμε για λόγους συμβατότητας και για να διασφαλίσουμε οτι τα προγράμματα μας θα τρέχουν σε όλες τις εκδόσεις και Service Packs των windows. Το Native API είναι το τελευταίο layer σε user mode το οποίο κάνει άμεσες κλήσεις στο kernel mode των windows και συγκεκριμένα μέσα στο NTOSKRNL.EXE που είναι ο pure windows kernel. Πρέπει να πω εδώ οτι (κατά την άποψη μου) η διαδικασία ελέγχου των συναρτήσεων native APIs δεν είναι μια εύκολη διαδικασία. Θα πω οτι είναι δυσκολότερη από αυτή του linux αφου ο κώδικας των windows είναι κλειστός και δεν παρέχονται sources. Μόνο κώδικας assembly και αυτός (στις περισσότερες φορές είναι έξω από από τον kernel). Αν θέλουμε να debug-άρουμε τον ίδιο τον kernel χρειάζονται πιο ειδικά προγράμματα που δεν θα τα δείξουμε σε αυτόν τον ποστ. Εδώ θα δούμε πως ακόμα και από user-mode μπορούμε να δούμε διαδικασίες και συναρτήσεις (ακόμα και undocumented) μέσα στο Native API Interface ή αλλιώς μέσα στο ntdll.dll. Θα μου πείτε: Γιατί να το κάνουμε όλο αυτό? Χμ.... οι λόγοι είναι πολλοί: 1. Είναι ένα πολύ καλό πρώτο μάθημα για τους επίδοξους reversers του λειτουργικού. Σε αρχικό στάδιο βέβαια! 2. Θα μάθουμε πως να ελέγχουμε τα βασικά των εσωτερικών διεργασιών του συστήματος μας. 3. θα δούμε από πρώτο χέρι να τρέχει κώδικας των windows που ανήκει στο (ολίγον cryptic) native API επίπεδο. Γνώσεις που απαιτούνται για να διαβάσετε το ποστ? Oχι πολλές. 1. Στοιχειώδεις γνώσεις τεχνικών reversing και δη, χρήσης του olly debugger. 2. Μικρή (ναι μικρή) όσο κι αν φανεί παράδοξο, γνώση assembly language. θα συναντήσουμε (μοιραία) πολύ κώδικα assembly, αλλά δεν θα αναλώσω το ποστ (αυτό τουλάχιστον) σε στείρα assembly listings με επεξηγήσεις, Θα δούμε μάλιστα πως αυτό που θέλουμε να κάνουμε δεν απαιτεί κάποιον assembly programmer. Πρώτα απ' όλα να πώ οτι η ntdll.dll που υλοποιεί το native api είναι μέσα στο c:\windows\system32. Καλό είναι να την κάνουμε ένα copy/paste σε ένα άλλο directory και να την δουλέψουμε εκεί. Το παράδειγμα μας θα γίνει σε box με windows 7 ultimate 64bit. Αυτό που θα κάνω πρώτα είναι να εξάγω από αυτήν όλες τις functions που χρησιμοποιεί και να επιλέξω μια (στην τύχη...?) για να ελέγξω. Για να εξάγω τις exported functions από μια DLL θα χρησιμοποιήσω το πρόγραμμα dumpbin που προσφέρται από την μαμά μαζί με το Visual Studio. Δίνω D:\work2>dumpbin ntdll.dll /exports > exports.txt και δημιουργώ το exports.txt που περιέχει τις export functions της ntdll.dll Ανοίγοντας το με τον ultraedit θα δω το παρακάτω: Ψάχνοντας λίγο το αρχείο, "πέφτω" επάνω στο παρακάτω: ordinal hint RVA name 933 398 0003859A RtlGetVersion Βλέπω την συνάρτηση RtlGetVersion η οποία βρίσκεται στην RVA (Relative Virtual Address) 3859Α. Το RVA είναι η σχετική διεύθυνση που θα φορτωθεί η function RtlGetVersion όταν το αρχείο που την περιέχει φορτωθεί στην μνήμη και αποκτήσει Base Address. Αν δηλαδή το RVA μιας συνάρτησης είναι το 15 και το εκτελέσιμο φορτωθεί στην θέση 100, τότε η συνάρτηση μου θα βρίσκεται στην θέση (διεύθυνση) 115. Θέλω τώρα να δω τι ακριβώς κάνει αυτή η συνάρτηση. Για να το κάνω αυτό κάνω disassemble όλη την ntdll.dll: D:\work2>dumpbin /disasm ntdll.dll > ntdlldisasm.txt Το αρχείο ntdlldisasm.txt που δημιουργείται περιέχει όλο τον assembly κώδικα της dll. Είναι ένα ASCII αρχείο 17Mb! Χμ... πως θα βρώ τώρα σε ποιό σημείο καλείται η RtlGetVersion; Χμ... καθόλου δύκολο. Αρκεί να εφαρμόσω τον τύπο: IMAGE_BASE_ADDRESS + Function_RVA = Function Address Το RVA το έχουμε. Είναι 0003859A. Το IMAGE_BASE_ADDRESS της DLL όμως ποιό είναι; Για να το βρω δίνω απλά: D:\work2>dumpbin /headers ntdll.dll | find "image base" 7DE70000 image base (7DE70000 to 7DFEFFFF) Οπότε 7DE70000 + 0003859A = 7DEA859A. Άρα στην διεύθυνση 7DEA859A βρίσκεται η συνάρτηση RtlGetVersion. Ολόκληρος ο κώδικας της συνάρτησης RtlGetVersion είναι ο παρακάτω: 7DEA859A: 8B FF mov edi,edi 7DEA859C: 55 push ebp 7DEA859D: 8B EC mov ebp,esp 7DEA859F: 51 push ecx 7DEA85A0: 64 A1 18 00 00 00 mov eax,dword ptr fs:[00000018h] 7DEA85A6: 53 push ebx 7DEA85A7: 56 push esi 7DEA85A8: 8B 75 08 mov esi,dword ptr [ebp+8] 7DEA85AB: 57 push edi 7DEA85AC: 8B 78 30 mov edi,dword ptr [eax+30h] 7DEA85AF: 8B 87 A4 00 00 00 mov eax,dword ptr [edi+000000A4h] 7DEA85B5: 89 46 04 mov dword ptr [esi+4],eax 7DEA85B8: 8B 87 A8 00 00 00 mov eax,dword ptr [edi+000000A8h] 7DEA85BE: 89 46 08 mov dword ptr [esi+8],eax 7DEA85C1: 0F B7 87 AC 00 00 movzx eax,word ptr [edi+000000ACh] 00 7DEA85C8: 89 46 0C mov dword ptr [esi+0Ch],eax 7DEA85CB: 8B 87 B0 00 00 00 mov eax,dword ptr [edi+000000B0h] 7DEA85D1: 89 46 10 mov dword ptr [esi+10h],eax 7DEA85D4: 8B 87 F4 01 00 00 mov eax,dword ptr [edi+000001F4h] 7DEA85DA: 85 C0 test eax,eax 7DEA85DC: 74 0A je 7DEA85E8 7DEA85DE: 66 83 38 00 cmp word ptr [eax],0 7DEA85E2: 0F 85 BB 78 05 00 jne 7DEFFEA3 7DEA85E8: 33 C0 xor eax,eax 7DEA85EA: 66 89 46 14 mov word ptr [esi+14h],ax 7DEA85EE: 81 3E 1C 01 00 00 cmp dword ptr [esi],11Ch 7DEA85F4: 75 5E jne 7DEA8654 7DEA85F6: 66 0F B6 87 AF 00 movzx ax,byte ptr [edi+000000AFh] 00 00 7DEA85FE: 66 89 86 14 01 00 mov word ptr [esi+00000114h],ax 00 7DEA8605: 66 8B 87 AE 00 00 mov ax,word ptr [edi+000000AEh] 00 7DEA860C: B9 FF 00 00 00 mov ecx,0FFh 7DEA8611: 66 23 C1 and ax,cx 7DEA8614: 66 89 86 16 01 00 mov word ptr [esi+00000116h],ax 00 7DEA861B: 66 A1 D0 02 FE 7F mov ax,word ptr ds:[7FFE02D0h] 7DEA8621: 66 89 86 18 01 00 mov word ptr [esi+00000118h],ax 00 7DEA8628: 8D 45 FC lea eax,[ebp-4] 7DEA862B: 8D BE 1A 01 00 00 lea edi,[esi+0000011Ah] 7DEA8631: 50 push eax 7DEA8632: C6 07 00 mov byte ptr [edi],0 7DEA8635: E8 28 00 00 00 call 7DEA8662 7DEA863A: 84 C0 test al,al 7DEA863C: 74 16 je 7DEA8654 7DEA863E: 8B 45 FC mov eax,dword ptr [ebp-4] 7DEA8641: 88 07 mov byte ptr [edi],al 7DEA8643: 83 F8 01 cmp eax,1 7DEA8646: 75 0C jne 7DEA8654 7DEA8648: B8 EF FF 00 00 mov eax,0FFEFh 7DEA864D: 66 21 86 18 01 00 and word ptr [esi+00000118h],ax 00 7DEA8654: 5F pop edi 7DEA8655: 5E pop esi 7DEA8656: 33 C0 xor eax,eax 7DEA8658: 5B pop ebx 7DEA8659: C9 leave 7DEA865A: C2 04 00 ret 4 Ο παραπάνω κώδικας παρουσιάζεται μόνο για την γνωσιολογική επάρκεια μιας και όπως είπα δεν θα μπω στην διαδικασία να τον αναλύσω γραμμή προς γραμμή - dead listing analysis (στο post αυτό τουλάχιστον). Θα κάνω κάτι πιο... πρακτικό. θα τον εκτελέσω μέσα από τον olly και θα παρακολουθήσω τα αποτελέσματα. Πως όμως θα καλέσω την συγκεκριμένη function μέσα σε μια DLL; Με τον olly δεν είναι και τόσο δύσκολο. Πριν όμως ξεκινήσω τον έλεγχο ας δω πρώτα αν η RtlGetVersion είναι documented από την Microsoft. Πράγματι εδώ βρίσκεται περιγραφή της συγκεκριμένης συνάρτησης: The RtlGetVersion routine returns version information about the currently running operating system. Syntax NTSTATUS RtlGetVersion( __out PRTL_OSVERSIONINFOW lpVersionInformation ); Parameters lpVersionInformation [out] Pointer to either a RTL_OSVERSIONINFOW structure or a RTL_OSVERSIONINFOEXW structure that contains the version information about the currently running operating system. A caller specifies which input structure is used by setting the dwOSVersionInfoSize member of the structure to the size in bytes of the structure that is used. Return Value RtlGetVersion returns STATUS_SUCCESS. Remarks RtlGetVersion is the kernel-mode equivalent of the user-mode GetVersionEx function in the Windows SDK. See the example in the Windows SDK that shows how to get the system version. Απ' ότι βλέπω η συνάρτηση αυτή δεν δέχεται input parameter και όταν κληθεί επιστρέφει τα αποτελέσματα του στην structure RTL_OSVERSIONINFOW. H structure αυτή ορίζεται εδώ και περιέχει τα εξής βασικά στοιχεία του λειτουργικού: dwOSVersionInfoSize Specifies the size in bytes of an RTL_OSVERSIONINFOW structure. This member must be set before the structure is used with RtlGetVersion. dwMajorVersion Identifies the major version number of the operating system. For example, for Windows 2000, the major version number is five. dwMinorVersion Identifies the minor version number of the operating system. For example, for Windows 2000 the minor version number is zero. dwBuildNumber Identifies the build number of the operating system. dwPlatformId Identifies the operating system platform. For Microsoft Win32 on NT-based operating systems, RtlGetVersion returns the value VER_PLATFORM_WIN32_NT. szCSDVersion Contains a null-terminated string, such as "Service Pack 3", which indicates the latest Service Pack installed on the system. If no Service Pack has been installed, the string is empty. Ωραία μέχρι εδώ. Έμαθα τι περιμένω να πάρω σαν αποτέλεσμα. Ας επανέλθουμε στο πως θα εκτελέσω την function αυτή με τον olly. Επειδή πρόκειται για μια DLL και όχι για κάποιο εκτελέσιμο πρόγραμμα, θα κάνω το εξής: Αφού φορτώσω την DLL θα πάω στην διεύθυνση που καλείται η προς εξέταση function και θα το ορίσω ως νέο orign point, όπως φαίνεται στην επόμενη εικόνα: Παρατηρήστε οτι η διεύθυνση της RtlGetVersion δεν είναι η ίδια με αυτή που έδωσε το output του hexdump. Αυτό δεν είναι περίεργο και εξηγήται από το γεγονός πως η Base Image Address είναι διαφορετική. Αφού λοιπόν καθορίσω το νέο σημείο εκκίνησης βάζω και ένα Break Point στην διεύθυνση 776D859A και είμαι έτοιμος να πατήσω RUN και μετά να πάω step by step (πατώντας F10) παρακολουθώντας τη εκτέλεση της συνάρτησης γραμμή-γραμμή και ελέγχοντας ταυτόχρονα τις τιμές των καταχωρητών. Επίσης, για να ελέγξω τα αποτελέσματα μου καλύτερα κάνω και το εξής κόλπο: Από command line δίνω την εντολή "winver" για να δω (με βάση το documentation της μαμάς) τι τιμές θα πάρω και πού. Το winver μου δίνει: Παρατηρήστε το "Version 6.1 (Build 7600)". Πρέπει, κι εγώ, εκτελώντας την function να πάρω τα... ανάλογα Παρακάτω έχω μια ανάλυση του κώδικα που έδωσε ο olly μαζί με σχόλια (δικά μου) για τις τιμές των καταχωρητών που πήρα. Νομίζω οτι είναι ιδαίτερα διαφωτιστικά και δεν χρειάζονται πολλά-πολλά σχόλια: 776D859A > 8BFF MOV EDI,EDI | 776D859C 55 PUSH EBP | Standard function prologue 776D859D 8BEC MOV EBP,ESP | 776D859F 51 PUSH ECX 776D85A0 64:A1 18000000 MOV EAX,DWORD PTR FS:[18] ====>> return the TEB (Thread Entry Block) address 776D85A6 53 PUSH EBX 776D85A7 56 PUSH ESI 776D85A8 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8] ====>> return the PEB (Process Entry Block) address 776D85AB 57 PUSH EDI 776D85AC 8B78 30 MOV EDI,DWORD PTR DS:[EAX+30] 776D85AF 8B87 A4000000 MOV EAX,DWORD PTR DS:[EDI+A4] ===>> eax=6 (MajorVersion) 776D85B5 8946 04 MOV DWORD PTR DS:[ESI+4],EAX 776D85B8 8B87 A8000000 MOV EAX,DWORD PTR DS:[EDI+A8] ===>> eax=1 (MinorVersion) 776D85BE 8946 08 MOV DWORD PTR DS:[ESI+8],EAX 776D85C1 0FB787 AC000000 MOVZX EAX,WORD PTR DS:[EDI+AC] ===>> eax=00001DB0 i.e. 7600 (BuildNumber) MOV with zero eXtended 776D85C8 8946 0C MOV DWORD PTR DS:[ESI+C],EAX 776D85CB 8B87 B0000000 MOV EAX,DWORD PTR DS:[EDI+B0] ===>> eax=2 (platformID) 776D85D1 8946 10 MOV DWORD PTR DS:[ESI+10],EAX 776D85D4 8B87 F4010000 MOV EAX,DWORD PTR DS:[EDI+1F4] 776D85DA 85C0 TEST EAX,EAX 776D85DC 74 0A JE SHORT ntdll.776D85E8 776D85DE 66:8338 00 CMP WORD PTR DS:[EAX],0 776D85E2 0F85 BB780500 JNZ ntdll.7772FEA3 776D85E8 33C0 XOR EAX,EAX 776D85EA 66:8946 14 MOV WORD PTR DS:[ESI+14],AX 776D85EE 813E 1C010000 CMP DWORD PTR DS:[ESI],11C 776D85F4 75 5E JNZ SHORT ntdll.776D8654 776D85F6 66:0FB687 AF0000>MOVZX AX,BYTE PTR DS:[EDI+AF] 776D85FE 66:8986 14010000 MOV WORD PTR DS:[ESI+114],AX 776D8605 66:8B87 AE000000 MOV AX,WORD PTR DS:[EDI+AE] 776D860C B9 FF000000 MOV ECX,0FF 776D8611 66:23C1 AND AX,CX 776D8614 66:8986 16010000 MOV WORD PTR DS:[ESI+116],AX 776D861B 66:A1 D002FE7F MOV AX,WORD PTR DS:[7FFE02D0] 776D8621 66:8986 18010000 MOV WORD PTR DS:[ESI+118],AX 776D8628 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 776D862B 8DBE 1A010000 LEA EDI,DWORD PTR DS:[ESI+11A] 776D8631 50 PUSH EAX 776D8632 C607 00 MOV BYTE PTR DS:[EDI],0 776D8635 E8 28000000 CALL ntdll.RtlGetNtProductType 776D863A 84C0 TEST AL,AL 776D863C 74 16 JE SHORT ntdll.776D8654 776D863E 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 776D8641 8807 MOV BYTE PTR DS:[EDI],AL 776D8643 83F8 01 CMP EAX,1 776D8646 75 0C JNZ SHORT ntdll.776D8654 776D8648 B8 EFFF0000 MOV EAX,0FFEF 776D864D 66:2186 18010000 AND WORD PTR DS:[ESI+118],AX 776D8654 5F POP EDI 776D8655 5E POP ESI 776D8656 33C0 XOR EAX,EAX 776D8658 5B POP EBX 776D8659 C9 LEAVE 776D865A C2 0400 RETN 4 Πολύ καλά. Πήρα (απ' ότι βλέπετε) τα ανάλογα! Έχω να κάνω ακόμα μια μικρή παρατήρηση. Όχι τίποτε άλλο αλλά για να σας προετοιμάσω και για τα επόμενα ανάλογα tuts. Προσέξτε την διεύθυνση 776D8635. Εκεί καλείται μια function, η RtlGetNtProductType. H function αυτή είναι μάλλον εσωτερική και... undocumented. Πιο πολλά γι' αυτές σε κάποιο επόμενο post μαζί με τρόπους για το πως κάνουμε debug τον kernel. Μέχρι τώρα κατάφερα τα εξής: 1. Είδα ποιες functions υπάρχουν μέσα στην ntdll.dll 2. Απομόνωσα και διάβασα μια από αυτές. 3. Την εκτέλεσα και είδα τα αποτελέσματα της γραμμή-γραμμή. Να πω πάλι οτι αυτή η function βρίσκεται μέσα στο native API. Εκεί γίνονται κλήσεις κατ' εθυείαν στον Kernel των windows. Πρόκειται για αρκετά "επικίνδυνα νερά", που αν εκεί κάτι δεν πάει καλά μπορεί να κρεμάσει όλο το σύστημα (στην καλύτερη!). Παρατήρηση: Είδαμε μέχρι τώρα οτι οι συναρτήσεις που κοιτάμε αρχίζουν από Rtl. Τυχαίο? Δεν νομίζω! Οι μαμά έχει επιλέξει ένα συγκεκριμένο name convention για τις εσωτερικές συναρτήσεις της. Το prefix Rtl σημαίνει Run Time Library. Επίσης, μέσα στην ntdll θα δούμε και το περίφημο Zw prefix. Συναρτήσεις με αυτό το prefix κάνουν κλήσεις στον πυρήνα. Γενικά, να ξέρετε, οτι το name convention που ακολουθείται είναι: <Prefix><Operation><Object> Καλά μέχρι εδώ αλλά μου λείπει όμως κάτι: Ένα πρόηγραμμα σε C που να καλεί κατευθείαν αυτή την function από το native api και που ίσως ( λέω ίσως, ποιός ξέρει; ) να χρησιμοποιηθεί και σαν εφαλτήριο για μελλοντικούς ελέγχους άλλων πιο... άγνωστων συναρτήσεων. Αν ψάξετε στο net η αλήθεια είναι οτι δεν θα βρείτε και πολλά πράγματα για το πως καλείτε αυτή την συνάρτηση μέσα από το native api. Όποτε καλό είναι να υπάρχει ο κώδικας σε C εδώ για να μπορέσει να τον βρει και κανένας άλλος. 😉 Το προγραμματάκι (σε visual C++ / Visual Studio 2010) είναι το παρακάτω: // Kernel01.cpp : Call the RtlGetVersion from native API // #include "stdafx.h" #include <Windows.h> typedef void (WINAPI *pwinapi)(PRTL_OSVERSIONINFOW); // [url="http://www.osronline.com/ddkx/kmarch/k109_452q.htm"]http://www.osronline...h/k109_452q.htm[/url] int _tmain(int argc, _TCHAR* argv[]) { RTL_OSVERSIONINFOW info; pwinapi p_pwinapi; ZeroMemory(&info, sizeof(RTL_OSVERSIONINFOW)); p_pwinapi = (pwinapi) GetProcAddress(GetModuleHandle(TEXT("ntdll.dll")), "RtlGetVersion"); p_pwinapi(&info); return(0); } Τρέχοντας το και βάζοντας στην return(0) ένα breakpoint, βλέπουμε την... αλήθεια. Δεν χρειάζεται να ξοδέψω άλλα bytes για να σχολιάσω. Δοκιμάστε το και μόνοι σας... Κάντε debug ή ακόμα και disassemble το πρόγραμμα αυτό και ξανακάντε την διαδικασία που μόλις περιγράφτηκε. Σας υπόσχομαι οτι δεν θα χάσετε! Happy Reversing...