Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Reverse Engineering - 3

LJP-TW
January 20, 2022

Reverse Engineering - 3

NYCU Secure Programming 2021 Fall

LJP-TW

January 20, 2022
Tweet

More Decks by LJP-TW

Other Decks in Technology

Transcript

  1. # whoami • LJP / LJP-TW • SQLab @ NYCU

    碩一 • CTF @ 10sec / TSJ • Pwner 2
  2. Outline • Sysinternals • TLS Callback • TEB 3 •

    Exception • Packer • Anti-Reverse
  3. Sysinternals • Sysinternals 集成了許多工具 • 介紹以下兩個工具, 其他工具可以自行摸索 • Procexp •

    Procmon 6 Ref: https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
  4. Process Hacker • 相較於 Procexp, 提供更多訊息 • e.g. .NET assemblies

    9 Ref: https://github.com/processhacker/processhacker
  5. TLS Callback • Process/Thread 的開始/結束時都會自動呼叫到 TLS Callback • 跟之前討論過的 init/fini

    不同 • 呼叫時機 • TLS Cb -> Entry Point -> init -> main -> fini -> TLS Cb 13
  6. TEB • 接下來的部分, 你不知道也是可以繼續分析程式 • Segment Register • CS、 DS、

    SS、 ES、FS、 GS • FS:[0x30]?? GS:[0x60]?? • 這些咚咚有特別的記憶體算法 23
  7. TEB 31 Ref: AMD64 Architecture Programmer’s Manual Volume 2: System

    Programming • 各種模式 • CS.L = 0 • CR0.PG = 1 • x64 windows 運行 x32 程式會在 Compatibility Mode
  8. TEB • 看一下 FS • FS = 0x53 • FS.TI

    = 0 • FS.SI = 1010 (bin) = 10 (dec) 33
  9. TEB • 看一下 FS • FS = 0x53 • FS.TI

    = 0 • FS.SI = 1010 (bin) = 10 (dec) • 若 TI 為 0, 則用以下式子算 Segment Descriptor 位址 • GDT + SI * 8 • GDT: Global Descriptor Table • GDTR: GDT Register, 存放 GDT 值的暫存器 34
  10. TEB • Segment Descriptor 結構如下 • 組合一下 Base Address •

    算出 FS 值為 0x53 時, 從 GDT 爬出 Segment Descriptor, 得到 Base address = 0x00271000 37
  11. TEB • Segment Descriptor 結構如下 • 組合一下 Base Address •

    算出 FS 值為 0x53 時, 從 GDT 爬出 Segment Descriptor, 爬到 Base address = 0x00271000 • TEB 位址: 0x00271000 38 Self
  12. TEB • 如果是在 64-bit mode … • x64 windows 跑

    x64 程式 • 跳過驗證 CS.L = 1 的部分 39
  13. TEB • GS 的 base 就是 MSR GS.Base • GS.Base

    的 MSR Address 為 0xc0000101 • 進到 Kernel 後, GS.Base 會跟另一個 MSR KernelGSBase 互換 • KernelGSBase 的 MSR Address 為 0xc0000102 40
  14. SEH • Structured Exception Handling • Windows 的機制 • 32

    bit 與 64bit 機制不同 • Try, catch, finally 可以利用此機制實作 46
  15. 50

  16. 53 在 stack 創一個 ERR Handler 指向自製 handler func Zero

    給 0, 製造 exception 導致 exception 的指令 idiv 為 4 Bytes +4 跳過 idiv 指令
  17. 54

  18. SEH 55 • 逆向方式就是逆 handler • 不同 compiler 的 handler

    實作都不同 • VS 用的 MSVC, handler 的實作…
  19. SEH 58 • 逆向方式就是逆 handler • 不同 compiler 的 handler

    實作都不同 • VS 用的 MSVC, handler 的實作… • 事情變得很複雜, 但總之就是在 handler 裡面折騰就對ㄌ
  20. SEH 59 • 回顧一下 • 若 function 需要自行新增 ERR (可能函數內有

    try-catch) • 此 function 需為了增加此 ERR 而在 prolog/epilog 加 code • 但 exception 又是較少跑到的 • 加的那些 code 很常是跑心酸的
  21. SEH (64-bit) 60 • 64 bit, SEH 不用鏈表了, 改成 table-based

    • 什麼 table? 請看 Exception Directory
  22. SEH (64-bit) • 查看 UnwindInfoAddress • 對應其結構 • 找到 handler

    開逆 69 CountOfCodes = 1 UnwindCode 陣列 ExceptionHandler
  23. SEH (64-bit) • IDA pro 很 pro, 都爬好了 • 但

    freeware 沒有很 pro, 沒有爬 QQ 70
  24. Packer • 壓縮殼 • 把 code 壓縮起來 • 在執行時才把 code

    解壓縮回來, 並且執行 • UPX • VM 殼 • 實作另一套 VM • 把原始 code 變成給 VM 跑的 code • 想逆? 請直接逆完 VM • VMProtect 74
  25. Packer • DIE (Detect It Easy) • 查殼的工具 • 查到殼後再上網找脫殼器

    • 再不行才自己脫殼 77 Ref: https://github.com/horsicq/Detect-It-Easy
  26. Anti-Debug • 偵測是不是正在被 debug • IsDebuggerPresent • CheckRemoteDebuggerPresent • …

    • x64dbg 可以用 ScyllaHide 來反制 89 Ref: https://github.com/x64dbg/ScyllaHide
  27. Anti-Debug • Debugger 是怎麼達到 “設定中斷點” 這件事情的? • x64dbg 預設方式是用 int

    3, opcode 為 0xcc • 把設斷點的位址內容改成 0xcc • 執行到 int 3 時會觸發 exception_breakpoint • Debugger 接收此 exception, 並且把原本指令填回去 90
  28. Anti-VM • 分析者通常是把惡意程式丟進 VM 裡面動態分析 • 各種 VM 會有自己特別的檔案 /

    Registry / 行為 / 裝置 / 程序 • 用這些資訊來判斷自己是不是在 VM 裡面 92