👦🏾 💛 👩🏻‍💻 एक अनिर्दिष्ट विंडोज फ़ंक्शन का उपयोग करने का एक उदाहरण 💤 🍺 📳

अधिकांश Sysinternals कार्यक्रम अनिर्दिष्ट सुविधाओं का उपयोग करते हैं। मेरे पास इस विषय में दिलचस्पी बनने के लिए पर्याप्त तथ्य थे। यह दिलचस्प है कि कैसे शांत लोग अपने समान रूप से शांत कार्यक्रमों में अवांछनीय कार्यों का उपयोग करते हैं।

हम मानते हैं कि हम आलसी प्रोग्रामर आवश्यक सीमा तक हैं, हम C को जानते हैं, WinAPI के साथ और आधुनिक विंडोज ओएस की वास्तुकला के साथ, और हमारे पास इडा प्रो, हेह है। हम खूबसूरती से, जल्दी और कुशलता से पहिया को फिर से लगाए बिना कार्य को पूरा करना चाहते हैं (और इसलिए हमारी बाहों और सिर को बहुत अधिक तनाव न दें)।

आइए एक प्रयोगात्मक फ़ंक्शन की तलाश करें। Ntdll.dll में बहुत सारे उपहार मिल सकते हैं। मैं खुद Win7 64 के तहत लिख रहा हूं, लेकिन मैंने एक अद्भुत पुस्तकालय का 32-बिट संस्करण लिया। बस मामले में:% SystemDisk% \ Windows \ System32 \ ntdll.dll।

इसे सरल बनाने के लिए, Ida में ntdll खोलें और देखें कि कौन से फ़ंक्शन निर्यात किए जाते हैं। यदि कोई इडा नहीं है, तो आप पीई-फाइलों (उदाहरण के लिए, पेटोलस) के साथ काम करने वाले किसी भी कार्यक्रम को ले सकते हैं। हम आरटीएल (रन टाइम लाइब्रेरी) उपसर्ग के साथ कार्यों में रुचि रखते हैं। यही है, हमारे कोड के निष्पादन के दौरान, हम इस सिस्टम फ़ंक्शन को सेवा के बारे में पूछ सकते हैं।

एक साधारण कार्य के लिए थोड़ी खोज के बाद, एक पाया गया - RtlComputeCrc32।

फ़ंक्शन नाम पर डबल-क्लिक करने से हमें इसका असंतुष्ट कोड मिलता है। आप एचडीस्म या W32Dasm जैसे किसी अन्य डिस्सेम्बलर के साथ फ़ंक्शन सीख सकते हैं। स्थान बर्बाद न करने के लिए, मैं pseudocode RtlComputeCrc32 का उल्लेख करूंगा, कृपया इडा डीकॉम्पिलर द्वारा प्रदान किया जाएगा (यदि फंक्शन बॉडी में F5 दबाएं तो संपादन-> प्लगइन्स प्लगइन्स में हेक्स-रेज डिकम्पेलर उपलब्ध है)।

हमें अभी बहुत सारी जानकारी मिलती है! आपको यह सोचना होगा कि हम वास्तव में क्या देख रहे हैं। हमें चाहिए:
1) ntdll में अपना पता प्राप्त करने के लिए फ़ंक्शन का नाम;
2) इसे सही पॉइंटर बनाने के लिए फ़ंक्शन का प्रोटोटाइप;
3) सही तर्क को पारित करने और सही ढंग से परिणाम की प्रक्रिया के लिए काम का एक अनुमानित सिद्धांत;

आइटम 1-2 हम पहले से ही छद्मकोड से हैं। हमारा कार्य अब फ़ंक्शन को समझना है और इसके आधार पर एक प्रोग्राम लिखना है जो कुछ से CRC32 की गणना करता है।

छद्म कोड से यह समझना आसान है कि फ़ंक्शन सरणी a2 के बाइट्स पर पुनरावृत्त होता है, जिसका आकार a3 है , और a1 एल्गोरिथ्म का प्रारंभिक मूल्य है। बाइट्स के साथ गणना करने के बाद, यह RtlCrc32Table टेबल से इंडेक्स प्राप्त करता है (डबल-क्लिक करना राक्षसी तालिका दिखाएगा)। Google CRC32 और कार्यान्वयन के उदाहरण और हम समझते हैं कि सब कुछ सही है।

बात छोटी है - शिकार का फायदा उठाओ। मैंने विज़ुअल स्टूडियो में एक खाली कंसोल एप्लिकेशन बनाया, लेकिन निश्चित रूप से आप इसे किसी अन्य वातावरण में कर सकते हैं।

GetModuleHandle () ntdll हैंडल लौटाता है, GetProcAddress () फ़ंक्शन का पता है। हम RtlComputeCRC32 () को कॉल करने के लिए UndocFoo के फ़ंक्शन के लिए एक पॉइंटर का उपयोग करते हैं।

#include <stdio.h> #include <windows.h> typedef INT (WINAPI *UndocFoo)(INT accumCRC32, const BYTE* buffer, UINT buflen); int main() { HMODULE hDLL = GetModuleHandle(TEXT("ntdll.dll")); if (hDLL == NULL) { puts("[-] Failed to find ntdll.dll\n"); return EXIT_FAILURE; } puts("[+] Got ntdll.dll handle\n"); UndocFoo ComputeCrc32 = (UndocFoo)GetProcAddress(hDLL, "RtlComputeCrc32"); if (ComputeCrc32 == NULL) { puts("[-] Failed to find RtlComputeCrc32\n"); return EXIT_FAILURE; } puts("[+] Found RtlComputeCrc32 address\n"); puts("[*] Calling RtlComputeCrc32...\n"); BYTE buffer[] = {0x01, 'a', 7}; INT iCRC32 = ComputeCrc32(INT(0), (BYTE*)buffer, 3); printf("[+] Computed CRC32 --> 0x%x\n\n", iCRC32); puts("Press any key to quit\n"); getchar(); return EXIT_SUCCESS; }

सफलता। आप किसी भी ऑनलाइन कैलकुलेटर का उपयोग करके देख सकते हैं।
हमारे बाइट्स 016107 ने CRC32 = 0x1c017c60 दिया।

ऑनलाइन कैलकुलेटर ने एक ही बात दी:

"

इसलिए, अपने स्वयं के फ़ंक्शन को लागू करने या किसी और के बड़े कोड का उपयोग करने के लिए समय बर्बाद किए बिना, हमने इस तरह का एक अद्भुत कार्यक्रम बनाया। यह आसान और मजेदार था।

एक अनिर्दिष्ट विंडोज फ़ंक्शन का उपयोग करने का एक उदाहरण

More articles: