अनलिंकिंग Perl2Exe

पर्ल स्क्रिप्ट से स्टैंडअलोन एप्लिकेशन बनाने और किसी भी तरह के संरक्षण के आयोजन के लिए सबसे अधिक उपयोग किए जाने वाले उत्पादों में से एक इंडिगोस्टार पर्ल 2 एक्स है । समय-समय पर, स्थिति तब उत्पन्न होती है जब स्क्रिप्ट का स्रोत कोड खो जाता है, और आपके हाथों में इस प्रोग्राम की मदद से केवल एक exe फ़ाइल प्राप्त होती है, लेकिन आप निश्चित रूप से सॉर्ट करना चाहते हैं। आइए जानें कि यह कैसे करना है।

आरंभ करने के लिए, उत्पाद को स्वयं डाउनलोड करें (आगे का विवरण विंडोज के लिए Perl2Exe V11.00 पर आधारित है) और इसे अपने इच्छित उद्देश्य के लिए उपयोग करें - हम संलग्न नमूना.प्ल स्क्रिप्ट को पूर्ण-exe फ़ाइल में बदल देंगे। ऐसा करने के लिए, कंसोल में साधारण कमांड perl2exe sample.pl दर्ज करें या एक्सप्लोरर में perl2.exe पर सिर्फ sample.pl खींचें और ड्रॉप करें।
तो, हमारे पास sample.exe है, जिसे स्रोत कोड निकालने की संभावना के लिए जांच की जानी चाहिए। आइए शुरुआत करते हैं:
किसी भी हेक्स संपादक को लें और फ़ाइल के शरीर में स्क्रिप्ट कोड के तत्वों की तलाश करें। व्यर्थ में, जाहिरा तौर पर, कोड को एक पैक / एन्क्रिप्टेड रूप में संग्रहीत किया जाता है, जो काफी तार्किक है।

हम एपीआई मॉनिटर यूटिलिटी का उपयोग करेंगे और लॉन्च के बाद उन फ़ाइलों तक पहुंच का विश्लेषण करेंगे, जो नमूना.exe बनाती है (एक विकल्प के रूप में, आप मार्क रोसिनोविच द्वारा प्रोसेस प्रोसेस मॉनीटर का उपयोग कर सकते हैं)। ऐसा करने के लिए, इंटरसेप्टेड फ़ंक्शंस की सूची में CreateFileA, CreateFileW चुनें, Ctrl + H दबाएं और उस प्रक्रिया को इंगित करें जिसके संदर्भ में अवलोकन किया जाएगा।



फिर से याद करते हैं, स्क्रिप्ट के स्रोत कोड को पढ़ने योग्य रूप में संग्रहीत करने के लिए मध्यवर्ती फ़ाइलों का उपयोग नहीं किया जाता है।

खैर, हम अपने आप को एक डिबगर के साथ जोड़ते हैं और कार्यक्रम की आंतरिक संरचना के सरसरी अध्ययन के लिए आगे बढ़ते हैं। लक्ष्य यह निर्धारित करना है कि क्या हमारे लिए ब्याज की प्रक्रिया एक खुले रूप में प्रक्रिया मेमोरी में दिखाई देती है, और प्रोग्राम निष्पादन के किस चरण में अवरोधन और प्रतिलिपि बनाना सबसे आसान होगा। इस मामले में, मैं ओलीडबग का उपयोग करना पसंद करता हूं , लेकिन सामान्य तौर पर, लगभग किसी भी डिबगर, उदाहरण के लिए, विनडबग, आईडीए या, कहें, साइसर, करेंगे।
हम प्रोग्राम को डिबगर में लोड करते हैं और मानक सीआरटी प्रस्ताव का पालन करते हैं।



विशेष रूप से इसके बारे में सोचने के बिना, हम एफ 5 दबाते हैं - कार्यक्रम सफलतापूर्वक पूरा करता है, एनडीटीएल हमें आंत्र में फेंकता है। प्रक्रिया मेमोरी (Alt + M) खोलें और स्क्रिप्ट से कुछ टुकड़ा देखें, उदाहरण के लिए, स्ट्रिंग "यह नमूना है"। वोइला, हम स्मृति में स्रोत कोड पाते हैं। यह ध्यान देने योग्य है कि यह दृष्टिकोण अविश्वसनीय है, क्योंकि जब तक कार्यक्रम समाप्त हो जाता है, तब तक हमारे लिए ब्याज के डेटा को स्मृति में रगड़ दिया जा सकता है, जो सुरक्षा के दृष्टिकोण से सही दृष्टिकोण है (कहते हैं, फ़ायरफ़ॉक्स में मास्टर पासवर्ड इनपुट के बाद कुछ समय बाद नहीं मिल सकता है स्मृति में)।
हमें पता चलेगा कि यह कोड किस चरण में मेमोरी में दिखाई देता है। आइए CRT-intro को छोड़ें और कोड के पहले महत्वपूर्ण टुकड़े के अध्ययन पर जाएं।



हम P2x5142.dll डायनामिक लाइब्रेरी फ़ाइल लोडिंग का निरीक्षण करते हैं, जो निर्यात किए गए रनपर्ल फ़ंक्शन और इसके कॉल का पता प्राप्त करते हैं। कुछ सरल जोड़तोड़ के बाद, हम पाते हैं कि हमारे लिए ब्याज का रहस्य रनपर्ल के अंदर होता है। हम इसकी सामग्री का अध्ययन करते हैं।



WinAPI फ़ंक्शंस के लिए कॉल हमें रुचि नहीं देते हैं, लेकिन उपसर्ग perl (Perl_sys_init3, perl_alloc, perl_contruct, perl_parse, perl_run, ...) के साथ फ़ंक्शंस के लिए एक उत्सुक अनुक्रम है, और, एक खोजी प्रयोग करने के बाद, हमें पता चलता है कि कोड मेमोरी में है। perl_parse को कॉल करने के बाद। देखते हैं कि perl_parse के अंदर क्या है। खैर, फिर से, फ़ंक्शन का एक गुच्छा पर्ल प्रीफ़िक्स और एक अन्य बकवास के साथ कॉल करता है, जिसके अध्ययन में प्राकृतिक आलस्य और बाधा होती है "हाँ, मैं आमतौर पर बस में बैठते समय यह लेख लिखता हूं।"
दूसरे रास्ते से चलते हैं। कार्यक्रम को एक-दो बार चलाएं और सुनिश्चित करें कि स्क्रिप्ट स्रोत कोड के लिए मेमोरी उसी स्थान पर आवंटित की गई है (जो फिर से एक अविश्वसनीय दृष्टिकोण है, और यह मॉलोक को बाधित करने, मुफ्त कार्यों और पता योग्य क्षेत्रों का विश्लेषण करने के लिए अधिक तार्किक होगा)। हमारे लिए ब्याज के पते पर डेटा लिखने के लिए जिम्मेदार कोड खोजने के लिए हमने उस पर एक ब्रेकपॉइंट लगाया।
हम कार्यक्रम को पुनः आरंभ करते हैं और यहां कहीं बाहर छोड़ देते हैं:



लेकिन एक चक्र के बीच में डेटा को इंटरसेप्ट करना शायद सबसे अच्छा विकल्प नहीं है। चलिए देखते हैं कि फंक्शन से लौटने से पहले हमारे पास क्या है।



लेकिन यह हमसे ज्यादा सूट करता है। ईबेक्स रजिस्टर और स्टैक में हम सोर्स कोड के साथ हमें रुचि के स्मृति क्षेत्र की ओर इशारा करते हुए पते देखते हैं। हमें नोटपैड में रिटेन इंस्ट्रक्शन का वर्चुअल पता लिखें और उस पते को देखें जहां मेमोरी में P2x5142.dll लाइब्रेरी भरी हुई थी। एक को दूसरे से घटाएं और एक ऑफसेट प्राप्त करें जो बाद में काम में आएगा।

अब इस प्रक्रिया को स्वचालित करना अच्छा होगा। ऐसा करने के लिए, हम एक साधारण पुस्तकालय लिखेंगे जिसे हम नमूना.exe मेमोरी में लोड करेंगे। लाइब्रेरी स्वयं एक वेक्टर अपवाद हैंडलर स्थापित करेगी, उस क्षण की निगरानी करें जब P2x5142.dll लाइब्रेरी को मेमोरी में लोड किया गया है, पहले प्राप्त ऑफसेट से int3 के साथ रिटेन इंस्ट्रक्शन को बदलें , और मेमोरी की सामग्री को डंप करें जो कि रजिस्टर एक फाइल में पता करता है।
पुस्तकालय इंजेक्शन कोड को नए तरीके से नहीं लिखने के लिए, हम उस कक्षा का उपयोग करेंगे, जिसे मैंने एक बार लिखा था, "21 दिनों में" पुस्तक के कुछ भाग में महारत हासिल की। वहाँ वह है । इसका आकार ... एक अंगूठे की मोटाई के बारे में होना चाहिए। यहाँ कुछ इस तरह है। हम LoadLibrary कॉल को इंटरसेप्ट करने के लिए Microsoft के डेट्रोज़ लाइब्रेरी का भी उपयोग करते हैं। बेशक, इस विषय पर MASM के विकास को चालू करना संभव होगा, लेकिन, दुर्भाग्य से, शुक्रवार निम्न-स्तरीय भाषाओं में प्रोग्रामिंग का दिन नहीं है। लिखना शुरू करते हैं। आइए लॉन्चर प्रोग्राम के साथ शुरू करें, जो निलंबित स्थिति में नमूना.exe चलाएगा, लाइब्रेरी को बनाई गई प्रक्रिया में इंजेक्ट करेगा और अपना काम फिर से शुरू करेगा।

//    #include <iostream> #include <Windows.h> #include "injector.hpp" using namespace std; //       //     ,   ,       wstring str2wstr(const char * aIn); int main(int argc, char *argv[]) { //       ,     if(argc != 3) { cout<<"Usage: launcher sample.exe inject.dll"<<endl; return 1; } //   STARTUPINFO si = {0}; PROCESS_INFORMATION pi = {0}; //  ,      // CREATE_SUSPENDED   ,      ""  if(CreateProcess(str2wstr(argv[1]).c_str(), NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi) == 0) { cout<<"Failed to create process"<<endl; return 1; } //    injector injector a; //     (     ) a.set_blocking(false); try { //       a.inject(pi.dwProcessId, str2wstr(argv[2])); } catch(const injector_exception &e) { //  -   ,         e.show_error(); CloseHandle(pi.hThread); CloseHandle(pi.hProcess); TerminateProcess(pi.hProcess, 1); return 1; } //    ResumeThread(pi.hThread); //  ,      CloseHandle(pi.hThread); CloseHandle(pi.hProcess); return 0; } 

चलो पुस्तकालय के स्रोत कोड पर चलते हैं

 //   #include <iostream> #include <sstream> #include <fstream> #include <Windows.h> #include "detours.h" #pragma comment(lib, "detours.lib") using namespace std; // ,        static unsigned int i = 0; //   ,     int3 static const DWORD retn_offset = 0xB40E9; static const wstring dump_directory = L"dump"; static const wstring file_prefix = L"src_"; static const wstring perl_dll_name = L"p2x5142.dll"; //  ANSI ?      (   ) HMODULE (WINAPI * real_loadlibrary)(LPCSTR lpFileName) = LoadLibraryA; //  ,     string wstr2str(const wchar_t * aIn); //    void hook() { //  ,       void * base_address = GetModuleHandle(perl_dll_name.c_str()); if(base_address == NULL) return; DWORD pr; //      base_address = reinterpret_cast<void *>(reinterpret_cast<DWORD>(base_address) + retn_offset); //    ,  int3,    VirtualProtect(base_address, 1, PAGE_READWRITE, &pr); CopyMemory(base_address, "\xCC", 1); VirtualProtect(base_address, 1, pr, &pr); } // ,      void dump_data(char * buffer, unsigned int size) { DWORD pr; wstringstream ss; //      ss << dump_directory << L"\\" << file_prefix << i++ << L".txt"; ofstream file(ss.str(), ofstream::binary); file.exceptions(0); if(file.is_open()) { //        VirtualProtect(buffer, size, PAGE_READONLY, &pr); file.write(buffer, size); VirtualProtect(buffer, size, pr, &pr); file.close(); } } // ,     LoadLibraryA HMODULE WINAPI my_loadlibrary(LPCSTR lpFileName) { HMODULE h = real_loadlibrary(lpFileName); //    ,    if ( strstr(lpFileName, wstr2str(perl_dll_name.c_str()).c_str()) && i == 0 ) { i++; hook(); } return h; } //   ,     int3 LONG CALLBACK VEH(PEXCEPTION_POINTERS ExceptionInfo) { if ( //   ,   Eax   ,   Ebx    ExceptionInfo->ContextRecord->Eax > 0 && ExceptionInfo->ContextRecord->Eax < 0xFFFFF && //      -  ,     "" //         ExceptionInfo->ContextRecord->Ebx < 0x77000000 && ExceptionInfo->ContextRecord->Ebx > reinterpret_cast<DWORD>(GetProcessHeap()) ) dump_data(reinterpret_cast<char *>(ExceptionInfo->ContextRecord->Ebx), ExceptionInfo->ContextRecord->Eax); //   Eip            4  // ,  ,   retn ExceptionInfo->ContextRecord->Eip = *reinterpret_cast<DWORD *>(ExceptionInfo->ContextRecord->Esp); ExceptionInfo->ContextRecord->Esp += sizeof(DWORD); //    -    return EXCEPTION_CONTINUE_EXECUTION; } BOOL WINAPI DllMain(HINSTANCE hinst, DWORD dwReason, LPVOID reserved) { if(dwReason == DLL_PROCESS_ATTACH) { //       CreateDirectory(dump_directory.c_str(), NULL); AddVectoredExceptionHandler(1, VEH); //         detours DetourRestoreAfterWith(); DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach(&reinterpret_cast<PVOID &>(real_loadlibrary), my_loadlibrary); DetourTransactionCommit(); } else if(dwReason == DLL_PROCESS_DETACH) { DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourDetach(&reinterpret_cast<PVOID &>(real_loadlibrary), my_loadlibrary); DetourTransactionCommit(); } return TRUE; } 

यह केवल परिणामी समाधान का परीक्षण करने के लिए बनी हुई है।



जाहिर है, सब कुछ पूरी तरह से डंप है। हम लक्ष्य तक पहुँच चुके हैं।
रुचि रखने वाले भी PerlApp को अनपैक करने का एक समान उदाहरण देख सकते हैं।

लेख से स्रोत कोड: डाउनलोड करें