Секреты покорения эльфов



     Текстиль из Иваново от производителя по материалам http://ивтек𚦉.рф. |     

Имплантация чужеродного кода в ELF-файл


Для экспериментов по имплантации нам потребуется живой исполняемый файл, который при помощи компилятора и текстового редактора мы сможем изготовить и самостоятельно. Нажмем <Shift-F4> в Midnight Commaner'е, наберем программу следующего содержания (см. листинг1), затем <F2>/"имя-файла.c" и откомпилируем ее своим любимым gcc с настойками по умолчанию (gcc имя-файла.c -o имя-файла).

#include <stdio.h>

main()

{

       printf("LORDI - the best group in the world!\n"\

       "(www.lordi.org)\nmonsters, bondage and sado-maso\n");

}

Листинг 1 демонстрационная программа, в которую мы будем внедрять посторонний код

Рисунок 5 создание демонстрационной программы для внедрения

Образовавшийся файл загрузим в hex-редактор ("#./ht-0.7.5-linux-i386 имя-файла"), а затем нажмем <F6> (mode) и выберем "elf/image". Редактор перейдет в режим отображения образа исполняемого файла, автоматически перенося нас в окрестности точки входа, отмеченной меткой "entrypoint". Если этого не произойдет, нажмем <F5> (goto), и введем "entrypoint" (без кавычек).

Экран должен выглядеть приблизительно так:

Рисунок 6 исполняемый файл в hex-редакторе hte

Давайте для разминки просто поменяем первые две команды местами: xor ebp,ebp/pop esi на pop esi/xor ebp,ebp. Подведем курсор к первой машинной команде (она расположена по адресу 80482C2h) и нажмем <Ctrl-A> (Assemble), вводим "pop esi". Редактор предложит несколько вариантов ассемблирования на наш выбор: 5Eh и 8Fh C6h. Выбираем 5Eh, как самый короткий (8Fh C6h просто не влезет в отведенное место!), затем точно так ассемблируем команду xor ebp,ebp.

Измененные байты редактор выделят красным цветом (см. рис. 7), что наглядно и очень красиво, но при нажатии на <F2> (save) они вновь зеленеют, подтверждая, что все исправления успешно сохранены. Полей контрольной суммы в ELF-заголовке нет и потому заботиться о ее пересчете не нужно. Линух контрольную сумму файла не считает! А не считает он ее потому, что проектировался головой. Это же не Windows! Такое впечатление, что PE-файл проектировала толпа народу с трудом взаимодействующая между собой. Судите сами: и Линух, и Widows поддерживают механизм отложенной загрузки по требованию. Страницы образа проецируются в память тогда и только тогда, когда к ним происходит обращение, в результате чего немедленно после запуска файл уже готов к работе, а все недостающие страницы дозагружаются уже потом (или не загружаются вообще, например, часть программы, ответственная за печать, вообще не будет загружена, если ни разу не был выбран пункт "print"). Процесс загрузки как бы "размазывается" во времени, не нервируя никакими песочными часами, которые так любит демонстрировать Windows. Но! Ведь при подсчете контрольной суммы происходит неизбежное обращение ко всем страницам и все они загружаются в память, даже если не нужны. Получается, что у нас есть два механизма — один оптимизирует загрузку, другой ее "пессимизирует", съедая весь выигрыш. Где логика?!




Содержание  Назад  Вперед