Одним из наиболее часто используемых продуктов для создания standalone-приложений из perl-скриптов и организации какой-никакой защиты является продукт IndigoStar Perl2Exe. Периодически возникают ситуации, когда исходный код скрипта потерян, а на руках имеется только полученный с помощью этой программы exe-файл, но всенепременно хочется добраться до сорцев. Разберемся, как это сделать.
Для начала скачаем сам продукт (дальнейшее описание приводится на основе Perl2Exe V11.00 for Windows) и воспользуемся им по назначению — превратим прилагающийся скрипт sample.pl в полноценный exe-файл. Для этого вводим в консоли незамысловатую команду perl2exe sample.pl или просто перетаскиваем sample.pl на perl2exe в проводнике.
Итак, у нас есть sample.exe, который необходимо изучить на предмет возможности извлечения исходного кода. Начнем с банального:
Возьмем любой hex-редактор и попробуем поискать элементы кода скрипта в теле файла. Тщетно, видимо, код хранится в упакованном/зашифрованном виде, что вполне логично.
Воспользуемся утилитой API Monitor и проанализируем обращения к файлам, которые совершает sample.exe после запуска (в качестве альтернативы можно воспользоваться Process Monitor за авторством Марка Руссиновича). Для этого отметим в списке перехватываемых функции CreateFileA, CreateFileW, нажмем Ctrl+H и укажем процесс, в контексте которого будет вестись наблюдение.
Снова промах, промежуточные файлы для хранения исходного кода скрипта в читабельном виде, не используются.
Что ж, вооружимся отладчиком и приступим к беглому изучению внутреннего устройства программы. Цель — определить, появляется ли интересующий нас код в памяти процесса в открытом виде, и на каком этапе выполнения программы его будет проще всего перехватить и скопировать. В данном случае я предпочту воспользоваться OllyDbg, но в общем-то подошел бы практически любой отладчик, например, WinDbg, IDA или, скажем, Syser.
Загружаем программу в отладчик и наблюдаем стандартный CRT-шный пролог.
Особо не задумываясь над этим нажимаем F5 — программа успешно отрабатывает, нас выкидывает в недра ntdll. Открываем память процесса (Alt+M) и ищем какой-нибудь кусок из скрипта, например, строку «This is sample». Вуаля, мы обнаруживаем исходный код в памяти. Стоит отметить, что данный подход ненадежен, так как к моменту завершения работы программы интересующие нас данные могли быть перетерты в памяти, что является правильным подходом с точки зрения безопасности (скажем, мастер-пароль в браузере Firefox через какое-то время после ввода невозможно найти в памяти).
Выясним, после какого этапа сей код появляется в памяти. Пропустим CRT-шное интро и перейдем к изучению первого значимого участка кода.
Мы наблюдаем подгрузку файла динамической библиотеки p2x5142.dll, получение адреса экспортируемой функции RunPerl и её вызов. Проведя нехитрые манипуляции, обнаруживаем, что интересующее нас таинство происходит внутри RunPerl. Изучим её содержимое.
Обращения к функциям WinAPI нас не интересуют, зато наблюдаются любопытная последовательность вызовов к функциям с префиксом perl (Perl_sys_init3, perl_alloc, perl_contruct, perl_parse, perl_run, ...), причем, проведя следственный эксперимент, выясняем, что код появляется в памяти в открытом виде после вызова perl_parse. Посмотрим, что находится внутри perl_parse. Отлично, опять куча вызовов функций с префиксом perl и прочая лабуда, изучению которой препятствует природная лень и отговорка «да я эту статью вообще пишу сидя в автобусе».
Пойдем другим путем. Пару раз запустим программу и убедимся, что память под исходный код скрипта аллоцируется в одном и том же месте (что опять-таки ненадежный подход, и логичнее было бы перехватить функции malloc, free и анализировать адресуемые области). Поставим на неё точку останова, чтобы найти код, отвечающий за запись данных по интересующему нас адресу.
Перезапускаем программу и выпадаем где-то тут:
Но заниматься перехватом данных в середине цикла, пожалуй, не лучший выбор. Посмотрим-ка, что мы имеем перед возвращением из функции.
А вот это нас более чем устраивает. В регистре ebx и стеке видим адреса, указывающие на интересующую нас область памяти с исходным кодом. Запишем в блокнот виртуальный адрес инструкции retn, посмотрим адрес, по которому загрузилась в память библиотека p2x5142.dll. Вычтем один из другого и получим смещение, которое пригодится в дальнейшем.
Теперь неплохо было бы автоматизировать данный процесс. Для этого напишем простенькую библиотеку, которую будем подгружать в память sample.exe. Сама же библиотека будет устанавливать обработчик векторных исключений, отслеживать момент, когда в память будет загружена библиотека p2x5142.dll, заменять по полученному ранее оффсету инструкцию retn на int3 и дампить содержимое памяти, которую адресует регистр, в файл.
Чтобы не писать код инжекта библиотеки по новой, воспользуемся классом, который я когда-то писал, осилив некоторую часть книги «С++ за 21 день». Вот он.
// Подключаем заголовочные файлы #include <iostream> #include <Windows.h> #include "injector.hpp" using namespace std; // Говорящий за себя прототип вспомогательной функции // Листинг приводить здесь не буду, его можно посмотреть, скачав исходный код в конце статьи wstring str2wstr(const char * aIn); int main(int argc, char *argv[]) { // Если количество переданных аргументов не равно двум, то выводим небольшой хелп if(argc != 3) { cout<<"Usage: launcher sample.exe inject.dll"<<endl; return 1; } // Необходимые структуры STARTUPINFO si = {0}; PROCESS_INFORMATION pi = {0}; // Запускаем приложение, переданное первым аргументом нашей программе // CREATE_SUSPENDED указывает на то, что процесс будет создан в "неактивном" состоянии if(CreateProcess(str2wstr(argv[1]).c_str(), NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi) == 0) { cout<<"Failed to create process"<<endl; return 1; } // Создаем объект класса injector injector a; // Устанавливаем неблокирующий режим работы (не ждем завершения выполнения удаленного потока) a.set_blocking(false); try { // Подгружаем библиотеку в созданный ранее процесс a.inject(pi.dwProcessId, str2wstr(argv[2])); } catch(const injector_exception &e) { // Если что-то пошло не так, то выводим информацию об ошибке и завершаем процесс e.show_error(); CloseHandle(pi.hThread); CloseHandle(pi.hProcess); TerminateProcess(pi.hProcess, 1); return 1; } // Возобновляем выполнение процесса ResumeThread(pi.hThread); // Закрываем хендлы, они нам больше не нужны CloseHandle(pi.hThread); CloseHandle(pi.hProcess); return 0; }
Перейдем к исходному коду библиотеки
// Заголовочные файлы #include <iostream> #include <sstream> #include <fstream> #include <Windows.h> #include "detours.h" #pragma comment(lib, "detours.lib") using namespace std; // Счетчик, служащий для формирования имени файла с дампом static unsigned int i = 0; // Относительное смещение инструкции, которая будет замещена на int3 static const DWORD retn_offset = 0xB40E9; static const wstring dump_directory = L"dump"; static const wstring file_prefix = L"src_"; static const wstring perl_dll_name = L"p2x5142.dll"; // Почему ANSI версия? Потому что именно она вызывается (видно в листинге дизассемблера) HMODULE (WINAPI * real_loadlibrary)(LPCSTR lpFileName) = LoadLibraryA; // Вспомогательная функция, здесь приводить не буду string wstr2str(const wchar_t * aIn); // Функция установки перехвата void hook() { // Получаем адрес, по которому загружена интересующая нас библиотека void * base_address = GetModuleHandle(perl_dll_name.c_str()); if(base_address == NULL) return; DWORD pr; // Прибавляем статичное смещение к адресу base_address = reinterpret_cast<void *>(reinterpret_cast<DWORD>(base_address) + retn_offset); // Меняем аттрибуты защиты памяти, записываем int3, восстанавливаем аттрибуты защиты VirtualProtect(base_address, 1, PAGE_READWRITE, &pr); CopyMemory(base_address, "\xCC", 1); VirtualProtect(base_address, 1, pr, &pr); } // Функция, записывающая указанный буффер в файл void dump_data(char * buffer, unsigned int size) { DWORD pr; wstringstream ss; // Формируем относительный путь к файлу ss << dump_directory << L"\\" << file_prefix << i++ << L".txt"; ofstream file(ss.str(), ofstream::binary); file.exceptions(0); if(file.is_open()) { // На всякий случай меняем аттрибуты защиты памяти VirtualProtect(buffer, size, PAGE_READONLY, &pr); file.write(buffer, size); VirtualProtect(buffer, size, pr, &pr); file.close(); } } // Функция, выполняемая при обращении к LoadLibraryA HMODULE WINAPI my_loadlibrary(LPCSTR lpFileName) { HMODULE h = real_loadlibrary(lpFileName); // Если подгружена необходимая библиотека, то установим хук if ( strstr(lpFileName, wstr2str(perl_dll_name.c_str()).c_str()) && i == 0 ) { i++; hook(); } return h; } // Обработчик векторных исключений, который будет обрабатывать нашу int3 LONG CALLBACK VEH(PEXCEPTION_POINTERS ExceptionInfo) { if ( // Проведенные эксперименты показали, что в Eax хранится размер буфера, а в Ebx указатель на буфер ExceptionInfo->ContextRecord->Eax > 0 && ExceptionInfo->ContextRecord->Eax < 0xFFFFF && // Также функция вызывается и для каких-то других целей, поэтому проводится такая вот "валидация" // дабы отсечь типичные вызовы с ненужными нам параметрами ExceptionInfo->ContextRecord->Ebx < 0x77000000 && ExceptionInfo->ContextRecord->Ebx > reinterpret_cast<DWORD>(GetProcessHeap()) ) dump_data(reinterpret_cast<char *>(ExceptionInfo->ContextRecord->Ebx), ExceptionInfo->ContextRecord->Eax); // Записываем в Eip адрес с верхушки стека и смещаем указатель на верхушку стека на 4 байта // Короче, выполняем действия, аналогичные инструкции retn ExceptionInfo->ContextRecord->Eip = *reinterpret_cast<DWORD *>(ExceptionInfo->ContextRecord->Esp); ExceptionInfo->ContextRecord->Esp += sizeof(DWORD); // Продолжаем выполнение программы как-будто ничего не произошло return EXCEPTION_CONTINUE_EXECUTION; } BOOL WINAPI DllMain(HINSTANCE hinst, DWORD dwReason, LPVOID reserved) { if(dwReason == DLL_PROCESS_ATTACH) { // Создаем директорию для хранения дампов памяти CreateDirectory(dump_directory.c_str(), NULL); AddVectoredExceptionHandler(1, VEH); // Устанавливаем хук на функцию в соответствии с документацией detours DetourRestoreAfterWith(); DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach(&reinterpret_cast<PVOID &>(real_loadlibrary), my_loadlibrary); DetourTransactionCommit(); } else if(dwReason == DLL_PROCESS_DETACH) { DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourDetach(&reinterpret_cast<PVOID &>(real_loadlibrary), my_loadlibrary); DetourTransactionCommit(); } return TRUE; }
Осталось только протестировать получившееся решение.
Как видно, всё отлично сдампилось. Мы достигли цели.
Интересующиеся могут также посмотреть похожий пример распаковки PerlApp.
Исходный код из статьи: скачать
