_______________________________________________________________________________________________ REVERSING, AGGIUNTA DI FUNZIONI, MODIFICA DEL CODICE ESISTENTE E CRACKING CLASSICO IN UN BERSAGLIO DOC DI CASA MICRO$OFT: NOTEPAD.EXE....DESCRIZIONE DETTAGLIATA DELLA CREAZIONE DI HNOTEPAD. REVISIONE 1 By -NeuRaL_NoiSE 1999 _______________________________________________________________________________________________ Hiho! 'Mmazza che titolone impegnativo :))) allora....eccoci qui di nuovo alle prese con mamma Micro$oft...in questo tutorial spieghero' per filo e per segno il procedimento che ho seguito per modificare qua e la' il caro vecchio Notepad.exe in modo da aggiungere/rimuovere/modificare qualche funzione, per meglio adattarlo al progetto che stiamo cercando di portare a termine io, Anub|s e Insanity. Ho gia' pubblicato un tutorial sulla creazione di Hnotepad, ma chi ci ha dato un'occhiata si sara' reso conto che il tutorial precedente era improntato solo e unicamente alla compatibilita' con Windows 95, niente 98, e soprattutto avra' notato che la generazione del codice era strettamente legata al computer su cui veniva eseguita. Io stesso suggerivo a qualcuno di lavorarci su, ma alla fine ho reso il tutto trasportabile...e qui vi descrivero' come, con poche aggiunte/cambiamenti marginali, il vostro codice funzionera' sia sotto 98 che sotto 95. Un'ulteriore miglioria rispetto al tutorial precedente sta nel fatto che dopo le modifiche che vi descrivero' in questo tutorial il vostro notepad leggera' files ben piu' grandi dei soliti ffff bytes (un ringraziamento particolare a GEnius per la sua idea, scusate il gioco di parole, a dir poco geniale :), fermo restando che potrete solo visualizzarli, non editarli -- ricordate il nag della memoria insufficiente ? ho ritenuto opportuno lasciarlo, puo' essere comodo avere un nag che vi avverte se la vostra pagina sta eccedendo i 50 k. Ciononostante potrebbe darsi che alla prossima edizione ci infilo un'opzione apposta, chi lo sa...hnotepad e' un progetto in continua evoluzione, ed e' strabiliante il numero di persone che mi chiede di aggiungere funzioni :) Ecco le sezioni del tutorial: * PARTE 1 : Premesse * PARTE 2 : INTRO A HNOTEPAD * PARTE 3 : CREAZIONE DI HNOTEPAD: FASE 1 : IL NUOVO MENU FASE 2 : L'ABOUT BOX FASE 3 : AGGIUNTA DI MASKS ALLA STRUTTURA OPENFILENAME FASE 4 : AGGIUNTA DEL FILE .INI FASE 5 : RIMOZIONE DEL LIMITE NELLA GRANDEZZA DEI FILES APERTI * PARTE 4 : Bugs conosciuti * PARTE 5 : Saluti _________________ PARTE 1: Premesse _________________ Era un tempestoso giorno di bufera, quando mi avventurai per i meandri dell'IRC in cerca di un canale amico, che trovai essere #crack-it....c'erano i soliti amici di sempre, a partire da Insanity, fino a Quequero e ad Anub|s....chissa' come io ed Insa (che e' il webmaster di RingZ3r0) cominciammo a parlare della programmazione in raw html (cosa in cui lui e' particolarmente capace:), e mi disse che il tool usato per le sue pagine web e' semplicemente il Notepad di Window$....notai una certa partecipazione anche da parte di Anub|s, che evidentemente sosteneva le tesi del nostro amico...Ad un certo punto, mi venne un idea....perche' non iniziare un simpatico progetto ? proposi l'idea agli astanti: creare un bel file .hlp (tipo guida di Window$) con tutte le basi necessarie a fornire una COMPLETA conoscenza della programmazione in raw html, senza bisogno di ingombranti editors visuali (WYSIWYG).....ovviamente, unito a tale file, ci sarebbe stato il dovuto editor di testo, e chi meglio di un Notepad.exe "riveduto e corretto" sarebbe servito ai nostri scopi ?? Anub|s sembro' entusiasta dell'idea, e Insa successivamente gli promise che avrebbe messo la sua parte nella scrittura del file di help...cosicche' i compiti erano gia' stati divisi...a loro la scrittura dell'help, e a me il reversing e la modifica del notepad.... Ora so benissimo che questo tutorial non ha nessun motivo di essere :), ma ho ritenuto opportuno scrivere qualcosa, giusto per dimostrare quanto puo' essere (relativamente) semplice modificare, rimuovere e aggiungere funzioni a un qualsiasi target gia' compilato...e per questo semplice motivo, eccovi la descrizione completa della creazione di Hnotepad.exe... NOTA IMPORTANTE: Nonostante in questo tutorial venga descritta la creazione di un Hnotepad universale (sia per 95 che per 98), io usero' il file Notepad.exe che viene fornito con WINDOWS 95...quindi vi consiglio di procurarvi quello per seguire questo tutorial. Funzionera' perfettamente anche sotto il vostro Windows 98, garantito. La premessa finale e' quella solita, consiglio vivamente al lettore una buona conoscenza di base del linguaggio Assembly per Windows, e del reversing in generale. TOOLS USATI: ____________ * W32Dasm v8.93 * SoftICE v3.24 * HIEW v6.1 * Borland Resource Workshop (BRW) v4.5 * ProcDump32 v1.3 * API Reference __________________________ PARTE 2 : INTRO A HNOTEPAD __________________________ C'e' poco da dire....comunque vi enunciero' in modo sommario cio' che faremo in questo tutorial: * Aggiungeremo un menu a Notepad, che aprira' il nostro nuovo file .hlp * Creeremo l'about box (ora come ora non ne esiste uno vero, ma capirete in seguito) * Faremo in modo che nelle masks (*.bla) dei dialogs "Apri file" e "Salva con nome" compaiano anche i "Files HTML" (sia *.htm che *.html), "Files JS", e i "Files VBS". * Aggiungeremo un comodo file .INI, in cui verra' salvato lo stato del WordWrapping (A capo automatico) e il nome dell'ultimo file aperto. Al riavvio, il wrapping verra' riposizionato nello stato definito dal file, e l'ultimo file aperto sara' riaperto automaticamente se hnotepad viene lanciato senza command line. Inoltre, tale file .INI viene creato automaticamente da Hnotepad ad ogni uscita dal programma, quindi non c'e' problema nel danneggiarlo o nello scriverci dentro. * Elimineremo la limitazione nella grandezza del file aperto, il vostro Hnotepad non avra' limiti di dimensione del file visualizzato. Per fare cio', non toccheremo la Import Table ma utilizzeremo codice di scansione del Kernel (e di qualsiasi altra libreria in memoria), che, come vedrete in seguito, e' universale e potra' ritornarvi MOLTO utile quando non avete spazio per inserire GetProcAddress tra le API importate. Ecco tutto....andiamo!!!! __________________________________ PARTE 3 : LA CREAZIONE DI HNOTEPAD FASE 1 : IL NUOVO MENU __________________________________ Allora.....cominciamo con il cercare di capire COSA dovremo fare al nostro target: dobbiamo AGGIUNGERE un menu a quelli gia' presenti del programma...ma teniamo presente che nel corso della sessione avremo SICURAMENTE bisogno di aggiungere parti di codice "nostro" al file...nel caso del menu, dovremo aggiungere quella parte della window procedure che analizza le id di menu selezionate relativa alla scelta del nostro nuovo menu. Cominciamo con il vedere come si comporta il nostro target quando deve analizzare le id...potremmo risalire alla window procedure tramite la API RegisterClass e ottenere l'indirizzo della window procedure, ma saremo molto pratici, e breakeremo nel punto esatto che ci interessa. Abbiamo detto che ci interessa aggiungere un menu. Quindi proviamo ad analizzare il comportamento del programma nel caso in cui viene scelto un menu: l'API da utilizzare e' percio' WinHelpA (che fa partire il file winhelp.exe sotto \windows, che serve ad aprire qualsiasi file .HLP in formato guida di windows). In SoftICE, quindi, "BPX WinHelpA". Poi andiamo in notepad, e selezioniamo, dal menu "?", l'item "Guida in linea". Sice breakkera' su WinHelpA: F12 e vi ritroverete al caller, che sara' qui: :00401E51 FF7514 push [ebp+14] :00401E54 57 push edi :00401E55 FF7508 push [ebp+08] :00401E58 E80FF3FFFF call 0040116C ; <-- TORNIAMO DA QUESTA CALL :00401E5D 85C0 test eax, eax :00401E5F 0F8582000000 jne 00401EE7 :00401E65 FF7514 push [ebp+14] :00401E68 57 push edi :00401E69 56 push esi :00401E6A FF7508 push [ebp+08] * Reference To: USER32.DefWindowProcA, Ord:0078h | :00401E6D FF1534744000 Call dword ptr [00407434] :00401E73 EB74 jmp 00401EE9 Bene....DefWindowProcA sta a rappresentare la zona di codice della window procedure dove i messaggi vengono elaborati con le modalita' predefinite (ad es, se non analizziamo un tal messaggio, questi comunque verra' "catturato" da DefWindowProcA che lo elaborera' di conseguenza). Cio' significa che comunque il valore del menu item passa per (e viene controllato da) quella call a 1E58 (come il parametro 2/3, passato in EDI) dalla quale noi stiamo tornando. Entriamovi: * Referenced by a CALL at Address: |:00401E58 | :0040116C 55 push ebp :0040116D 8BEC mov ebp, esp :0040116F 81EC04010000 sub esp, 00000104 :00401175 33C0 xor eax, eax :00401177 56 push esi :00401178 57 push edi :00401179 BE38614000 mov esi, 00406138 :0040117E 8DBDFCFEFFFF lea edi, dword ptr [ebp+FFFFFEFC] :00401184 B940000000 mov ecx, 00000040 :00401189 A4 movsb :0040118A 8DBDFDFEFFFF lea edi, dword ptr [ebp+FFFFFEFD] :00401190 F3 repz :00401191 AB stosd :00401192 66AB stosw :00401194 AA stosb :00401195 0FB7750C movzx esi, word ptr [ebp+0C] ; <-- L'ID VALUE DEL MENU SCELTO :00401199 83FE20 cmp esi, 00000020 ; COMPARA ESI E 20h :0040119C 8BC6 mov eax, esi :0040119E 7F1A jg 004011BA ; SE ESI > 20h, SALTA :004011A0 0F84C1030000 je 00401567 :004011A6 48 dec eax :004011A7 83F81B cmp eax, 0000001B :004011AA 7736 ja 004011E2 :004011AC 0FB68838174000 movzx ecx, byte ptr [eax+00401738] :004011B3 FF248DF8164000 jmp dword ptr [4*ecx+004016F8] ; ALTRIMENTI ELABORA DI CONSEGUENZA Abbiamo quindi l'ID del menu (potete controllarle una per una con il brw, sotto la voce menu) in esi, e poi un check se esi e' maggiore di 20h. 20h equivale a 32 dec, quindi sappiamo che le id con valore inferiore a 32 verranno elaborate da un jump variabile da caso a caso, che puntera' ogni volta al codice adeguato (il jmp a 11B3). Quindi, per non complicarci la vita, il nostro menu dovra' avere un ID value maggiore di 32, cosicche' potremo elaborarlo susseguentemente al jg a 119E, che porta qui: * Referenced by a JUMP at Address: |:0040119E(C) | * Possible Ref to Menu: MenuID_0001, Item: "Taglia CTRL+X" | :004011BA 3D00030000 cmp eax, 00000300 ; 300h (768 dec) = menu item "Taglia" :004011BF 7C21 jl 004011E2 * Possible Ref to Menu: MenuID_0001, Item: "Copia CTRL+C" | :004011C1 3D01030000 cmp eax, 00000301 :004011C6 0F8E0F030000 jle 004014DB * Possible Ref to Menu: MenuID_0001, Item: "Incolla CTRL+V" | :004011CC 3D02030000 cmp eax, 00000302 :004011D1 0F8427030000 je 004014FE .............. .......... e cosi' via con gli altri checks. Ecco trovato un buon punto per inserire la deviazione al NOSTRO codice, che elaborera' per primo l'ID value relativo al nuovo menu. Ma prima dobbiamo crearlo, questo menu! :) Per fare cio', andate in BRW e, nella sezione menu, sotto il menu "?", aggiungete un nuovo item, io l'ho chiamato "Anub|s+Insa's Help su HTML". Assegnategli il valore 33 (21h), che servira' a farlo analizzare da questa procedura e non dal jmp variabile di prima. Qualsiasi valore piu' alto di 32 andra' bene (purche' non sia gia' legato a qualche altro item). Ora, nella sezione "KEY" aggiungete "VK_F1", che servira' a far uscire QUESTO menu e NON quello di notepad quando premiamo il tasto F1. Non dimenticatevi di cancellare la stessa dicitura dal menu attuale di notepad. Salvate, e come per magia al prossimo avvio di notepad vi ritroverete questo nuovo menu che come sapete ha id value 21h. Adesso, quindi, dobbiamo risolvere il problema dell'aggiunta del nostro codice al file. Come facciamo a inserirlo ?? Ci sono un paio di cosette da controllare. Se aprite il file con HIEW, con ProcDump o con chissa' quanti altri programmi, avrete tutte le info che vi servono all'aggiunta del vostro codice. Ovviamente, come sapete, non possiamo occupare PIU' bytes di quanti sono effettivamente presenti nella sezione .TEXT, e quindi siamo costretti ad APPENDERE il nostro codice alla fine del file, per poi ridirezionare i jumps dalla sezione .TEXT del pe alla sezione in cui abbiamo aggiunto il codice, che ora andremo a vedere qual'e'....solitamente, l'ultima sezione andra' bene: nel caso di notepad, pero', abbiamo gia' aggiunto un menu, cosa che ha portato all'aumento in dimensione della sezione .RSRC: questo ingrandimento ha portato allo spostamento della suddetta sezione alla fine del file. Potete controllare facilmente entrando in HIEW, premendo F8 (dal modo hex o asm) per visualizzare le info relative all'header e quindi F6 per le sezioni. Quindi, dicevo, il pe ora e' stato modificato da parte del brw, e ora l'ultima sezione e' la .RSRC. Ma resta il fatto che, "nativamente", il file notepad.exe finiva con la sezione .RELOC, che e' quella in cui andremo ad aggiungere il nostro codice (almeno all'inizio, quando finiremo lo spazio disponibile ci serviremo della .RSRC). La prima cosa da fare e' controllare lo SPAZIO che abbiamo (in termini di bytes) per aggiungere codice: controlliamo la dimensione virtuale (VirtSize, = 91Eh) e quella fisica (PhysSize, = A00h); la virtsize ci indica il numero di bytes che non dobbiamo modificare, quelli cioe' che sono gia' usati dal prog, mentre la physsize ci indica la dimensione "raw" della sezione: una semplice sottrazione A00h-91Eh ci dara' E2h (cioe' 226 dec.) bytes liberi, in cui potremo aggiungere il nostro codice. Non avremo bisogno di ingrandire la sezione, perche' abbiamo tutto lo spazio che ci serve; se la dovevate ingrandire, PRIMA di creare il menu con il brw, avreste dovuto caricare il file con procdump, editare la sezione, e aumentarne la dimensione fisica. Bene! Resta un problema....come fare a sapere A QUALE OFFSET scrivere il nostro codice?? Semplice...dobbiamo tenere d'occhio l'offset di inizio della sezione: sappiamo che e' 5000h, quindi Offset_Iniziale+VirtSize = 5000h+91Eh = 591Eh, il nostro entrypoint per l'aggiunta di codice. Abbiamo pero' anche un'ALTRO problema...CHE codice dobbiamo aggiungere ?? :)) Prima di tutto, tracciamo uno schema delle operazioni che vogliamo che il nostro nuovo codice compia. Per far si' che il codice salti dalla sezione .TEXT (dove c'e' la call che elabora le id values) alla sezione .RELOC (dove c'e' il nostro codice), avremo bisogno necessariamente di sostituire qualche byte con un jump....prenderemo il CMP a 11BA: dovremo fare quindi in modo di fare si che quel cmp diventi un jump ad un'altra sezione: questo, una volta, poteva comportare qualche fastidio: un tempo di solito un cracker che aggiungeva codice proprio ai programmi utilizzava un compilatore per generare gli opcodes validi, dovendo perdere tempo con sottrazioni inerenti il RVA della prima e della seconda sezione, ecc....poi, un bel giorno e' arrivato SoftICE con la sua funzione A (Assemble instruction) :)))))))) Grazie a questa salvezza di tool, possiamo assemblare le istruzioni al runtime, volta per volta, e ottenere pertanto gli opcodes con i quali successivamente patcheremo fisicamente il target. Gli opcodes saranno universali per le push, per i cmp ecc., e pertanto per QUESTO tipo di operazioni possiamo utilizzare HIEW direttamente, ma per i jumps a sezioni diverse avremo bisogno di SoftICE, poiche' la distanza tra gli offsets del punto di partenza e del punto di arrivo in due sezioni diverse non sono ottenibili con il patching da HIEW. Si, allora ok per i jumps, ma per le CALLS come facciamo ?? Le calls alle funzioni API (che noi utilizzeremo) non sono nient'altro che calls ad un puntatore dword, che punta ad uno specifico offset in una sezione denominata .IDATA (imported data): ogni API che verra' usata dal programma viene inserita in quella sezione all'avvio, e per servircene dal codice dovremo usare CALL [DWORD_PTR_DELLA_API]. Per scoprire quale Dword Pointer chiamare per una determinata API, utilizzeremo W32Dasm. Ad ogni API chiamata (basta fare una ricerca con il nome della funzione nel disassembly) corrispondera' una call dword ptr [xyz]: ogni volta che vi serve una tale API chiamerete da hiew quel dword ptr, niente piu' niente meno. Tutto cio' e' molto semplice, tuttavia potreste chiedervi una cosa...COME facciamo a sapere, da SoftICE, a QUALE offset saltare dalla sezione .TEXT per raggiungere il nostro codice ?? La locazione non la possiamo trovare con W32Dasm perche' la parte disassemblata riguarda soltanto la sezione .TEXT, non la .RELOC (dove ci sara' il nostro codice)...la soluzione sta in HIEW: aprite notepad.exe con hiew: una volta in modo HEX o DISASM, premete ALT+F1 per cambiare tra visualizzazione degli offsets in modo Global o Local. Posizionatevi su LOCAL, e noterete che, se prima avevate "global", ora verra' mostrato l'offset completo di imagebase, che sara' tutto cio' di cui abbiamo bisogno per sapere a quale VA (Virtual Address) corrisponde l'offset a cui vogliamo saltare, e inserire "JMP VA_del_nuovo_codice" da Sice, lasciando a lui il compito della generazione degli opcodes. SOLO PER I JMPS (jump short, quelli da 2 opcodes per intenderci) e per quelli non troppo distanti non avremo bisogno di Sice, ma potremo inserire direttamente l'offset relativo in HIEW, in quanto il jump non esce da un raggio ristretto di codice, e HIEW e' ancora in grado di generare degli opcodes validi. Percio' d'ora in poi, quando vedrete degli asterischi (*******) a fianco dell'istruzione, significa che la stessa e' stata assemblata con softice, e che ho patchato il file con i bytes che questi mi ha restituito. Un'altra cosa....abbiamo detto che dobbiamo far aprire un nuovo file con questo menu, che sara' il file di Anub|s e Insanity sulla programmazione in HTML...questo file avra' pure un nome (qualcosa.hlp), anche se io non lo conosco ancora (ma nemmeno loro due mi sa :))), comunque per la prova useremo un file fittizio HNOTEPAD.HLP. Allora, dicevo, dobbiamo fare si che il codice riconosca anche il nome "HNOTEPAD.HLP", solo che questo nome, ovviamente, non e' presente da nessuna parte....quindi dobbiamo aggiungerlo alla STRINGTABLE del target. La stringtable altro non e' che il posto dove possiamo visualizzare tutte le stringhe contenute in un file alle cui risorse abbiamo accesso. Potremmo anche sostituire qualche stringa vecchia con la nuova "HNOTEPAD.HLP", oppure inserire direttamente nel codice .exe la nostra stringa (ideale per quando non avete accesso alle risorse, e cosa che faremo anche nel corso di questo tutorial), ma visto che abbiamo accesso alle risorse di notepad.exe, la AGGIUNGEREMO alla stringtable, e la tratteremo proprio come una qualsiasi stringa esistente gia' da prima. Quindi il primo passo e', in BRW, selezionare l'ULTIMA stringtable (la 48), premere il tasto destro e EDITARLA IN MODO TESTUALE (attenti a non premere solo edit, o non potrete aggiungere items). Alche', semplicemente aggiungete questa riga alla fine: 58, "hnotepad.hlp" Salvate il file, ed il gioco e' fatto! Adesso abbiamo una stringa nuova di zecca che potremo utilizzare a nostro piacimento...cominciate ad intravedere l'enormita' delle possibilita' che ci si parano davanti ?? :D Allora....a questo punto dovete sapere (se non lo sapevate gia':) che le stringhe si caricano dalla stringtable con la funzione LoadStringA, la cui sintassi e': int LoadString( INSTANCE hInstance, // handle del modulo contenente la risorsa della stringa UINT uID, // ID della stringa (nel nostro caso 58, quindi 3Ah) LPTSTR lpBuffer, // Indirizzo del buffer di ricezione della stringa int nBufferMax // dimensione massima del buffer (n. di chars da prelevare dalla stringa) // se la stringa e' piu' corta non fa niente, ma se e' piu' lunga viene // troncata! ); Hmmm....il problema qui e' il buffer....come facciamo a sapere quale buffer utilizzare per inserirvi la nostra nuova stringa ?? Beh, un po' di esperienza pratica direi...cominciate a settare breakpoints, e troverete molto presto un buffer adatto alla ricezione. Avete due scelte: trovare un buffer che viene caricato UNA volta all'inizio e MAI piu' (in tal caso dovrete usare il loadstring una volta in piu', una specie di PUSH e POP con gli indirizzi per intenderci), o usare un buffer che viene caricato da un altro LoadStringA quando serve....in tal caso, potete sfruttarlo quando e quanto volete, tanto alla fine sara' il programma stesso a ripristinare il suo contenuto originale, all'occorrenza. Quest'ultima e' la scelta piu' comoda, decisamente. Quindi, ad esempio, prendiamo la message box "Questo documento e' troppo grande per notepad, aprire wordpad??"...se premete si, noterete un LoadStringA che carica in un buffer la variabile "wordpad.exe", che serve ad avviare il programma....eccovi il disasm (ricordatevi che i valori vengono pushati sulla stack in ordine inverso): :00402D70 6804010000 push 00000104 ; PUSHA N.DI CARATTERI DA PRENDERE DALLA STRINGA :00402D75 8D85B8FEFFFF lea eax, dword ptr [ebp+FFFFFEB8] ; EAX DIVENTA=63F8C4h :00402D7B 50 push eax ; PUSHA 63F8C4h COME BUFFER DI RICEZIONE DELLA STRING * Reference To: USER32.LoadStringA, Ord:0168h | :00402D7C 8B1DB0734000 mov ebx, dword ptr [004073B0] :00402D82 837D1001 cmp dword ptr [ebp+10], 00000001 ; (DUMMY) :00402D86 1BFF sbb edi, edi ; (DUMMY) * Possible Reference to String Resource ID=00056: "wordpad.exe" | :00402D88 6A38 push 00000038 ; ID DI "WORDPAD.EXE" NELLA TABLE :00402D8A FF3570514000 push dword ptr [00405170] ; HANDLE DEL MODULO CON LA TABLE :00402D90 FFD3 call ebx ; CHIAMA LOADSTRING Ottimo! Abbiamo trovato il nostro buffer...segnatevi quell'indirizzo di memoria : 63F8C4h...anche se vi sovrascriveremo la nostra stringa "hnotepad.hlp", il buffer verra' ripristinato da questo loadstring ogni qual volta si cerchera' di avviare wordpad. Notate che possiamo, in questo modo, anche impossessarci dell' informazione "invariabile" relativa alla funzione, ovvero l'handle del modulo contenente la stringtable (il "dword ptr [405170]" pushato a 2D8A, che contiene il valore 400000h, che sara' il nostro handle). Potremmo pushare direttamente 400000h all'occorrenza, ma utilizzeremo sempre questo puntatore (ricordatevi che quando modificate targets gia' compilati, e' sempre piu' sicuro, soprattutto per chi non ha molta dimistichezza, verificare i dati due volte, e in linea generale usare IL PIU' POSSIBILE i puntatori e IL MENO POSSIBILE i valori immediati). Adesso sappiamo come ottenere la stringa "hnotepad.hlp" nel nostro codice, ma ci manca ancora il dettaglio finale....COME chiamiamo la funzione WinHelpA? Ancora una volta la API reference ci viene in soccorso: BOOL WinHelp( HWND hWndMain, // handle della finestra che sta aprendo l'help LPCTSTR lpszHelp, // indirizzo della stringa con la path UINT uCommand, // tipo di help DWORD dwData // dati extra ); Beh, qui e' semplice....ancora una volta, ci renderemo conto del modo in cui viene chiamata la funzione esaminando esempi PRATICI della stessa all'interno del codice: quindi, un BPX WinHelpA ci servira' per analizzare il codice quando premiamo ?/Guida in linea... ecco a voi: :0040121C 6A00 push 00000000 ; NIENTE DATI EXTRA :0040121E A194604000 mov eax, dword ptr [00406094] ; EAX=PUNTATORE A STRINGA "NOTEPAD.HLP" :00401223 6A0B push 0000000B ; =HELP_FINDER, SEMPLICEMENTE UN MODO DI CHIAMATA HELP :00401225 50 push eax ; PUSHA "NOTEPAD.HLP" :00401226 FF3500604000 push dword ptr [00406000] ; ECCO IL PUNTATORE ALL'HANDLE DELLA WINDOW * Reference To: USER32.WinHelpA, Ord:0225h | :0040122C FF154C744000 Call dword ptr [0040744C] ; CHIAMA WINHELPA Fantastico....l'handle (che era la cosa che ci premeva di piu') lo troveremo, a tempo debito, nel dword ptr [406000]... Un'ultima parola riguardo a questa funzione: la api reference ci informa che dovremo chiamare la funzione WinHelpA con il parametro 02 (=HELP_QUIT) quando chiudiamo il programma, ma non dovremo preoccuparci di questo, perche' il notepad lo fa automaticamente al momento dell'uscita. Bene! Adesso abbiamo tutte le informazioni che ci servono per buttarci nella mischia e aggiungere codice al target! Per prima cosa, sostituiremo il CMP a 4011BA con un bel JMP 40891E era: :004011BA 3D00030000 cmp eax, 00000300 :004011BF 7C21 jl 004011E2 e diventa: :004011BA E95F770000 ************ jmp 0040891E ; -> VERSO IL NUOVO CODICE :004011BF 90 nop :004011C0 90 nop Abbiamo pertanto sostituito un CMP e un JL con un JMP e due NOP. I nop servono per riempire i bytes del jl che non ci serve piu' (potevamo anche tenerli, ma e' una questione di ordine e chiarezza...troverete piu' facile organizzarvi cosi'), perche' spostiamo l'intero check nella sezione .RELOC. Un ultimo avvertimento prima di andare ad inserire il nosro codice. Bisogna tener presente che quando eseguiamo operazioni nostre la stack e i registri vanno mantenuti intatti, in altre parole non dobbiamo lasciare traccia del nostro "passaggio"...lo possiamo fare facilmente salvando tutti i registri all'inizio e ripristinandoli alla fine con PUSHAD e POPAD. Ed ora ecco il codice che andremo ad aggiungere con HIEW all'offset 591Eh (F3 poi F2 per inserire l'istruzione asm...quando trovate gli asterischi significa che dovete uscire da F2 e inserire manualmente i bytes, che leggete dopo la dicitura "OPCODES:", cosi' come sono, perche' sono stati generati da softice, mentre quando trovate le calls a funzioni API potete leggere l'indirizzo del dword ptr da chiamare in CALL D,[40xxxx]): N.B.: IN HIEW, PER SCRIVERE "DWORD PTR [xyz]", USATE "D,[xyz]", per "BYTE PTR" usate "B" ecc. IN GENERALE, RIFERITEVI ALLE ALTRE ISTRUZIONI PER CAPIRE IN CHE FORMA INSERIRE LE VOSTRE. 591Eh: cmp eax, 21 ; eax contiene l'id dell'item. 21h = Id del nuovo menu "Anub|s+Insa ecc." jz 5933 ; se hai clickato li', elaboralo - jump a 2 opcodes, quindi hiew e' ok cmp eax,300 ; QUESTE SONO LE DUE RIGHE CHE ABBIAMO SOSTITUITO CON IL JMP NELLA ****** jl 4011E2 ; SEZIONE .TEXT: LE RIPRISTINIAMO QUI!...OPCODES: 0F8CB488FFFF ****** jmp 4011C1 ; continua con gli altri checks, ritornando alla sezione .TEXT ; OPCODES: E98E88FFFF 5933h: pushad ; salva tutti i registri push 20 ; numero max di chars da prendere dalla stringa push 63F8C4 ; indirizzo del buffer di ricezione della stringa, vedi sopra push 3a ; 3Ah=58 dec...ovvero l'id della nostra stringa "hnotepad.hlp" push dword ptr [405170] ; handle del modulo contenente la table call LoadStringA ; carica 20 chars della stringa "hnotepad.hlp" in 63F8C4 ; CALL D,[4073B0] popad ; ripristina tutti i registri ; a questo punto dobbiamo inserire la chiamata a WinHelpA push 00 ; niente dati extra push 03 ; (=HELP_INDEX, ci fara' uscire l'indice della guida all'apertura) push 63f8c4 ; buffer contenente "hnotepad.hlp" push dword ptr [406000] ; handle della owner window (vedi sopra) ****** jmp 40122c ; torna alla sezione .text dove c'e' la call a WinHelpA ; OPCODES: E9CE88FFFF Fantastico...adesso fate partire il vostro "nuovo" notepad, facendo attenzione a mettere un file di help di windows con il nome "hnotepad.hlp" nella stessa directory da cui state facendo partire notepad....clickate sul nuovo menu che vedete sotto "?", et voila'! il gioco e' fatto...abbiamo aggiunto una funzione nuova di zecca a notepad.exe :) __________________________________ FASE 2 : L'ABOUT BOX __________________________________ Eccoci quindi alla fase due....perche' mettere un nuovo about box ?? semplice...innanzitutto, e' importante che Insa e Anub|s vengano ringraziati e "creditati" nell'about, e poi un minimo di soddisfazione personale....:)) Inoltre, scopriremo che non e' tutto oro quello che luccica...credevate che sarebbe bastato cambiare un paio di stringhe qua e la' per cambiare l'about box ?? Vi sbagliavate...quei lamers alla Micro$oft hanno inventato una funzione molto pratica, che si trova in shell32.dll...la funzione di cui parlo e' ShellAboutA. Questa API non fa altro che creare una specie di message box PREDEFINITA, con la percentuale di risorse rimaste, la memoria ecc. (insomma l'about di notepad) piu' qualche info addizionale che si puo' specificare al momento. Inutile dirlo, cio' ci fa una tale rabbia che NON POSSIAMO PASSARCI SOPRA :) Un bpx ShellAboutA (caricate prima gli exports di shell32.dll, con "File/Load Exports" dal symbol loader di SoftICE, o inserendola tra gli exports di winice.dat e riavviando) ci indica presto il punto in cui comincia il codice per l'about box: :004013D0 6A02 push 00000002 :004013D2 A170514000 mov eax, dword ptr [00405170] :004013D7 50 push eax * Reference To: USER32.LoadIconA, Ord:015Eh | :004013D8 FF1550744000 Call dword ptr [00407450] :004013DE 50 push eax :004013DF 683C614000 push 0040613C :004013E4 FF3560604000 push dword ptr [00406060] :004013EA FF3500604000 push dword ptr [00406000] * Reference To: SHELL32.ShellAboutA, Ord:004Ch | :004013F0 FF1580734000 Call dword ptr [00407380] bah, tutta roba inutile....piuttosto, cerchiamo di inserire un po' di codice nostro che faccia uscire un nuovo about box.... Come nella situazione di prima, dobbiamo renderci conto di quello che stiamo per fare. Una message box andra' benissimo. Ecco la sintassi per questa semplice funzione API: int MessageBox( HWND hWnd, // handle della owner window LPCTSTR lpText, // indirizzo del buffer del TESTO DELLA MESSAGE BOX LPCTSTR lpCaption, // indirizzo del buffer del TITOLO DELLA MESSAGE BOX UINT uType // stile della message box ); Hmmm....cosa facciamo con quei due buffer ?? il testo che vogliamo inserire e' lunghetto.... potremmo aggiungere altre stringhe alla stringtable e utilizzare altri buffers per fungere da titolo e testo della msgbox, ma pensate ad una cosa...nella FASE 4 di questo tutorial rimuoveremo il box "file troppo esteso, avviare wordpad?", visto che elimineremo la limitazione nella grandezza dei files aperti, e, di conseguenza, potremmo inserire il nostro testo di about in questa stringa nella table...cosicche' il puntatore a questa stringa (che sta a 4060B0, come possiamo vedere breakkando sulla message box suddetta) punterebbe adesso al testo del nostro box di about...quindi tutto cio' che dobbiamo fare e', in BRW, modificare la stringa che ha come id 52....cambiarla da "File troppo esteso per essere aperto.\nUtilizzare WordPad per leggere il file?" in "RingZ3r0's Hnotepad v1.00\nVersione modificata di Micro$oft's Notepad.exe\n\n\n* Reversing del codice e implementazione nuove funzioni di -NeuRaL_NoiSE\n\n* File di help sulla programmazione in HTML di Anub|s e Insanity" Potete semplicemente fare copy&paste del testo suddetto. I "\n" vanno a capo, come in c. Resta il problema del titolo. Hmm vediamo un po'....il titolo dell'about box deve essere qualcosa come "Hnotepad" giusto ?? Beh, adesso date un'occhiata a tutte quelle stringhe in cui compare "Blocco note" nella stringtable...facciamo una cosa. Modifichiamo tutti i "Blocco note" che troviamo in "Hnotepad"....adesso facciamo partire il programma e facciamoci un giro in memoria....una semplice s 0 l ffffff 'Hnotepad' da SoftICE ci indichera' un punto della memoria dove c'e' la stringa suddetta....soffermiamoci un attimo sulla corrispondenza a 41029F. Noterete che e' preceduta e seguita da bytes 00....cio' significa che la stringa e' tutta li', e' solo "Hnotepad"...un titolo perfetto per una msgbox non trovate ?? :) Potremmo, come sopra, pushare direttamente l'indirizzo 41029F al momento della call a MessageBoxA...ma troveremo il puntatore a questo buffer, e pusheremo quello, invece...sempre per gli stessi motivi di prima. Non fatevi spaventare dal suono delle parole, un buffer e' semplicemente una variabile, e un puntatore.....beh diciamo che e' il "nome" di quella variabile, giusto per dirla in modo spicciolo. I puntatori sono nella sezione .DATA. Abbiamo gia' visto un puntatore prima, ricordate? Parlo dell'handle del "modulo contenente la stringtable" per la funzione LoadStringA....quel puntatore era a 405170....cio' ci basta per individuare la sezione .DATA...ora tutto sta a trovare un puntatore (il 'nome') al buffer (la 'variabile') 41029f ("Hnotepad")...presto fatto, ecco li' il nostro puntatore: 406060. allora....cosa altro ci resta ?? hmmm, l'handle della owner window.....da un esempio pratico di MessageBoxA (quello relativo alla richiesta "caricare wordpad?"), notiamo che ebp+8 contiene l'hwnd....e questo non cambia, come vedrete se sperimentate un po'....quindi, abbiamo anche l'ultimo dato che ci serviva....l'hwnd! Ora non resta che decidere lo stile della message box....direi che, trattandosi di un box di about, un valore 0 (=MB_OK, cioe' un unico button con su scritto "ok") andra' benissimo come style.... Allora siamo pronti! Modifichiamo anche quest'altro codice in modo che faccia quello che gli ordiniamo....il VA a cui appenderemo il nostro codice dell'about box sara' 40895E (offset 595Eh), quindi dovremo inserire un jump nella sezione .TEXT per saltare al nostro codice. L'inizio della routine di ShellAboutA andra' bene: era :004013D0 6A02 push 00000002 :004013D2 A170514000 mov eax, dword ptr [00405170] e diventa :004013D0 E989750000 ************ jmp 0040895E ; --> VERSO IL NUOVO CODICE Il codice che segue il nuovo jmp viene modificato completamente, ma non ci interessa visto che non ci serviva a niente...adesso il programma continuera' nella sezione .RELOC all'offset 595Eh, con il NOSTRO codice: ... 595Eh: pushad ; salva tutti i registri push 00 ; 0 = MB_OK push dword ptr [406060] ; pusha il puntatore a "Hnotepad" come TITOLO push dword ptr [4060B0] ; pusha il puntatore alla nuova stringa "RingZ3r0 ecc" come TESTO mov esi, [ebp+8] ; hWnd della owner window in esi push esi ; pusha l'handle call MessageBoxA ; mostra la message box - CALL D,[407430] popad ; ripristina tutti i registri ****** jmp 4016eb ; torna a .text - OPCODES: E96E8DFFFF nop ; finisce anche questa parte di codice, il nop e' inutile ma se ; state seguendo questo tutorial passo passo inseritelo anche ; voi, per ritrovarvi con gli offsets. Bene! Anche questa e' andata.....provate ora a far uscire l'about box....noterete che mostra la stringa che gli abbiamo cambiato, con in piu' "Hnotepad" come titolo....ovviamente se ora provate ad aprire un file piu' grosso di FFFFh bytes vi uscira' un box senza senso, poiche' la vecchia stringa "File troppo esteso..." non esiste piu'...ma e' solo questione di pazienza, elimineremo anche quel box. ______________________________________________________ FASE 3 : AGGIUNTA DI MASKS ALLA STRUTTURA OPENFILENAME ______________________________________________________ Bene....visto che questo sara' un editor per files Html, mi sembra pure ovvio che debba contenere anche le masks "Files HTML", "Files JS" e "Files VBS" tra quelle dell'apertura/salvataggio files....(o meglio, lo devo fare altrimenti Anub|s mi ammazza.....:)))))) sto scherzando ovviamente ;))) Partiamo dal dialog box "Apri file". Innanzitutto, dovete sapere che quel dialog box "Apri File" e' un dialog box predefinito, che viene chiamato con una API specifica, ovvero GetOpenFileNameA, contenuta in Comdlg32.dll... quindi, per lavorare con questa API, cominciate a caricare gli exports di questa dll. Un'altra cosa da sapere, e' che comunque le stringhe filtro (masks) vengono specificate, assieme ad altri parametri (vi rimando alla API reference o ai tutorials di Iczelion per maggiori dettagli) in una struttura di tipo OPENFILENAME, che viene pushata sulla stack prima della call a GetOpenFileNameA. Ergo, la struttura conterra' tutte i dati di cui abbiamo bisogno - quindi anche i filtri. I filtri vengono definiti in questo modo (prendiamo ad es. un filtro per files di testo): Filtro db "FILES DI TESTO",0,"*.txt",0,0 .....<--- il secondo zero non e' un errore, ma viene messo se il filtro e' l'ultimo della lista. Altrimenti un solo zero e poi la descrizione del filtro successivo. Questo e' tutto quello che ci serve. Possiamo definire nella stringtable una nuova stringa, che andra' alla posizione 59 (3Bh): 59, "Files HTML|*.htm; *.html|Files JS|*.js|Files VBS|*.vbs" Non preoccupatevi per ora per quel "|" tra "descrizione" e "filtro", ci serve solo per identificare un punto in cui piazzeremo uno ZERO BYTE una volta APPESA la stringa alla lista dei filtri gia' presenti, in modo da far credere al programma che si tratta di varie stringhe diverse e non di un'unica stringa continua ("descrizione",0,"filtro effettivo",0,ecc.ecc.). NB: Abbiamo inserito la dicitura "*.htm;*.html" per far capire al programma che dovra' includere sia i files con estensione .htm che quelli con estensione .html sotto la stessa mask. In Sice, BPX GetOpenFileNameA e poi scegliete "File/Apri". Sice poppera', premete F12 e il dialog "Apri file" vi comparira' sullo schermo. Premete ESC e vi ritroverete in Sice, a questo punto: :004012E7 6880524000 push 00405280 ; LA STRUTTURA OPENFILENAME VIENE PUSHATA.... :004012EC C7058C52400080514000 mov dword ptr [0040528C], 00405180 :004012F6 C7059052400030524000 mov dword ptr [00405290], 00405230 :00401300 C705B452400004100000 mov dword ptr [004052B4], 00001004 :0040130A 83C003 add eax, 00000003 :0040130D A3BC524000 mov dword ptr [004052BC], eax * Reference To: comdlg32.GetOpenFileNameA, Ord:0005h | :00401312 E8FA350000 Call 00404911 ; <-- .......ED ECCO LA CALL ! Benissimo, adesso diamo un'occhiata in memoria a 405280. Saliamo un po' con il puntatore e, un paio di PGUP piu' su, troverete chiare traccie delle stringhe-filtro ("Documenti di testo *.txt" ecc.). Le stringhe filtro terminano, come potete vedere, all'indirizzo di memoria 4051B0 (con il secondo BYTE 00, che denota la fine del membro). Quindi, un semplice LoadStringA su questo indirizzo ci permettera' di APPENDERE la nostra nuova stringa-filtro ai filtri gia' presenti. il nostro codice, ancora una volta, continuera', giu' nella sezione .RELOC, al VA 40897E (offset 597Dh). Il jump al nostro codice lo inseriremo al posto della push (all'offset 6E7h), che ripristineremo in seguito. era :004012E7 6880524000 push 00405280 :004012EC C7058C52400080514000 mov dword ptr [0040528C], 00405180 e diventa :004012E7 E992760000 ************ jmp 0040897E ; --> VERSO IL NUOVO CODICE :004012EC C7058C52400080514000 mov dword ptr [0040528C], 00405180 Come potete notare, il MOV seguente non cambia, percio' potremo semplicemente tornare qui quando avremo finito con la modifica e il pushing della struttura. Adesso tutto cio' che dobbiamo fare e' modificare, allo stesso scopo, il codice relativo al dialog "Salva con nome". Questo dialog viene chiamato con la API GetSaveFileNameA (sempre in comdlg32.dll). Non avremo bisogno di grosse modifiche, bastera' far puntare il codice della push della struttura relativa al dialog "salva con nome" al nostro nuovo pezzo di codice, esattamente lo stesso procedimento del dialog "Apri file". Percio', con un bpx su GetSaveFileNameA ci accorgiamo che il codice da modificare e' questo: era :0040168A 6880524000 push 00405280 ; pusha struttura :0040168F E86B320000 Call 004048FF ; Call GetSaveFileNameA e diventa :0040168A E9EF720000 ************ jmp 0040897E ; --> VERSO IL NUOVO CODICE :0040168F E86B320000 Call 004048FF ; Call GetSaveFileNameA Come vedete la successiva call a GetSaveFileNameA resta invariata, quindi non abbiamo bisogno di ulteriori modifiche. Ma come fara' il nostro codice a differenziare tra un GetSaveFileNameA e un GetOpenFileNameA (una differenziazione e' necessaria, visto che DOBBIAMO sapere in QUALE PUNTO della sezione .TEXT tornare successivamente all'esecuzione del nostro codice) ?? Date un'occhiata ai registri, una volta arrivati al nostro codice (o al jump che ci porta li') : quando abbiamo scelto "apri file", il valore in ESI sara' sempre 0Ah. Se invece abbiamo scelto "Salva con nome" sara' sempre un altro. La spiegazione e' molto semplice: in BRW, editate il menu e scegliete File/Apri. Notate l'item ID: e' 10, che in hex e' 0Ah. esi quindi contiene ancora l'item ID quando raggiungiamo il nostro codice. Pertanto, ci bastera' controllare se ESI=Ah, e tornare a .TEXT nel punto relativo. Il nostro codice, quindi, sara' questo: ... 597Eh: pushad ; salva tutti i registri push 50 ; numero max di chars da prendere dalla stringa push 4051b0 ; indirizzo del buffer di ricezione della stringa (appende ai ; filtri gia' esistenti) push 3b ; 3Bh=59 dec...ovvero l'id della nostra stringa ; "Files HTML|*.htm; *.html|Files JS|*.js|Files VBS|*.vbs" push dword ptr [405170] ; handle del modulo contenente la table call LoadStringA ; carica la stringa "Files HTML|*.htm; *.html ecc." in 63F8C4 ; CALL D,[4073B0] mov byte ptr [4051ba], 0 ; mette uno ZERO BYTE al posto del "|" tra "Files HTML" e ; "*.htm", di modo da rendere effettiva la separazione tra ; descriz. e filtro, e far credere al programma che si tratta di ; due stringhe diverse mov byte ptr [4051c8], 0 ; come sopra ma tra "*.html" e "Files JS" mov byte ptr [4051d1], 0 ; come sopra ma tra "Files JS" e "*.js" mov byte ptr [4051d6], 0 ; come sopra ma tra "*.js" e "Files VBS" mov byte ptr [4051e0], 0 ; come sopra ma tra "Files VBS" e "*.vbs" cmp esi,0ah ; ESI=Ah se veniamo da un click su "APRI FILE" jnz 59c7 ; ESI != 0ah?? popad ; se no, ripristina tutti i registri... push 405280 ; ...pusha la struttura modificata... ****** jmp 4012ec ; E CONTINUA CON LA PARTE DEL GetOpenFileNameA (torna a .TEXT) ; OPCODES: E92589FFFF 59C7: popad ; se invece esi!=0ah, ripristina tutti i registri... push 405280 ; ...pusha la struttura modificata... ****** jmp 40168f ; E CONTINUA CON IL GetSaveFileNameA (torna a .TEXT) ; OPCODES: E9BD8CFFFF Ecco fatto...ora, i vostri dialogs "Apri File" e "Salva con nome" mostreranno 3 masks in piu'. Potete anche allungare la nuova stringa-filtro, e conseguentemente aggiungere piu' filtri, sempre tenendo presente che non dovete superare il blocco di memoria allocata per la struttura, che non dovete sovrascrivere gli altri membri e che dovrete mettere uno 0 byte tra le varie "descrizione","filtro","descrizione" ecc...OLTRE A *DUE* ZERO BYTES ALLA FINE DELL'ULTIMO FILTRO. _______________________________ FASE 4 : AGGIUNTA DEL FILE .INI _______________________________ Allora, eccoci arrivati alla parte forse un po' piu' complessa di questo tutorial. Innanzitutto diamo un'occhiata a COME apparira' questo file .INI per default: **** FILE GENERATO AUTOMATICAMENTE DA HNOTEPAD.EXE UTILIZZARE SOLO 'S' O 'N' ALLA VOCE 'AutoWrap' -NeuRaL_NoiSE 1999 **** AutoWrap=N UltimoFile= Ora possiamo pensare a come vogliamo strutturare il codice relativo a questa funzione. Naturalmente dovremo scrivere una parte di codice che LEGGE il .INI all'avvio del programma e una che lo SCRIVE all'uscita. Analizziamo prima la funzione di LETTURA: * All'avvio di Hnotepad, il codice dovra' cercare un file predefinito C:\Windows\Hnotepad.ini. Se tale file non viene trovato, continuare come se nulla fosse. * Se viene trovato, leggerne i dati contenuti e cercare il primo uguale ('=') in esso contenuto. Dopo quest'uguale ci sara' la posizione desiderata del WordWrapping all'avvio. Se il '=' non viene trovato, ritornare a .text senza ulteriori checks e procedere in modo predefinito. * Se viene trovato il primo '=', analizzare la lettera successiva ad esso, e controllare se e' 'S', 's', 'N' o 'n'. Se la lettera non corrisponde, tornare a .text e procedere in modo predefinito. * Se la lettera corrisponde, accodare o meno il messaggio del wordwrapping alla message queue del processo, capirete in seguito come fare. * Controllare se la Command Line == NULL. Se si e' scelto un file per l'apertura, si dovra' caricare questo e non l'ultimo file stabilito nel .INI, poiche' ovviamente quest'ultimo ha priorita' inferiore rispetto al file scelto da command line. * SOLO se la Command Line == NULL, si cerchera' l'ultimo file aperto da .INI. Partendo dalla posizione precedente, cercare il '=' successivo. Dopo questo '=' ci sara' il nome dell'ultimo file aperto. Se il '=' non viene trovato, tornare a .text e procedere con l'apertura di un nuovo documento (come notepad si sarebbe comportato normalmente, insomma). * se il '=' viene trovato, controllare che immediatamente dopo di esso ci sia una lettera compresa tra 'a' e 'z', oppure tra 'A' e 'Z'. Cio' ci serve per stabilire (a grandi linee) se il nome del file e' corretto (da non confondersi, qui non stiamo controllando se il file esiste, stiamo solo controllando che non si verifichi il tentativo di apertura di un file, ad esempio, 7:\xyz\xyz.txt"). In altre parole controlliamo che la lettera iniziale sia una lettera dell'alfabeto, cioe' un identificatore valido per un drive, e non, magari, un numero o un simbolo. Se non e' una lettera valida, tornare a .text e procedere in modo predefinito. * Se abbiamo trovato una lettera valida, procedere cercando la LUNGHEZZA della stringa che rappresenta il nome del file da aprire. salvare la posizione iniziale della stringa, e avanzare cercando uno spazio (' ', =20h) o un carriage return (=0Dh). In assenza di uno di questi, procedere fino alla fine del file. Da precisare una cosa: quando salviamo il nostro file di default, dopo il secondo '=' c'e' uno spazio (' '), che se viene ritrovato nel check iniziale indica la fine del nome del file. Se invece salviamo il .INI con il nome di un file da riaprire successivamente, vi appenderemo un CR (=0Dh), che funzionera' ne' piu' ne' meno come lo spazio. Se l'utente ha inserito manualmente il nome dell'ultimo file nel .INI, e non ha inserito alla fine uno spazio o un CR, non c'e' problema comunque poiche' avremo un terzo check, quello della lunghezza del file: una volta raggiunta la EOF si considerera' finita la stringa di definizione dell'ultimo file. * Una volta trovata la fine della stringa di definizione del file da aprire, copiarla direttamente nel buffer che viene utilizzato per l'apertura di un file quando cmdline!=NULL. Notepad provvedera' automaticamente a caricare il file perche' noi effettuiamo questa operazione PRIMA che il check 'nativo' per la cmdline viene effettuato. In parole povere, 'bruteforceremo' il nome di un file nel buffer che altrimenti avrebbe contenuto solo zero bytes, 'simulando' quindi la scelta di un file da aprire da command line da parte dell'utente. * A questo punto, torneremo a .TEXT per continuare normalmente con il codice. Ora stabiliremo di quali funzioni API avremo bisogno. Quando nel codice leggerete una call ad una API, sostituite in HIEW semplicemente call d,[dword_ptr_della_api]. ecco quali sono i ptr che vi serviranno: LoadStringA: call d,[4073b0] _lopen: call d,[407364] _lread: call d,[407368] PostMessageA: call d,[40745c] lstrcpyA: call d,[40733c] _lclose: call d,[4072f0] Adesso dobbiamo tenere presente una cosa. Per aggiungere altro codice, dovremo sfruttare la sezione .RSRC, poiche' lo spazio rimasto in .RELOC e' ormai alla frutta. Purtroppo c'e' una limitazione alla nostra voglia di reverserare tutto, e tale limitazione risiede in BRW. Ovviamente con un po' di semplice intuito la aggireremo, ciononostante mi sembra giusto che voi sappiate COSA stiamo affrontando qui :) La limitazione di cui parlo risiede nel fatto che BRW, ad ogni modifica che effettua sulle risorse, RICREA da zero la sezione .RSRC. Capite di cosa sto parlando ?? Il vostro simpatico codice aggiuntivo in .RSRC viene completamente cancellato ad una SINGOLA modifica in una qualsiasi risorsa effettuata con BRW, e del vostro lavoro non restano tracce. Ci sono vari sistemi per aggirare il problema, e noi ne utilizzeremo due: innanzitutto immetteremo (quasi) tutte le stringhe di cui abbiamo bisogno nella stringtable PRIMA di cominciare con il nuovo codice in .RSRC. Poi, quando tutto sara' scritto, ci ritroveremo a dover utilizzare altre stringhe per la 5 fase di questo tutorial, ma affronteremo il problema quando ci si parera' davanti, parlarne adesso mi sembra prematuro. Pertanto, cominciate con l'aggiungere queste due stringhe alla stringtable del nostro target, capirete in seguito a cosa serve ciascuna di esse: 60, "c:\\windows\\hnotepad.ini" 61, "****\nFILE GENERATO AUTOMATICAMENTE DA HNOTEPAD.EXE\nUTILIZZARE SOLO 'S' O 'N' ALLA VOCE 'AutoWrap'\n\n-NeuRaL_NoiSE 1999\n****\n\nAutoWrap=N\nUltimoFile= " Un altro problema che incontrerete nell'aggiunta del codice, inoltre, sara' nello spazio fisico che avete per inserire bytes. Verso la fine di questo spezzone di codice, infatti, starete quasi per finire anche lo spazio in .RSRC. Pertanto, gia' da ora, editate il PE di notepad.exe con ProcDump, poi clickate su "sections", e editate la sezione .RSRC. Ingrandite la Raw size e la Virt Size (per sicurezza) da 3000 a 3200 bytes, e salvate i cambiamenti solo al PE header. Questo ci dara' tutto lo spazio di cui necessiteremo per aggiungere il nostro ingombrante codice :) Detto cio', credo che possiamo cominciare a cercare il punto da cui far saltare al nostro codice per il controllo del .INI. Bisogna tener presenti due presupposti in questa ricerca: 1) per informare il programma che vogliamo il wordwrapping, abbiamo bisogno di 'simulare' un click sull'opzione "A capo automatico". Questo e' molto semplice, lo possiamo fare con SendMessageA o con PostMessageA. SendM. salta subito alla window procedure e quindi e' poco comodo per noi, che dobbiamo effettuare le dovute "pulizie" prima di tornare a .TEXT, pena un triste GPF o un Page Fault. Pertanto, utilizzeremo PostMessageA, che semplicemente AGGIUNGE il messaggio alla message queue (coda dei messaggi) del thread in esecuzione. Ma un attimo...per utilizzare PostMessageA abbiamo bisogno di un HWND a cui mandare il messaggio in questione! Pertanto il primo presupposto e' che il controllo di EDIT (che notepad usa attualmente) deve essere GIA' STATO CREATO QUANDO SALTIAMO AL NOSTRO CODICE. 2) tuttavia, se aspettiamo troppo, potremmo incappare nell'errore opposto: il thread ha gia' creato il controllo di edit, ma anche il check per la command line potrebbe essere gia' stato fatto! Ecco quindi qual'e' il secondo presupposto: IL CHECK PER LA COMMAND LINE *NON* DEVE ESSERE GIA' STATO FATTO. Con buona approssimazione, possiamo supporre che il check per la command line avviene DOPO la creazione del controllo, e questo e' decisamente un punto a nostro favore. Tutto sta a 'cogliere' quell' "attimo" tra le due operazioni, e inserirvici di forza tutti i nostri checks. Direi che un buon inizio puo' essere quella message box "File xyz.xxx non trovato" che poppa quando cerchiamo di aprire un file inesistente. Essa ci indica infatti un potenziale punto in cui il controllo e' stato creato e il file da aprire e' stato APPENA controllato. Ecco dove ci porta un BPX MessageBoxA: * Reference To: USER32.MessageBoxA, Ord:0176h | :00402251 FF1530744000 Call dword ptr [00407430] :00402257 8BE5 mov esp, ebp :00402259 5D pop ebp :0040225A C21400 ret 0014 Hmm, risaliamo per quel ret... :004028D0 E84FF9FFFF call 00402224 ; <-- TORNIAMO DA QUESTA CALL :004028D5 83F806 cmp eax, 00000006 :004028D8 7545 jne 0040291F Ecco il check del tasto che abbiamo premuto. Ma diamo un'occhiata al codice un po' piu' su nel disassembly, cos'e' quel CreateFileA?? :) :00402853 803B00 cmp byte ptr [ebx], 00 :00402856 0F84F4000000 je 00402950 :0040285C 53 push ebx :0040285D 68D0524000 push 004052D0 :00402862 E8F6F9FFFF call 0040225D :00402867 6A00 push 00000000 :00402869 6880000000 push 00000080 :0040286E 6A03 push 00000003 * Reference To: KERNEL32.CreateFileA, Ord:0039h | :00402870 8B1D44734000 mov ebx, dword ptr [00407344] Molto interessante...qui abbiamo proprio il check che ci serviva...il check della command line! il byte ptr [ebx] contiene 00 se non si e' scelta command line, ma proviamo a mettere un bpx sul check (a 402853) e ritorniamo al prompt del DOS, quindi scriviamo Notepad FILE_INESISTENTE... sice poppera' su 402853. Adesso provate a dare "D EBX"...Vi troverete FILE_INESISTENTE pari pari a come lo avete scritto...esatto! ecco il buffer della command line! :) ma un attimo...non e' quello il buffer che dovremo utilizzare...notate quella call successiva? eccola: :0040285C 53 push ebx :0040285D 68D0524000 push 004052D0 :00402862 E8F6F9FFFF call 0040225D Se vi tracciate dentro, noterete che la call e' paragonabile ad un lstrcpy, in altre parole COPIA il nome del file (in d,[ebx]) nel buffer a 4052d0: se nella command line, come nel nostro caso, avere inserito qualcosa di simile a FILE_INESISTENTE, dopo la call noterete che in 4052d0 e' presente questo: FILE_INESISTENTE.txt. Lo scopo quindi e' chiaro: il buffer usato per il file da aprire e' 4052d0 (come potete riscontrare anche dal fatto che viene pushato come parametro per il CreateFileA successivo). Questo quindi dovra' essere il buffer in cui andremo a scrivere il nome del nostro file. Ma c'erano due presupposti, ricordate ? Dobbiamo controllare che il controllo edit sia stato gia' creato a questo punto. Da SoftICE, arrivati a 402853, digitate HWND NOTEPAD (se il nome del file che state lanciando e' notepad.exe, altrimenti controllate i tasks attivi con il comando TASK); noterete che il secondo class name e' un controllo di tipo EDIT...quindi e' gia' stato creato, e anche il primo presupposto viene rispettato! Allora....tutto cio' che ci serve e' trovare un punto per la deviazione a .RSRC. Quel JE a 402856 fa proprio al nostro caso. *** NOTA *** I punti di ritorno sono diversi: * se non c'e' il file .INI (o c'e' ma presenta errori) e l'utente NON ha scelto files, torneremo a 402950 (dove salterebbe quel je normalmente). * se il .INI c'e' ma l'utente ha scelto una command line, torneremo a 40285c con la call di copia tra i buffers e di aggiunta dell'estensione. * se il .INI c'e' e l'utente ha lasciato una cmd line vuota, copieremo direttamente il nome dell'ultimo file aperto dal file .INI al buffer a 4052d0, e torneremo a 402867 con la prima push del CreateFileA, che si riferisce a tale buffer. ***FINE NOTA*** Il nostro codice cominciera' a 40BEED (@88edh), e quindi la deviazione sara' questa (@1c56h): era :00402856 0F84F4000000 je 00402950 e diventa :00402856 E992960000 jmp 0040BEED :0040285B 90 nop Ora diamo un'occhiata al nostro codice: Poiche' potrebbe risultare un po' difficile comprenderne la struttura mediante i soli offsets al posto di piu' comprensibili etichette, ho deciso di utilizzare le labels con a fianco, tra parentesi, l'offset a cui corrispondono nel file .exe: Inizio (@88ed): pushad ; salva tutti i registri push 20 ; # di caratteri da prendere dalla stringa push 63f8c4 ; buffer di ricezione push 3c ; =60 dec, cioe' l'ID di "c:\\windows\\hnotepad.ini" push 400000 ; handle del modulo con la stringtable call LoadStringA push 0 ; pusha un dummy parameter sulla stack, lo sovrascriveremo con l'handle del file se ; questo viene trovato push dword ptr [406000] ; salva l'hWnd. Lo trovate sempre qui, basta fare una ricerca tra i ; dword pointers della sezione .IDATA; non possiamo usare il vecchio ; [ebp+8] che utilizziamo in precedenza, poiche' tale passaggio viene ; effettuato dopo. ; ORA DOBBIAMO APRIRE IL FILE...USEREMO _lopen: ; ; HFILE _lopen( ; ; LPCSTR lpPathName, // pointer to name of file to open ; int iReadWrite // file access mode ; ); push 63f8c4 ; "c:\windows\hnotepad.ini" call _lopen cmp eax, -1 ; c'e' stato un errore nell'apertura? jnz FILE_TROVATO (@8924h) pop eax ; scarica il dummy param pop eax ; scarica l'hWnd popad ; ripristina tutti i registri jmp ERRORE_NEL_FILE (@8a08h) FILE_TROVATO (@8924h): mov [esp+4], eax ; file handle al posto del dummy param ; ORA DOBBIAMO LEGGERE I DATI DAL FILE....USEREMO _lread: ; ; UINT _lread( ; ; HFILE hFile, // handle to file ; LPVOID lpBuffer, // pointer to buffer for read data ; UINT uBytes // length, in bytes, of data buffer ; ); push ff; numero di bytes da leggere; ATTENZIONE - USATE GLI OPCODES 68FF000000, altrimenti ; HIEW inserira' 6AFF, che verra' interpretato da Win98 (non dal 95) come PUSH ; FFFFFFFF, non PUSH 000000FF push 41096f ; buffer "RingZ3r0's Hnotepad.....", ripristinato in CHIUDI (@89E2h) push eax ; file handle call _lread mov edi, 41096f ; cio' che abbiamo letto dal file mov ecx, eax ; lunghezza effettiva del file in ecx mov al, 3d ; '=' repnz scasb ; cerca AL ('=') nel buffer a cui punta EDI per una lunghezza di ECX bytes jnz ERRORE (@895Ah) ; se il '=' non e' stato trovato ; SE IL '=' e' stato trovato, EDI punta al byte SUCCESSIVO al '='. cmp byte ptr [edi], 53 ; 'S' jz AUTOWRAP (@8967h) cmp byte ptr [edi], 73 ; 's' jz AUTOWRAP (@8967h) cmp byte ptr [edi], 4E ; 'N' jz NEXTCHECK (@897Bh) cmp byte ptr [edi], 6E ; 'n' jz NEXTCHECK (@897Bh) ERRORE (@895Ah): pop eax ; scarica hWnd mov dword ptr [63f8c4], 40c008 ; questo dword ptr sara' la locazione contenente il VA ; variabile a cui salteremo con la nostra procedura di ; ritorno "universale", ovvero CHIUDI (@89E2h) ; 40c008 e' il VA per ERRORE_NEL_FILE (@8a08h) jmp CHIUDI (@89E2h) ; = jmps in HIEW AUTOWRAP (@8967h) pop eax ; ripristina hWnd.... push eax; ...e lo ri-salva push ecx; salva i bytes rimanenti per lo scasb del successivo check, poiche' PostMessageA ; modifica il registro ECX ; ORA INVIEREMO IL MESSAGGIO RELATIVO AL WRAPPING, USANDO POSTMESSAGEA: ; ; BOOL PostMessage( ; ; HWND hWnd, // handle of destination window ; UINT Msg, // message to post ; WPARAM wParam, // first message parameter ; LPARAM lParam // second message parameter ; ); ; ; OVVIAMENTE VOGLIAMO SIMULARE UN CLICK SU UN MENU ITEM: IL MESSAGGIO SARA' QUINDI 111h ; (WM_COMMAND), E wParam SARA' 1Bh (=27 DEC, OVVERO LA MENU ID DI "Modifica/A capo automatico") push 0 ; lParam push 1b ; wParam push 111; = WM_COMMAND push eax ; l'hWnd call PostMessageA pop ecx ; ripristina i bytes rimanenti per lo scasb del successivo check NEXTCHECK (@897Bh): cmp byte ptr [ebx], 0 ; check se CMDLINE==NULL jz CONTINUA (@898Dh) pop eax ; scarca hWnd mov dword ptr [63f8c4], 40285c ; altrimenti VA di ritorno = 40285c, vedi "*** NOTA ***" jmp CHIUDI (@89E2h) ; = JMPS in HIEW CONTINUA (898Dh): mov al, 3d ; '=' repnz scasb ; cerca AL ('=') nel buffer a cui punta EDI per una lunghezza di ECX bytes ; ecx ovviamente e' stato ridotto dal precedente repnz scasb del # di bytes ; che distano tra l'inizio del file e il primo '=' jnz ERRORE (@895Ah) ; se il '=' non e' stato trovato ; ADESSO VERIFICHIAMO SE LA LETTERA IMMEDIATAMENTE DOPO L'UGUALE E' COMPRESA TRA 'a' e 'z' o ; tra 'A' e 'Z' ; i valori ascii sono : 'a' = 61 , 'z' = 7A , 'A' = 41 e 'Z' = 5A cmp byte ptr [edi], 61 ; 'a' jge 2_MINUSCOLA (@899Ah) jmp MAIUSC (@899Fh) ; JMPS in HIEW 2_MINUSCOLA (899Ah): cmp byte ptr [edi], 7a; 'z' jle OK (@89B8h) MAIUSC (@899Ah): cmp byte ptr [edi], 41 ; 'A' jge 2_MAIUSCOLA (@89A6h) jmp INVALID (@89AB); = JMPS in HIEW 2_MAIUSCOLA (89A6h): cmp byte ptr [edi], 5a ; 'Z' jle OK (@89B8h) INVALID (@89ABh): pop eax ; scarica l'hWnd mov dword ptr [63f8c4], 402950 ; VA di ritorno, vedi "*** NOTA ***" jmp CHIUDI (@89E2h) ; = JMPS in HIEW OK (@89B8h): push edi ; salva posizione iniziale della stringa di definzione del file da aprire CERCA_CR_O_SPAZIO (@89B9): inc edi cmp byte ptr [edi], 20 ; ' ' jz TROVATO (@89C7h) cmp byte ptr [edi], 0D ; = Carriage Return jz TROVATO (@89C7h) dec ecx ; ecx contiene i bytes tra il secondo '=' e EOF jnz CERCA_CR_O_SPAZIO (@89B9) TROVATO (@89C7): mov byte ptr [edi], 0 ; marca in memoria la fine della stringa che definisce il file pop edi ; ripristina posizione inziale della stringa (che ora termina con uno 0 byte) push edi push 4052d0 call lstrcpyA ; copia EDI (inizio nomefile - zero byte) in 4052d0 (buffer per file da aprire) mov dword ptr [63f8c4], 402867 ; per il jmp di ritorno, vedi "*** NOTA ***" pop eax ; scarica hWnd CHIUDI (@89E2h): pop eax ; file handle in eax ; ORA DOBBIAMO CHIUDERE HNOTEPAD.INI; USEREMO _lclose: ; ; HFILE _lclose( ; ; HFILE hFile // handle to file to close ; ; ); push eax ; handle del file call _lclose push 100 --\ push 41096f | push 34 ; = 52 DEC | --> LoadStringA di ripristino buffer "RingZ3r0's Hnotepad....." push 400000 | call LoadStringA --/ popad jmp dword ptr [63f8c4] ; il nostro jump variabile di uscita ERRORE_NEL_FILE (@8A08h): cmp byte ptr [ebx], 0 ; il check per la CMDLINE, presente anche in .TEXT *** jnz 40285c ; se CMDLINE!=NULL, OPCODES: 0F854B68FFFF *** jmp 402950 ; se CMDLINE==NULL, OPCODES: E93A69FFFF NOP NOP ; li ho messi a rappresentare la fine di questo spezzone di codice NOP Fine.....ora provate ad editare un file C:\windows\hnotepad.ini, inseritevi due uguali, e dopo il primo scrivete 'S', mentre dopo il secondo il nome di un file sul vostro HD. Notepad usera' queste impostazioni automaticamente all'avvio. Adesso, pero', abbiamo risolto solo parte del problema. Analizziamo ora la parte relativa alla SCRITTURA automatica del file .INI ad ogni uscita dal programma: * Arrivati all'uscita, il programma dovra' creare il file "C:\windows\hnotepad.ini"; se il file esiste, lo tronca a zero e lo crea da capo; se la creazione fallisce, uscire come se niente fosse. * Se invece il file viene creato, caricare in memoria lo "scheletro" del file .INI, e ritrovare le informazioni necessarie alla scrittura dei dati in esso, ovvero il nome dell'ultimo file e lo stato del WordWrapping al momento dell'uscita. * Scrivere in memoria tutti i dati relativi al wrapping e all'ultimo file, aggiungendoli al punto giusto allo scheletro gia' presente in memoria. * Scrivere nel file lo scheletro completo dei nuovi dati * Uscire dal programma Per fare tutto cio', chiaramente, abbiamo bisogno di 2 cose: 1) sapere DOVE trovare il nome dell'ultimo file aperto prima di chiudere. 2) sapere DOVE possiamo verificare lo stato attuale del WordWrapping. Bene...per la prima domanda siamo fortunati: il nome dell'ultimo file aperto si trovera' sempre nello stesso buffer, anche all'uscita: 4052d0. Per la seconda, invece, abbiamo bisogno di un po' di tracing. Ricordate la call principale della window procedure ? quella che esaminava i messaggi inviati alla window ? diamole di nuovo un'occhiata: * Referenced by a CALL at Address: |:00401E58 | :0040116C 55 push ebp :0040116D 8BEC mov ebp, esp :0040116F 81EC04010000 sub esp, 00000104 :00401175 33C0 xor eax, eax :00401177 56 push esi :00401178 57 push edi :00401179 BE38614000 mov esi, 00406138 :0040117E 8DBDFCFEFFFF lea edi, dword ptr [ebp+FFFFFEFC] :00401184 B940000000 mov ecx, 00000040 :00401189 A4 movsb :0040118A 8DBDFDFEFFFF lea edi, dword ptr [ebp+FFFFFEFD] :00401190 F3 repz :00401191 AB stosd :00401192 66AB stosw :00401194 AA stosb :00401195 0FB7750C movzx esi, word ptr [ebp+0C] ; <-- L'ID VALUE DEL MENU SCELTO :00401199 83FE20 cmp esi, 00000020 ; COMPARA ESI E 20h :0040119C 8BC6 mov eax, esi :0040119E 7F1A jg 004011BA ; SE ESI > 20h, SALTA :004011A0 0F84C1030000 je 00401567 :004011A6 48 dec eax :004011A7 83F81B cmp eax, 0000001B :004011AA 7736 ja 004011E2 :004011AC 0FB68838174000 movzx ecx, byte ptr [eax+00401738] :004011B3 FF248DF8164000 jmp dword ptr [4*ecx+004016F8] ; ALTRIMENTI ELABORA DI CONSEGUENZA Bene, intuibilmente, per tracciare le operazioni che il codice fa quando selezioniamo il WordWrapping, la scelta migliore e', in sice, "BPX 401199 if esi==1b". Arriveremo al jmp variabile a 11b3 e questi, a sua volta, ci indirizzera' a 401491: :00401491 833D1860400001 cmp dword ptr [00406018], 00000001 ; [406018]=0 se wrap=OFF ; [406018]=1 se wrap=ON :00401498 1BC0 sbb eax, eax :0040149A F7D8 neg eax :0040149C 50 push eax :0040149D E8EC1E0000 call 0040338E :004014A2 85C0 test eax, eax :004014A4 7415 je 004014BB :004014A6 833D1860400001 cmp dword ptr [00406018], 00000001 :004014AD 1BC0 sbb eax, eax :004014AF F7D8 neg eax :004014B1 A318604000 mov dword ptr [00406018], eax ; AGGIORNA IL PTR CON LA NUOVA ; POSIZIONE DEL WRAPPING Possiamo dedurre facilmente da cio' che il dword ptr [406018] non e' nient'altro che una flag di status del WordWrapping. Se e' 0, il wrapping e' OFF, e questa procedura lo ATTIVA, settando il dword ptr [406018] a 1. Se e' 1, il wrapping e' ON, e la procedura fa l'esatto contrario. All'uscita, questo ptr e' mantenuto, e ci indica lo stato attuale del wordwrapping, quindi ci bastera' controllare questo e comportarci di conseguenza. Intuibilmente, il punto da cui saltare deve essere quando il programma manda WM_DESTROY, cioe' si e' ad un passo dall'uscita dal processo. Per rintracciare la zona esatta, ci serviremo di un sistema molto semplice: l'API RegisterClass. nel Disasm, cercate "registerclass" e vi ritroverete qui: :00402B19 C745F820604000 mov [ebp-08], 00406020 :00402B20 C745D8AD1A4000 mov [ebp-28], 00401AAD :00402B27 C745F006000000 mov [ebp-10], 00000006 :00402B2E C745D400100000 mov [ebp-2C], 00001000 :00402B35 50 push eax :00402B36 897DDC mov dword ptr [ebp-24], edi :00402B39 897DE0 mov dword ptr [ebp-20], edi * Reference To: USER32.RegisterClassExA, Ord:0196h | :00402B3C FF15CC734000 Call dword ptr [004073CC] Molto semplicemente, date un'occhiata a quelle locazioni che vengono inserite come membri in ebp-xy, e capirete ben presto che l'inizio della window procedure e' a 401aad: :00401AAD 55 push ebp :00401AAE 8BEC mov ebp, esp :00401AB0 56 push esi :00401AB1 57 push edi :00401AB2 8B750C mov esi, dword ptr [ebp+0C] :00401AB5 83FE05 cmp esi, 00000005 :00401AB8 7714 ja 00401ACE :00401ABA 0F8406010000 je 00401BC6 :00401AC0 83FE02 cmp esi, 00000002 :00401AC3 0F84F0000000 je 00401BB9 con un bpx a 401ab5, noterete che ESI contiene il messaggio che viene analizzato correntemente: quello che ci interessa, e' ovviamente WM_DESTROY (=02h). Bene, come vedete a 401ac3 c'e' un jump, che verra' preso solo se il messaggio corrente e' WM_DESTROY. Ci bastera' sostituire quel VA con l'inizio del nostro codice e avremo risolto il problema: era :00401AC3 0F84F0000000 je 00401BB9 e diventa :00401AC3 0F8450A50000 je 0040C019 Le nuove API che ci serviranno sono solo queste due: _lcreat: call d,[406370] _lwrite: call d,[4072f8] ExitProcess: call d,[407354] Il nostro codice, l'avrete capito, comincia al VA 40c019 (@8A19h): Inizio (@8A19h): pushad ; salva tutti i registri push 20 ; # di chars da prendere push 63f8c4 ; buffer di ricezione push 3c ; = 60 dec, "C:\\windows\\hnotepad.ini" push 400000 ; handle del modulo con la stringtable call LoadStringA ; ORA DOBBIAMO CREARE IL FILE; USIAMO _lcreat ; ; HFILE _lcreat( ; ; LPCSTR lpPathName,// pointer to name of file to open ; int iAttribute // file attribute ; ); ; ; L'ATTRIBUTO CHE USEREMO SARA' 0, CIOE' "Normal" (IL FILE PUO' ESSERE SCRITTO E LETTO SENZA ; RESTRIZIONI. ; _lcreat TRONCA AUTOMATICAMENTE A 0 LA DIMENSIONE DEL FILE SE QUESTO ESISTE GIA', O, IN CASO ; CONTRARIO, LO CREA. push 0 ; attributo "Normal" push 63f8c4 ; "C:\windows\hnotepad.ini" call _lcreat cmp eax, -1 ; se c'e' stato un errore nella creazione jnz CREATO_OK (@8A46h) popad ; ripristina tutti i registri *** jmp 401bb9 ; dove avrebbe continuato se non avessimo inserito la nostra deviazione ; OPCODES : E9735BFFFF CREATO_OK (@8A46h): push eax ; salva file handle push 100 ; # di chars da prendere push 41096f ; buffer di ricezione push 3d ; = 61 DEC, ovvero l'ID della stringa "****\nFILE GENERATO AUTOMATICAMENTE...." push 400000 ; handle del modulo con la stringtable call LoadStringA cmp dword ptr [406018], 0 ; e' zero se WordWrapping = OFF jz CHECK_ULTIMOFILE (@8A6E) mov byte ptr [4109f4], 53 ; sostituisce la "N" di default dopo "AutoWrap=" con "S" (053h) CHECK_ULTIMOFILE (@8A6E): cmp byte ptr [4052d0], 0 ; e' 0 se non c'e' un ultimo file aperto jnz ULTIMOFILE_PRESENTE (@8A80h) mov byte ptr [410a02], 0 ; il SECONDO BYTE DOPO IL SECONDO '='...cosi' lasciamo anche uno ; spazio immediatamente dopo il secondo '=', che ci serve nel ; controllo inziale, in apertura programma jmp SCRIVI_DATI (@8A90h) ; JMPS in HIEW ULTIMOFILE_PRESENTE (@8A6E): push 4052d0 ; nome dell'ultimo file push 400a01 ; buffer che inizia subito dopo il secondo '=' nello scheletro gia' in memoria call lstrcpyA SCRIVI_DATI (@8A90h): pop eax ; ripristina file handle in eax... push eax; ...e lo ri-salva ; ORA SCRIVEREMO LO SCHELETRO NEL FILE: USEREMO _lwrite, MA C'E' UN PICCOLO PROBLEMA. SUL MIO ; PC, PER CAUSE ANCORA SCONOSCIUTE, NON POSSO SALVARE PIU' DI 7Fh BYTES ALLA VOLTA, E POICHE' IL ; TESTO CHE DOBBIAMO SALVARE E' LUNGO 92h BYTES, USEREMO _lwrite 2 VOLTE, LA PRIMA CON I PRIMI ; 7Fh BYTES, LA SECONDA CON I RESTANTI 13h. ; ; UINT _lwrite( ; ; HFILE hFile, // handle to file ; LPCSTR lpBuffer, // pointer to buffer for data to be written ; UINT uBytes // number of bytes to write ; ); push 7f ; i primi 7fh bytes dello scheletro push 41096f ; inizio del buffer con lo scheletro push eax ; file handle call _lwrite pop eax ; ripristina file handle in eax... push eax; ...e lo ri-salva push 13 ; i restanti 13h bytes dello scheletro push 4109ee ; locazione dove cominciano i restanti 13 bytes dello scheletro push eax ; file handle call _lwrite ; ORA NON CI RESTA CHE CONTROLLARE LA LUNGHEZZA DEL NOME DEL FILE, PUSHARE QUEI BYTES E ; APPENDERE TALE NOME AL NOSTRO .INI xor eax, eax ; azzera contatore per la lunghezza del nome del file mov edi, 410a01 ; dove c'e' la prima lettera del nome file CHECK_LUNGHEZZA_NOME_ULTIMOFILE (@8AB7h): cmp byte ptr [edi], 0 jz FINECHECK (@8AC0h) inc edi inc eax jmp CHECK_LUNGHEZZA_NOME_ULTIMOFILE (@8AB7h); JMPS in HIEW FINECHECK (@8AC0h): mov byte ptr [edi], 0d ; appende un CR (carriage return) alla fine della stringa inc eax pop edi ; file handle in edi push eax ; # di bytes da scrivere push 410a01 ; dove comincia il nome del file push edi ; file handle call _lwrite push edi ; file handle call _lclose popad ; ripristina tutti i registri call ExitProcess ; esce dal programma NOP NOP ; fine del codice di questa sezione NOP Ci sarebbe qualcosa da spiegare qui. Come mai ho inserito una call diretta a ExitProcess senza tornare a .TEXT, e conseguentemente senza mandare il PostQuitMessage per un'uscita piu' "pulita" ? Il problema e' molto semplice...se provate a uscire sotto determinate condizioni (nel nostro caso in un qualsiasi altro modo che non scegliendo File/Esci) otterrete un fault. Il motivo di cio' e' ancora oscuro per me, ma gradirei se qualcuno mi fornisse qualche info in piu'. Tuttavia, nel nostro caso l'ExitProcess non causa problemi, ma e' soltanto un modo piu' "rapido" di terminare il processo. Elaborare WM_CLOSE invece di WM_DESTROY non da' risultati molto migliori. Ogni volta che uscirete e riaprirete, l'ultimo file e il WordWrapping verranno ripristinati. ______________________________________________________________ FASE 5 : RIMOZIONE DEL LIMITE NELLA GRANDEZZA DEI FILES APERTI ______________________________________________________________ Eccoci quindi arrivati alla quinta ed ultima fase della creazione di Hnotepad. La rimozione del fastidioso limite nella grandezza dei files aperti in Notepad. Cio' che faremo e' molto semplice: cambieremo il controllo di tipo Edit (che notepad usa) in un controllo di tipo RichEdit, tipo quello usato da WordPad. Per altre informazioni su questo argomento, vi rimando alla API reference. La cosa si presenterebbe molto semplice, se non fosse per un solo piccolo dettaglio: per utilizzare il controllo RichEdit, abbiamo bisogno della libreria Riched32.dll. E per caricare la libreria Riched32.dll abbiamo bisogno della funzione LoadLibraryA. Purtroppo per noi, pero', notepad non include questa funzione tra quelle importate (potete controllare con W32Dasm, oppure con hiew dando un'occhiata alla sezione .IDATA)...cio' non e' un grosso problema, potremmo importare GetProcAddress al posto di una funzione qualsiasi (GetTimeFormatA ad esempio) e utilizzare tale API per ritrovare l'indirizzo di LoadLibraryA dinamicamente ogni volta, al runtime. Tuttavia utilizzeremo qui un sistema che non tocca minimamente la import table, e cioe' un codice scritto da qualcuno (il programmatore di un virus, a quanto mi diceva GEnius) che esegue una operazione pari a quella di GetProcAddress: la scansione della memoria inerente la dll necessaria (nel nostro caso Kernel32.dll) e il recupero dell'indirizzo della funzione necessaria (nel nostro caso LoadLibraryA). Tuttavia non mi soffermero' sulla descrizione dei dettagli della modalita' di funzionamento del codice, il cui codice sorgente lo potete trovare accluso alla versione finale di Hnotepad.exe, ma mi limitero' a darvi la versione gia' compilata, che potete semplicemente COPIARE e INCOLLARE in qualsiasi punto del vostro codice, per poi chiamare (con una call) l'indirizzo inziale di tale codice; funzionera' sempre e comunque poiche' gli indirizzi sono tutti relativi a questo breve pezzo di codice. La funzione accetta due parametri, ovvero l'HANDLE della libreria che include la funzione (kernel32.dll) e il NOME della funzione ricercata (LoadLibraryA). Ma intanto ecco il codice in formato HEX: `Φ Copiate dal byte 60 ("`") al byte 00 prima del primo asterisco nella lunga serie finale. Potete quindi usare un programma come UltraEdit32 o Hex Workshop per incollare il codice al vostro programma .exe. Ma vediamo come funzionera' questo sistema nel NOSTRO codice: eccoci di fronte al piccolo problema di cui parlavo prima: avremo bisogno di alcune variabili (3 per la precisione), tuttavia non possiamo sfruttare la stringtable per i nostri scopi: infatti, una semplice aggiunta distruggerebbe tutto il nostro lavoro. Come fare quindi ? Semplice: scriveremo le nostre variabili DIRETTAMENTE nel file fisico, in un punto (alla fine) che non ci serve. Ma procediamo per gradi. Innanzitutto dobbiamo caricare la libreria riched32.dll per poi, al momento giusto, cambiare "EDIT" in "RICHEDIT" e ottenere un edit control che supporta i file grandi. Quindi, cominciamo a tracciare dall'inizio: :00401000 55 push ebp :00401001 8BEC mov ebp, esp :00401003 83EC44 sub esp, 00000044 :00401006 56 push esi * Reference To: KERNEL32.GetCommandLineA, Ord:00BCh | :00401007 FF1548734000 Call dword ptr [00407348] :0040100D 8BF0 mov esi, eax :0040100F 8A00 mov al, byte ptr [eax] :00401011 3C22 cmp al, 22 :00401013 7513 jne 00401028 La nostra deviazione sara' alla riga appena dopo la call a GetCommandLineA, ovvero il "mov esi, eax" a 100d. Il nostro codice, inclusi i NOPs precedenti, comincera' a 40c0e3 (@8AE3). Quindi ecco il cambiamento che effettueremo: era :0040100D 8BF0 mov esi, eax :0040100F 8A00 mov al, byte ptr [eax] :00401011 3C22 cmp al, 22 :00401013 7513 jne 00401028 e diventa :0040100D E9D1B00000 jmp 0040C0E3 :00401012 90 nop :00401013 7513 jne 00401028 Dovremo pertanto ricordarci di ripristinare le 3 istruzioni che abbiamo sovrascritto prima di ritornare con il jne a 401013. Ora abbiamo il problema delle variabili. Lasciamo un po' di spazio libero nella sezione .RSRC, e andiamo a scrivervi le variabili che ci servono. Contate che dovremo inserire il codice di scansione e il nostro codice, quindi dato un buon margine, cambiate in modo HEX in HIEW e posizionatevi all'offset 8BA0h, alche' editate gli ascii e scrivete : LoadLibraryA Questa sara' la nostra prima variabile. Poi, posizionatevi all'offset 8BB0h e scrivete : Riched32.dll Ecco la seconda variabile. Avremo bisogno anche di Kernel32.dll, ma come potete immaginare questa "variabile" e' gia' presente nel nostro codice: una ricerca da HIEW ci fara' arrivare alla sezione .IDATA, dove tra i nomi delle librerie importate troverete anche Kernel32.dll. Il VA e' 4076E0. Tracciando un rapido schema riassuntivo, quindi, ecco i VA che ci interessano: LoadLibraryA = 40C1A0 (@8BA0h) Riched32.dll = 40C1B0 (@8BB0h) KERNEL32.DLL = 4076E0 (@48E0h) Inoltre, useremo una nuova API, che e' GetModuleHandleA = call d,[40735c] essa ci fornira' l'HANDLE della libreria KERNEL32.DLL, la quale scansioneremo per la ricerca della nostra API LoadLibraryA. Ed ecco il nostro codice di caricamento della libreria: Inizio (@8AE3): pushad ; salva tutti i registri push 4076e0 ; "KERNEL32.DLL" call GetModuleHandleA ; rileva l'handle della libreria Kernel32.dll push 40c1a0 ; "LoadLibraryA" push eax ; handle di KERNEL32.DLL call CODICE_DI_SCANSIONE (@8B0D); LA CALL AL CODICE DI SCANSIONE : OPCODES E813000000 ; ATTENZIONE: IL CODICE DI SCANSIONE DA' COME RISULTATO L'INDIRIZZO DELL'API DESIDERATA, MA ; QUESTO NON VIENE RITORNATO IN EAX, BENSI' IN *ECX* push 40c1b0 ; "Riched32.dll" call ecx ; CHIAMA IL LoadLibraryA! popad ; ripristina tutti i registri mov esi, eax --\ mov al, [eax] |____ Ripristiniamo qui il codice sostituito in .TEXT con il JMP cmp al, 22 | OPCODES PER IL JMP : E9064FFFFF jmp 401013 --/ CODICE_DI_SCANSIONE (@8B0D): ; QUI DOVETE SEMPLICEMENTE INCOLLARE IL CODICE CHE HO FORNITO PRIMA, PER UNA DESCRIZIONE ; DETTAGLIATA DELLE SUE FUNZIONI VI RIMANDO AI COMMENTI, DA PARTE DELL'AUTORE, NEL SORGENTE. Benissimo, adesso il nostro codice e' pronto. Resta solo un problema...dobbiamo creare il controllo in modo RichEdit, non Edit...altrimenti tutte queste modifiche sono inutili. Per creare il controllo, dobbiamo trovare la call a CreateWindowExA (che notepad usa come variante di CreateWindow) che pushi, tra i parametri precedenti, anche una stringa "Edit", e cambiare quella stringa "Edit" in "RichEdit". Innanzitutto, CREIAMO questa variabile. Sempre in modo HEX, da HIEW editate gli ascii all'offset 8BC0, e scrivete RichEdit Il VA per questa nuova variabile e' quindi 40C1C0. Per trovare la call che ci interessa, in sice BPX CreateWindowExA e fate partire notepad. Arriverete a questo punto: :00402785 53 push ebx :00402786 A100604000 mov eax, dword ptr [00406000] :0040278B 56 push esi :0040278C 6A0F push 0000000F :0040278E 50 push eax :0040278F 6890010000 push 00000190 :00402794 6858020000 push 00000258 :00402799 53 push ebx :0040279A 53 push ebx :0040279B 6804013050 push 50300104 :004027A0 688C614000 push 0040618C * Possible StringData Ref from Data Obj ->"Edit" | :004027A5 6890614000 push 00406190 :004027AA 6800020000 push 00000200 :004027AF FFD7 call edi ; CHIAMA CREATEWINDOWEXA Molto bene...e' scontato quale sara' il cambiamento: era :004027A5 6890614000 push 00406190 ; "Edit" e diventa :004027A5 68C0C14000 push 0040C1C0 ; "RichEdit" Adesso rimangono altri DUE dettagli finali, e poi potremo finalmente dichiarare concluso questo lunghissimo tutorial :) 1) Se provate ad aprire i file grossi, vi uscira' ancora la message box che vi chiede se avviare WordPad: bpx MessageBoxA, e risalirete al check della grandezza, che e' :00402E8B 81FEFFFF0000 cmp esi, 0000FFFF :00402E91 0F8FEC010000 jg 00403083 Semplicemente NOPPATE quel jg e il problema non si ripresentera'. 2) Se aprite un file grosso e provate a inserire (o avete inserito) il WordWrapping, un fastidioso nag che dice qualcosa tipo "File troppo grande per eseguire A capo automatico" vi poppera', per eliminarlo sempre BPX MessageBoxA e risalirete qui: :004014A2 85C0 test eax, eax :004014A4 7415 je 004014BB ; EVIL JUMP :004014A6 833D1860400001 cmp dword ptr [00406018], 00000001 Evitando quel jump, eviteremo anche il NAG. Percio' NOPpatelo. E con questo abbiamo FINITO! :) _________________________ PARTE 4 : Bugs conosciuti _________________________ Innanzitutto, devo premettere che sto gia' lavorandoci su per cercare di risolverli, quindi con le prossime versioni di Hnotepad spero di non ritrovarli piu'...comunque, ora come ora i bugs che conosco sono due: * QUANDO SI CHIUDE UN FILE, SI OTTIENE SEMPRE IL DIALOG "IL FILE E' CAMBIATO, SALVARLO?" ANCHE SE NON SI E' MODIFICATO IL TESTO DI UNA VIRGOLA. IL PIU' FASTIDIOSO, DECISAMENTE, E CREDO SIA LEGATO AL CONTROLLO RICHEDIT. * A VOLTE, L'APERTURA DI UN FILE GROSSO QUANDO SI E' GIA' *DENTRO* HNOTEPAD, PORTA ALL'USCITA DEL VECCHIO NAG "APRI WORDPAD?", PUR LAVORANDO CON IL RICHEDIT E NON CON L'EDIT...CREDO CHE AL 99% SI TRATTI DI UN SECONDO CHECK SULLA LUNGHEZZA DEL FILE. CI STO LAVORANDO :) Se per caso vi capitasse di riscontrare qualche altro bug, per piacere comunicatemelo a neural_noise@hotmail.com . Se possibile indicatemi anche il sistema operativo sotto cui state facendo girare Hnotepad. ________________ PARTE 5 : Saluti ________________ Eccoci finalmente giunti al termine...questo tute e' dedicato a (nessun ordine particolare): GEnius, per avere contribuito enormemente con il suo supporto e le sue idee sul RichEdit, con il suo preziosissimo aiuto di beta tester, nonche' per avermi fornito il codice di scansione della memoria. Senza di lui tutto cio' non sarebbe stato possibile, quindi GRAZIE GENIO!! :D Kill3xx, per essere stato un paziente beta tester e un buon amico...ah, ottimo lavoro con il PeSentry killo! ;) d4eMoN (aka Patrizia ;P), per il suo aiuto e la sua disponibilita'...grazie MOSTRO :) {Suby}, per la sua amicizia e il suo aiuto come beta tester. Won't forget that man :) BrahzVooZ, per essere la persona piu' studiosa che conosca...TORNA AL CRACKING FRATELLO! :) Anub|s, per aver accolto con entusiasmo il progetto Hnotepad Insanity, per essere il web/botmaster piu' simpatico della storia :) +MaLaTTiA, per essere il moderatore della mailing list piu' inattiva dell'universo e perche' sara' cosi' buono da darmi qualche info sulla steganografia un giorno o l'altro...THX MALA! ;) Fravia+, Il grande, il miglior reverser attuale a mio modesto parere. +ORC, la leggenda, il mito. Un grande. Il PIU' grande :) Guybrush, Quequero, N6U5, Furb3t, ^courier, guiz, Tin, Carpathia, Zen, e tutti gli altri amici da #crack-it, #cracking4newbies e RingZ3r0. a presto, -NeuRaL_NoiSE 1999