»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
ª                                                                                            ª
ª                              [x] ringZ3r0  Proudly Presents [x]                            ª
ª                                                                                            ª
ª                 +-----------------------------------------------------------               ª
ª                                                                                            ª
                 Come inserire una nuova sezione e una nuova funzione in un PE           

                                          by Pusillus

                                         19 aprile 1999






--------------------------------------------------------------------------------------------------------
LE INFORMAZIONI CHE TROVATE ALL'INTERNO DI QUESTO FILE SONO PER PURO SCOPO DIDATTICO.
L'AUTORE NON INCORAGGIA CHI VOLESSE UTILIZZARLE PER SCOPI ILLEGALI.
--------------------------------------------------------------------------------------------------------



 
Quello che viene presentato in questo tute Φ uno studio su come intercettare le funzioni 
che interrogano il sistema sulla data (GetSystemTime e GetLocalTime) in modo da reindirizzare tali chiamate
verso una routine dummy che restituisce sempre la stessa data ed ora.
Dato che molti programmi shareware hanno un periodo di scadenza e dopo un certo tempo diventano 
inutilizzabili, se fosse restituita sempre la stessa data il programma non raggiunggerebbe mai la scadenza.
In realtα bisogna dire che questo sistema non Φ sempre applicabile. Ad esempio in un programma tipo agenda o 
calendario se restituissimo sempre la stessa data e ora questi diventerebbero inutilizzabili.

Ma quello che Φ interessante, a mio avviso, Φ la sostituzione di una funzione con un altra fatta da 
noi e l'aggiunta di una nuova sezione di codice. Questa tecnica potrebbe essere utilizzata in tante altre 
occasioni, le funzioni GetSystemTime e GetLocalTime sono state prese solo come spunto per un esempio 
pratico.


I passi fondametali che seguiremo sono:


1) Aggiunta di una nuova sezione al file eseguibile PE e aggiornamento dell'header: 
   il piu delle volte alla fine della sezione .text c'e' abbastanza spazio per aggiungere qualche linea 
   di codice asm ma non sempre Φ sufficente per i nostri scopi. Anche nel programma che ho preso come
   target la routine sarebbe comodamente entrata alla fine della sezione .text, ma Φ stata comunque aggiunta
   una nuova sezione. 
   
2) scrittura della dummy routine nella nuova sezione appena creata.

3) dirottamanto delle funzioni GetsystemTime e GetLocaltime verso la nostra routine.


Il programma che ho scelto come target Φ lo stesso per il quale avevamo fatto un keygen: Programmers IDE.
Se il programma risulta registrato potrete agevolmente cancellare la registrazione con il Regedit.

Per prima cosa dobbiamo incrementare le dimensioni dell'eseguibile aggiungendo alcuni bytes in coda al file. 
Con HIEW in modalitα HEX spostiamoci alla fine del file, andando in edit mode sara possibile aggiungere
dei bytes, nell'esempio io ho aggiunto 128 bytes digitando tutti zeri. 

A questo punto bisogna fare Φ una modifica all'header del file PE per aggiungere una nuova sezione:
con HIEW apriamo il file project.exe e settiamo la modalitα HEX, dopo la signature per il dos sarα possibile
notare i caratteri "PE" che indicano l'inizio dell'header PE (SIGNATURE BYTES),  se ci spostiamo di 7 bytes
saremo dentro la sezione "# OBJECTS" per aggiungere una nuova sezione bastera incrementare questo valore 
di 1. 


    +-------------------------------------------------------+
    ª      SIGNATURE BYTES      ª  CPU TYPE   ª  # OBJECTS  ª <------
    +---------------------------+---------------------------ª
    ª       TIME/DATE STAMP     ª         RESERVED          ª
    +---------------------------+---------------------------ª
    ª          RESERVED         ª  NT HDR SIZEª    FLAGS    ª
    +---------------------------+---------------------------ª
    ª  RESERVED   ªLMAJORªLMINORª         RESERVED          ª
    +---------------------------+---------------------------ª
    ª          RESERVED         ª         RESERVED          ª
    +---------------------------+---------------------------ª
    ª       ENTRYPOINT RVA      ª         RESERVED          ª
    +---------------------------+---------------------------ª
    ª          RESERVED         ª        IMAGE BASE         ª
    +---------------------------+---------------------------ª
    ª       OBJECT ALIGN        ª        FILE ALIGN         ª
    +---------------------------+---------------------------ª
    ª  OS MAJOR   ª  OS MINOR   ªUSER MAJOR   ªUSER MINOR   ª
    +-------------+-------------+---------------------------ª
    ª SUBSYS MAJORª SUBSYS MINORª         RESERVED          ª
    +---------------------------+---------------------------ª
    ª        IMAGE SIZE         ª       HEADER SIZE         ª
    +---------------------------+---------------------------ª
    ª       FILE CHECKSUM       ª  SUBSYSTEM  ª  DLL FLAGS  ª
    +---------------------------+---------------------------ª
    ª   STACK RESERVE SIZE      ª     STACK COMMIT SIZE     ª
    +---------------------------+---------------------------ª
    ª   HEAP RESERVE SIZE       ª     HEAP COMMIT SIZE      ª
    +---------------------------+---------------------------ª
    ª         RESERVED          ª  # INTERESTING RVA/SIZES  ª
    +---------------------------+---------------------------ª
    ª   EXPORT TABLE RVA        ª   TOTAL EXPORT DATA SIZE  ª
    +---------------------------+---------------------------ª
    ª   IMPORT TABLE RVA        ª   TOTAL IMPORT DATA SIZE  ª
    +---------------------------+---------------------------ª
    ª  RESOURCE TABLE RVA       ª  TOTAL RESOURCE DATA SIZE ª
    +---------------------------+---------------------------ª
    ª  EXCEPTION TABLE RVA      ª  TOTAL EXCEPTION DATA SIZEª
    +---------------------------+---------------------------ª
    ª  SECURITY TABLE RVA       ª  TOTAL SECURITY DATA SIZE ª
    +---------------------------+---------------------------ª
    ª    FIXUP TABLE RVA        ª  TOTAL FIXUP DATA SIZE    ª
    +---------------------------+---------------------------ª
    ª    DEBUG TABLE RVA        ª  TOTAL DEBUG DIRECTORIES  ª
    +---------------------------+---------------------------ª
    ª  IMAGE DESCRIPTION RVA    ª  TOTAL DESCRIPTION SIZE   ª
    +---------------------------+---------------------------ª
    ª   MACHINE SPECIFIC RVA    ª   MACHINE SPECIFIC SIZE   ª
    +---------------------------+---------------------------ª
    ª  THREAD LOCAL STORAGE RVA ª      TOTAL TLS SIZE       ª
    +-------------------------------------------------------+
      
      
Il prossimo passo Φ quello di aggiungere una nuova entry nella "object table" per assegnare alla nuova 
sezione un nome, una VistualSize, un RVA, una PhisycalSize un Offset, e i flags: 
la "object table" Φ situata immediatamente dopo l'header pe infatti spostandoci con hiew sotto l'header si
potranno notare i nomi delle varie sezioni : .text, .rdata, .data, ecc.


    +-------------------------------------------------------+
    ª                     OBJECT NAME                       ª
    +-------------------------------------------------------ª
    ª       VIRTUAL SIZE        ª           RVA             ª
    +---------------------------+---------------------------ª
    ª      PHYSICAL SIZE        ª      PHYSICAL OFFSET      ª
    +---------------------------+---------------------------ª
    ª        RESERVED           ª         RESERVED          ª
    +---------------------------+---------------------------ª
    ª        RESERVED           ª       OBJECT FLAGS        ª
    +-------------------------------------------------------+
   

Come Φ possibile notare dalla tabella ogni entry Φ composta di 40 byes bisognerα quindi spostarsi di di 40
bytes dall'ultima sezione, nel nostro caso .reloc, e iniziare ad assegnare le proprieta alla nostra nuova
sezione:

OBJECT NAME: il nome che ho scelto di assegnare Φ ".pippo", un classico! :))


VIRTUAL SIZE: indica al loader quanta memoria deve essere allocata per il caricamento dell'object, per non
sbagliarmi io ho messo il numero dei bytes aggiunti all'eseguibile : 80h.


RVA : rappresenta l'ndirizzo a cui Φ relocato l'object relativamente alla Image Base. se in modalita HEX
con HIEW premiamo F8 compariranno varie informazioni sul PE-header tra queste ci sara anche "Image Base
00400000", premendo ora F6 comparirα la tabella delle sezioni:

  +-Number  Name   VirtSize   RVA    PhysSize  Offset    Flag---+
  ª     1 .text    00021754 00001000 00021800 00000400 60000020 ª
  ª     2 .rdata   00000988 00023000 00000A00 00021C00 40000040 ª
  ª     3 .data    00016920 00024000 00007C00 00022600 C0000040 ª
  ª     4 .idata   0000165E 0003B000 00001800 0002A200 C0000040 ª
  ª     5 .rsrc    0000D1FC 0003D000 0000D200 0002BA00 40000040 ª
  ª     6 .reloc   000029C8 0004B000 00002A00 00038C00 42000040 ª
  ª                                                             ª
  ª                                                             ª
  ª                                                             ª
  ª                                                             ª
  ª                                                             ª
  ª                                                             ª
  +-------------------------------------------------------------+

sulla colonna degli RVA ci sono tutti gli indirizzi virtuali relativi alla Image Base. Se sommiamo 
l'RVA dell'ultima sezione (.reloc) con la sua Phisical Size otteniamo l'ultima posizione occupata dalla
sezione: 4b000+2a00 = 4da00. Da questo valore possiamo ricavare un RVA per la nostra nuova sezione che 
dovrα essere > 4da00, nel mio esempio ho scelto il valore 4e000.

 
PHYSICAL OFFSET: non sarebbe altro che l'indirizzo assoluto dall'inizio del file. spostiamoci con HIEW
sull'ultimo byte della sezione .reloc (0044d9ff) premiamo ALT-F1 e otteremo l'indirizzamento globale.
l'offset della nuova sezione si trova all'indirizzo 003b600.


OBJECT FLAGS: questa nuova sezione dovra avere le caratteristiche: __Code object, __Executable object,
__Readable object. Le stesse della sezione .text :  60000020h.


Questa Φ una schermata di hiew con le modifiche apportate alla object table:


00000240:  2E 72 65 6C-6F 63 00 00-C8 29 00 00-00 B0 04 00  .reloc  +)   _
00000250:  00 2A 00 00-00 8C 03 00-00 00 00 00-00 00 00 00   *   ε
00000260:  00 00 00 00-40 00 00 42-2E 70 69 70-70 6F 00 00      @  B.pippo
00000270:  80 00 00 00-00 E0 04 00-80 00 00 00-00 B6 03 00  +    _ +    ª
00000280:  00 00 00 00-00 00 00 00-00 00 00 00-20 00 00 60                 `


A questo punto la nuova sezione dovrebbe essere presente, se chiudiamo e riapriamo il file con hiew la
object table dovrebbe apparire cos∞:

+-Number  Name   VirtSize   RVA    PhysSize  Offset    Flag---+
ª     1 .text    00021754 00001000 00021800 00000400 60000020 ª
ª     2 .rdata   00000988 00023000 00000A00 00021C00 40000040 ª
ª     3 .data    00016920 00024000 00007C00 00022600 C0000040 ª
ª     4 .idata   0000165E 0003B000 00001800 0002A200 C0000040 ª
ª     5 .rsrc    0000D1FC 0003D000 0000D200 0002BA00 40000040 ª
ª     6 .reloc   000029C8 0004B000 00002A00 00038C00 42000040 ª
ª     7 .pippo   00000080 0004E000 00000080 0003B600 60000020 ª
ª                                                             ª
ª                                                             ª
ª                                                             ª
ª                                                             ª
ª                                                             ª
+-------------------------------------------------------------+


Un'ultima cosa da fare Φ quella di modificare nell'header il valore della Image Size sommandogli il
valore della VirtualSize della nuova sezione altrimenti sotto NT il programma non girerebbe:
04e000 + 80 = 04e080.



La prima parte del lavoro Φ completata, adesso bisogna implementare la funzione che andrα a sostituire
GetSystemTime e GetLocalTime nella nuova sezione appena creata:
Il parametro che viene passato alle funzioni Φ un puntatore ad una struttura di tipo SYSTEMTIME:

typedef struct _SYSTEMTIME {  // st  
    WORD wYear; 
    WORD wMonth; 
    WORD wDayOfWeek; 
    WORD wDay; 
    WORD wHour; 
    WORD wMinute; 
    WORD wSecond; 
    WORD wMilliseconds; 
} SYSTEMTIME; 


non bisogna far altro che scrivere qualche riga di asm per riempire i campi della struttura con dei 
valori falsi:

.0044E000: 55                           push      ebp
.0044E001: 8BEC                         mov       ebp,esp
.0044E003: 57                           push      edi
.0044E004: 8B7D08                       mov       edi,[ebp][00008]	; puntatore alla struttura
.0044E007: 66C74700CC07                 mov       w,[edi][00000],007CC  ; wYear = 1996
.0044E00D: 66C747060100                 mov       w,[edi][00006],00001	; wDay  = 01
.0044E013: 66C747020100                 mov       w,[edi][00002],00001  ; wMonth= 01
.0044E019: 66C747080200                 mov       w,[edi][00008],00002  ; wHour = 02
.0044E01F: 66C7470A0300                 mov       w,[edi][0000A],00003  ; wMinute=03
.0044E025: 66C7470C0400                 mov       w,[edi][0000C],00004  ; wSecond=04
.0044E02B: 31C0                         xor       eax,eax
.0044E02D: 40                           inc       eax
.0044E02E: 5D                           pop       ebp
.0044E02F: 5F                           pop       edi
.0044E030: C20400                       retn      00004 


Ora non rimane altro che andare a cercare le call alle funzioni in oggetto e sostituirle con delle call
alla nuova funzione. Nel programma che ho preso in esame c'erano due sole call:

.004188CC: FF15C4B54300                 call      GetLocalTime ;KERNEL32.dll
.004188D2: 8D4C2404                     lea       ecx,[esp][00004]
.004188D6: 51                           push      ecx
.004188D7: FF1504B64300                 call      GetSystemTime ;KERNEL32.dll
.004188DD: 668B0D7A2C4300               mov       cx,[000432C7A]


Bisognera calcolare l'offset a cui punta la call rispetto alla istruzione successiva, quindi nel caso
della prima call 44E000 - 4188D1 = 03572F e per la seconda 44E000 - 4188DC = 035724 :

.004188CC: E82F570300                   call     .00044E000   
.004188D1: 90                           nop
.004188D2: 8D4C2404                     lea       ecx,[esp][00004]
.004188D6: 51                           push      ecx
.004188D7: E824570300                   call     .00044E000   
.004188DC: 90                           nop


Il programma adesso dovrebbe essere sempre in trial, infatti la versione originale dopo 30 giorni da una
messagebox di avvertimento che il periodo di prova Φ scaduto e la splash screen che si presenta all'avvio
dura parecchio tempo, con la versione modificata sarete sempre dentro i 30 giorni della trial :))



Bibliografia : "PORTABLE EXECUTABLE FORMAT"      Micheal J. O'Leary  (sulla rete)
	       "The PE file format"              B. Luevelsmeyer     (sulla rete)
	       "il tute di killexx sui crypter"  Killexx             (Ringzer0)  




Ringraziamenti:

a Killexx che Φ sempre disponibile a dare spiegazioni :) 
Insano che ci sopporta.
Malattia anche se Φ un po che non lo sento :(
A tutti gli altri membri di RingZer0, anche se purtroppo non ho mai occasione di parlare con loro :(



Pusillus.