长亭百川云 - 文章详情

LordPE在win10无法工作折腾笔记-死而复生

汉客儿安全笔记

50

2024-07-13

author: anhkggdate: 2021年6月19日

前情提要

最近在分析某个软件时,提示错误。赶紧挂上windbg看看调用栈,看能不能找到问题。

一看应该能够解决,需要结合IDA静态分析。

通过任务管理器进程转到文件,发现文件已经不存在了,咋办?

还好,进程还在,可以把主程序dump下来,就可以静态分析了。

如何dump呢?简单的可以通过windbg的.writemem把内存写入文件,但是文件不是合法(可运行)的PE,虽然此时文件和内存中数据完全相同(IDA可以将就分析)。

PE文件的文件结构和内存结构是不完全相同的,最重要的原因是文件对齐和内存对齐不同。

所以windbg的.writemem是不支持把内存dump生成合法的PE文件,除非自己再进行文件修复。

此时,不知道有没有人想起来逆向中脱壳,是不是也有类似操作,我这里不是脱壳,但需要做的确和脱壳类似。

所以我想到了LordPE(没用OD),它可以把内存dump之后生成正确的PE文件,然后再ImportREC修复输入表即可。

这活脱脱的就是脱壳啊,哈哈,无所谓啦。

分析

好久不使LordPE,赶紧找出来,运行之后,发现不行。咋回事?该版本不支持枚举高权限进程?不至于啊。

连着换了多个版本,还是不行,LordPE枚举到的进程中没有我的目标进程,而且很多进程名都是[System Process]。

LordPE不至于这么弱吧?!算了,祭出windbg分析一下吧。

windbg启动LordPE,对枚举进程API下断,bp kernel32!ProcessNext,居然没断下来。

WTF?

那断ntdll的API总行了吧,bp ntdll!NtQuerySystemInformation。可以,发现用的是kernel32!EnumProcess。

0:000> kv # ChildEBP RetAddr  Args to Child              00 0019f5e0 200013fc 004a0010 00000400 0019f600 KERNELBASE!K32EnumProcesses (FPO: [Non-Fpo])01 0019f74c 00405fb6 004a0010 00000400 69970c70 procs!GetProcessIDList+0x13c02 0019f7a0 6992b4f2 ffffffff 00001003 00000001 LordPE+0x5fb603 0019f7c4 69929edb 00040426 00001003 00000001 COMCTL32!FlatSB_SubclassWndProc+0x22 (FPO: [6,0,0])04 0019f820 fffffffe 0019f874 69929e20 00040426 COMCTL32!CallNextSubclassProc+0x69 (FPO: [Non-Fpo])05 0019f844 7789c79c 00000000 00559420 00000000 0xfffffffe06 0019f920 766760bf 00000000 00000000 004911c8 ntdll!RtlDeactivateActivationContextUnsafeFast+0x9c (FPO: [Non-Fpo])

然后发现procs!GetProcessIDList,看名字明显就是获取所有进程PID。

IDA打开procs.dll一看,这个DLL提供了所有进程和模块管理的接口。

可以看到,他根据Is_xxx_200024FC(系统版本)分两类API来获取信息,第二种才是我前面没成功下断的ProcessNext。

这不是重点,上面的枚举代码没什么问题,不过我没怎么用过EnumProcess接口,不确定是否有问题,所以我把Is_xxx_200024FC强制改为0,然后所有接口都通过tlhelp32接口来获取进程和模块信息。

再往上层回溯,进入LordPE,发现神奇的东西。

长度传的0xF0,也就是240 / 4 = 60,也就是说LordPE只能获取60个进程。

DWORD dwProcessId[60];

而在win10上,动不动就是上百个进程,所以没有枚举到我要看的目标进程太正常了。

只想吐槽,LordPE作者怎么会写出这样的代码,这就算在xp、win7,进程超过60个也歇菜了。

修改

问题找到了,现在该想想如何修改让LordPE能够正常用起来。

首先想到的是,既然枚举进程不全,我可以自己枚举进程插入到进程列表中。

但需要确认点击某个进程选dump是怎么处理的?

获取到选择的进程行,让后dwProcessId[index]拿到进程PID,然后调用dump函数。

这,index超了60,dwProcessId[index]就不行了啊,这个PID不合法啊。

此路不通。

那把dwProcessId扩大呢?

dwProcessId大小60个,后面马上接着其他变量,连对齐空间都没有。

不可行。

可以看到,引用dwProcessId的位置还不只一个。

更多想法:

  1. dwProcessId通过malloc分配,但得修改所有引用位置的代码,从dwProcessId[index]换成(*dwProcess)[index]

  2. 劫持所有procs.dll接口,把参数PID换成我需要dump的进程,同样也需要替换模块地址。

  3. 或者重写一个…(额)

觉得都挺麻烦的。

此时,去百度搜索了一下,发现已经有前人做过相关工作了。

LordPE只显示60个进程 fix

他是在PE中找到空白位置,用做新的dwProcessId地址,然后把所有引用dwProcessId的位置换成这个新地址,还挺简单,不过最多只能存256个进程PID,将就可以用了。

然后procs.dll接口也存在问题,居然还有硬编码F0来EnumProcess获取进程(几乎所有接口)。

不过我前面已经修改了Is_xxx_200024FC,所以不会用enumprocess,全部使用的tlhelp32的ProcessNext接口,不会存在这个问题。

所以暂时确定方案:

  1. 找到新位置用作dwProcessId,并修改引用位置

  2. 修改procs.dll的Is_xxx_200024FC为0

在结尾看到800h的对齐位置。

0x800/4=0x200=512字节,那么可以枚举到512个进程。

把所有dwProcessId换成41EA88,大小F0换成800h。

现在可以正常枚举到进程。

总结

经过一番折腾,目前满足我当前需求,可以正常dump出错的软件,但是LordPE不支持64进程,所有可能某些情况下还是鸡肋。

很少这么手工修改软件,思路还是挺重要的,要不是搜到那篇帖子,我可能就会采用勾上procs.dll的导出接口和dump函数,但随便几点某个进程,选择dump时,会弹出一个我的界面选择真实的目标进程,然后返回调用dump函数,也同样是可以同样的功能。

最后立个flag,有时间还是想写个支持64进程的增强版LordPE。或者我孤陋寡闻,目前已经有类似程序,有知情大佬,请不吝告知。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2