Alisa Belousova - API sniffer (windows ver.)

Белоусова Алиса ( [email protected] )

API sniffer (windows ver.)

:: Usermode WinAPI data sniffer ]x[ Export functions fuzzing ]x[
Анализ трафика без установки. ]x[ Перехват и подмена данных на лету. ]x[ Быстрый анализ malware. ]x[ Анализ данных пользовательских функций. ]x[ Построение визуального представления. ]x[ Подключение внешних обработчиков in/Out данных

API Sniffer winAPI

API Sniffer Control Data

Hard & Soft аналитика Start cat.exe Exit CreateProcess(dog.exe) Rutine… WriteFile()
CreateFile(AV path) CreateFile(VM path) CreateRemoteThread(Explorer.exe) Connect( http://iMs.com/?d=34324

Подключаемые обработчики Hooked_WinApi_function ( In param1, Out Param2 ) Python.FuzzParam
(In param1) Python (In param1)

:: Методы внедрения рабочего кода -:] Внедрение кода в рабочий
процес -:] Внедрение dll в рабочий процесс -:] Подключение dll при запуске процесса: -=) ^ Легитимное by OS -=) ^ Поиск метода by Path

·Внедрение кода в рабочий процесс:

The questions ᕙ(⇀‸↼‶)ᕗ [:::]- Работа с не документированными функциями OS
[:::]- Работа с пользовательскими функциями [:::]- Работа в user space или трансляция из Driver? [:::]- Трансляция из Service? [:::]- Как использование GetProcAddress GetModuleHandle? [:::]- __asm{} вставки, don’t break my heart [:::]- Детектирование Hook [:::]- Вложенность функций -_-) [:::]- Скорость обработки -_-)

:-: Вложенность функций _-_ Разрядность и assembler’овский код? Окай.. <(._.)>
Попытка работы с EIP <(._.)> Попытка работы со stack’ом ヽ(*≧ω≦)ﾉ TlsSetValue/TlsGetValue?? (｡◕‿◕｡) Переход в ntdll.dll ¯\_(ツ)_/¯ Еще ниже…

Try HeapAlloc Sprintf() & TlsSetValue() опять HeapAlloc J EIP: return
0; pop edi pop esi pop ebx mov esp, ebp pop ebp ret Stack: int isMyFuncArg3; __asm { lea eax, LastArg add eax,4 push [eax] pop isMyFuncArg3} if(isMyFuncArg3 != 0) printf("Вызов из моей функции.\r\n");

Итогo: - Дамп данных любой API функции в пользовательском пространстве.
- Подключаемые обработчики данных - Повышение привилегий для внедрения в чужие или привилегированные процессы. - Дамп данных функций в скрытом режиме - Fuzzing In/Out данных на лету в GUI. - Ручная правка In/Out данных в GUI. - Сохранение потоков winAPI данных ПО для дальнейшего анализа.

Duck face of pre beta.

That’s all folks

Alisa Belousova - API sniffer (windows ver.)

Alisa Belousova - API sniffer (windows ver.)

DC7499

More Decks by DC7499

Other Decks in Research

Featured

Transcript

Белоусова Алиса ( [email protected] )

API sniffer (windows ver.)

:: Usermode WinAPI data sniffer ]x[ Export functions fuzzing ]x[

API Sniffer winAPI

API Sniffer Control Data

API Sniffer Control Data

Hard & Soft аналитика Start cat.exe Exit CreateProcess(dog.exe) Rutine… WriteFile()

Подключаемые обработчики Hooked_WinApi_function ( In param1, Out Param2 ) Python.FuzzParam

:: Методы внедрения рабочего кода -:] Внедрение кода в рабочий

·Внедрение кода в рабочий процесс:

The questions ᕙ(⇀‸↼‶)ᕗ [:::]- Работа с не документированными функциями OS

:-: Вложенность функций _-_ Разрядность и assembler’овский код? Окай.. <(._.)>

Try HeapAlloc Sprintf() & TlsSetValue() опять HeapAlloc J EIP: return

Итогo: - Дамп данных любой API функции в пользовательском пространстве.

Duck face of pre beta.

That’s all folks