Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Alisa Belousova - API sniffer (windows ver.)

DC7499
December 11, 2015
Research
0
200

Alisa Belousova - API sniffer (windows ver.)

DEFCON Moscow 11

DC7499

December 11, 2015
Tweet

More Decks by DC7499

See All by DC7499
Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]
defcon
0
480
Dmitry Sklyarov - Intel ME: Security keys Genealogy, Obfuscation and other Magic
defcon
0
240
Anton Lopanitsyn - Initial reconnaissance of web applications.
defcon
0
270
Dmitry Volkov - Private messengers: without pain??
defcon
1
220
Andrey Skuratov and Sergey Migalin - DNS tunneling in 2018. What is that, and what to do with it?
defcon
1
190
Sergey Belov - Another side of Bug Bounty programs
defcon
0
280
Dmitry Sklyarov - Intel ME: Flash file system explained
defcon
0
450
Maxim Goryachiy & Mark Ermolov - Inside Intel Management Engine
defcon
0
510
Sergey Golovanov - Indecent Response 2018
defcon
0
430

Other Decks in Research

See All in Research
ニュースメディアにおける事前学習済みモデルの可能性と課題 / IBIS2024
upura
3
510
精度を無視しない推薦多様化の評価指標
kuri8ive
1
240
Introducing Research Units of Matsuo-Iwasawa Laboratory
matsuolab
0
920
2024/10/30 産総研AIセミナー発表資料
keisuke198619
1
330
論文読み会 SNLP2024 Instruction-tuned Language Models are Better Knowledge Learners. In: ACL 2024
s_mizuki_nlp
1
350
多様かつ継続的に変化する環境に適応する情報システム/thesis-defense-presentation
monochromegane
1
530
Embers of Autoregression: Understanding Large Language Models Through the Problem They are Trained to Solve
eumesy
PRO
7
1.2k
Weekly AI Agents News! 9月号 プロダクト/ニュースのアーカイブ
masatoto
2
140
Weekly AI Agents News! 8月号 論文のアーカイブ
masatoto
1
180
129 2 th
0325
0
240
20240918 交通くまもとーく 未来の鉄道網編(こねくま)
trafficbrain
0
230
言語処理学会30周年記念事業留学支援交流会@YANS2024:「学生のための短期留学」
a1da4
1
240

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
6.9k
Gamification - CAS2011
davidbonilla
80
5k
Code Reviewing Like a Champion
maltzj
520
39k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
Code Review Best Practice
trishagee
64
17k
Building an army of robots
kneath
302
43k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
Fireside Chat
paigeccino
34
3k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
How GitHub (no longer) Works
holman
310
140k

Transcript

  1. None

  2. Белоусова Алиса ( [email protected] )

  3. API sniffer (windows ver.)

  4. :: Usermode WinAPI data sniffer ]x[ Export functions fuzzing ]x[

    Анализ трафика без установки. ]x[ Перехват и подмена данных на лету. ]x[ Быстрый анализ malware. ]x[ Анализ данных пользовательских функций. ]x[ Построение визуального представления. ]x[ Подключение внешних обработчиков in/Out данных

  5. API Sniffer winAPI

  6. API Sniffer Control Data

  7. API Sniffer Control Data

  8. Hard & Soft аналитика Start cat.exe Exit CreateProcess(dog.exe) Rutine… WriteFile()

    CreateFile(AV path) CreateFile(VM path) CreateRemoteThread(Explorer.exe) Connect( http://iMs.com/?d=34324

  9. Подключаемые обработчики Hooked_WinApi_function ( In param1, Out Param2 ) Python.FuzzParam

    (In param1) Python (In param1)

  10. :: Методы внедрения рабочего кода -:] Внедрение кода в рабочий

    процес -:] Внедрение dll в рабочий процесс -:] Подключение dll при запуске процесса: -=) ^ Легитимное by OS -=) ^ Поиск метода by Path

  11. ·Внедрение кода в рабочий процесс:

  12. The questions ᕙ(⇀‸↼‶)ᕗ [:::]- Работа с не документированными функциями OS

    [:::]- Работа с пользовательскими функциями [:::]- Работа в user space или трансляция из Driver? [:::]- Трансляция из Service? [:::]- Как использование GetProcAddress GetModuleHandle? [:::]- __asm{} вставки, don’t break my heart [:::]- Детектирование Hook [:::]- Вложенность функций -_-) [:::]- Скорость обработки -_-)

  13. :-: Вложенность функций _-_ Разрядность и assembler’овский код? Окай.. <(._.)>

    Попытка работы с EIP <(._.)> Попытка работы со stack’ом ヽ(*≧ω≦)ノ TlsSetValue/TlsGetValue?? (。◕‿◕。) Переход в ntdll.dll ¯\_(ツ)_/¯ Еще ниже…

  14. Try HeapAlloc Sprintf() & TlsSetValue() опять HeapAlloc J EIP: return

    0; pop edi pop esi pop ebx mov esp, ebp pop ebp ret Stack: int isMyFuncArg3; __asm { lea eax, LastArg add eax,4 push [eax] pop isMyFuncArg3} if(isMyFuncArg3 != 0) printf("Вызов из моей функции.\r\n");

  15. Итогo: - Дамп данных любой API функции в пользовательском пространстве.

    - Подключаемые обработчики данных - Повышение привилегий для внедрения в чужие или привилегированные процессы. - Дамп данных функций в скрытом режиме - Fuzzing In/Out данных на лету в GUI. - Ручная правка In/Out данных в GUI. - Сохранение потоков winAPI данных ПО для дальнейшего анализа.

  16. Duck face of pre beta.

  17. That’s all folks