Omleidingen Een bibliotheek voor het onderscheppen van arbitraire Win32-binaire functies op X86-machines
Download nu

Omleidingen Rangschikking & Samenvatting

Omleidingen Tags

functie onderscheppen functie instrument willekeurige functie Bevestig arbitraire dll onderscheppen willekeurig bibliotheek van functies Win32-bibliotheek X86 uitvoerbaar x86 x86 compressor

Omleidingen Beschrijving

Innovatieve systemen Onderzoek Scharnieren op de mogelijkheid om het bestaande besturingssysteem en de toepassingsfunctionaliteit eenvoudig te instrueren en uit te breiden. Met toegang tot de juiste broncode is het vaak triviaal om nieuwe instrumentatie of extensies in te voegen door het besturingssysteem of de aanvraag opnieuw op te bouwen. Echter, in de wereldsystemen van vandaag hebben onderzoekers zelden toegang tot alle relevante broncode. Omleidingen is een kleine, eenvoudig te gebruiken bibliotheek voor het instrumenten van arbitraire Win32-functies op IA64, X64, X86 Computers. Omwissels onderschept Win32-functies door de in-geheugencode opnieuw te schrijven voor doelfuncties. Het omleidingenpakket bevat ook hulpprogramma's om willekeurige DLL's en gegevenssegmenten (Payloads) te voegen aan elk Win32-binair. Omleidingen behouden de niet-geïnstrumenteerde doelfunctie (vervalbaar via een trampoline) als subroutine voor gebruik door de instrumentatie. Ons trampoline-ontwerp maakt een grote klasse van innovatieve extensies mogelijk aan bestaande binaire software. We hebben omlopen gebruikt om een automatisch gedistribueerd partitioneringssysteem te maken, om de DCOM-protocolstapel te instrueren en te analyseren en om een dijenlaag voor een op COM-gebaseerde OS API te maken. Omwegen wordt op grote schaal gebruikt binnen Microsoft en binnen de industrie. Interceptie-code wordt dynamisch toegepast op runtime. Omleidingen vervangt de eerste paar instructies van de doelfunctie met een onvoorwaardelijke sprong naar de door de gebruiker verstrekte omwegfunctie. Instructies van de doelfunctie worden in een trampoline geplaatst. Het adres van de trampoline wordt in een doelaanwijzer geplaatst. De omwegfunctie kan de doelfunctie vervangen of de semantiek verlengen door de doelfunctie aan te roepen als subroutine via de doelwisselaar naar de trampoline. Omleidingen worden ingevoegd bij uitvoeringstijd. De code van de doelfunctie is gewijzigd in het geheugen, niet op schijf, waardoor het onderschepping van binaire functies bij een zeer fijne korreligheid mogelijk maakt. De procedures in een DLL kunnen bijvoorbeeld worden omgekeerd in één uitvoering van een toepassing, terwijl de oorspronkelijke procedures niet worden omgekeerd in een andere uitvoering die tegelijkertijd wordt uitgevoerd. In tegenstelling tot DLL-re-linking of statische omleiding zijn de interceptietechnieken die in de Detours-bibliotheek worden gebruikt, gegarandeerd, ongeacht de methode die wordt gebruikt door toepassing of systeemcode om de doelfunctie te vinden. Naast de basisdetourfunctionaliteit omvat omleidingen ook functies om de DLL-invoertabel van een binair te bewerken, om willekeurige gegevenssegmenten bij te voegen aan bestaande binaries en om een DLL in een nieuw proces te laden. Eenmaal beladen in een proces, kan de instrumentatie DLL elke functie in het proces omdraaien, of het nu gaat om de toepassing of de systeembibliotheken, zoals de Windows API's. Opmerking: Omleidingen is gratis voor onderzoek, niet-commercieel en niet-productie gebruik op 32-bits code

Omleidingen Gerelateerde software