OpenRCE

📚 OpenRCE is preserved as a read-only archive. Launched at RECon Montreal in 2005. Registration and posting are disabled.

About Articles Book Store Distributed RCE Downloads Event Calendar Forums Live Discussion Reference Library RSS Feeds Search Users What's New

Customize Theme

Flag: Tornado! Hurricane!

Created: Thursday, December 28 2006 11:23.59 CST Modified: Friday, December 29 2006 13:17.42 CST

Printer Friendly ...

StackWatcher (French)

Author: CrazYvan

# Views: 2754

Plop, c'est les vacances et IvanleMad ne peut s'arr�ter de coder, toujours en
qu�te de satisfation personnelle, la masturbation ne lui suffit plus il doit
coder, toujours plus vite, toujours plus loin, toujours plus profond.

Ainsi dans ces p�r�grinations il jouait avec le fameux tools de Mark
Russinovitch, Process Explorer, et tombe sur une fonction permettant de voir la
pile d'appel d'un Thread, son esprit commenca � entr� en �ruption. "Comment ce
put1 de b4t@rd de ca race de programme fonctionne ffs ?!". Cet ainsi qu'il
d�cida � reverse l'irr�versible (O_o).

Effectivement apr�s cette superbe intro r�alis�e par mon Dr Hide, je vous
propose un tool, cod� par mes soins. Son objectif ! Etre capable de lire la
m�moire d'un autre process afin de parcourir la pile de chaque thread et d'y
retrouver les fonctions utilis�es. Cela para�t dingue mais c'est faisable, si le
tool du ruskoff est capable de le faire alors pourquoir pas le mien :]
Bon en lisant la doc des API d'aide au d�buggage je suis tomb� sur
StackWalk64(), une API permettant de retrouver les appels � partir de la pile,
il suffit de lui donner un HANDLE sur le process, un autre sur le Thread stop�
au pr�alable, quelques infos sur l'�tat du Thread et hop (burp!) elle se
d�brouille pour nous retrouver les saved eip, W00t.

Comme c'est nowel je me suis que c'etait bien joli d'avoir les addr d'appel,
mais que ca serait encore mieux d'avoir les noms de ces fonctions. Le programme
utilise donc les symbols, fournit par MS, qui doivent �tre downloader sur son
site avec les debugings tools, ici :
http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Je peux vous dire que cela ma pas prit la t�te pour faire marcher ce petit bout
de code, la doc sur le net n'�tant pas foisonnante ....

------------CUT HERE--------------------



#include <windows.h>

#include <tlhelp32.h>

#include <dbghelp.h>

#include <stdio.h>



#pragma comment (lib, "advapi32.lib")

#pragma comment (lib, "dbghelp.lib")



int NameToPid(char *ProcessName)

{

	HANDLE hProcessSnap;

	PROCESSENTRY32 pe32;



	hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

	if(hProcessSnap==INVALID_HANDLE_VALUE)

	{

		printf("Error with CreateToolhelp32Snapshot: 0x%x\n",GetLastError() );

	}



	pe32.dwSize = sizeof(PROCESSENTRY32);



	if( !Process32First(hProcessSnap, &pe32 ))

	{

		printf("Error with Process32First: %d\n",GetLastError());  

		CloseHandle(hProcessSnap);    

	}



	while(Process32Next(hProcessSnap,&pe32)!=0) 

	{

 		if(_stricmp(pe32.szExeFile,ProcessName)==0) //_stricmp fuck la case sensitive

 		{

 			CloseHandle(hProcessSnap);

 			return pe32.th32ProcessID;

		}

	}

	

	CloseHandle(hProcessSnap);

	return 0;

}





DWORD EnablePrivilege(char *Privilege)

{

	HANDLE hToken;

	DWORD Ret=1;

	TOKEN_PRIVILEGES TP;

	LUID Luid;

	

	if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))

	{

		printf("Error with OpenProcessToken: %d\n", GetLastError());

		Ret=0;

		goto bye;	

	} 

	

	if(!LookupPrivilegeValue(NULL, Privilege, &TP.Privileges[0].Luid))

	{

		printf("Error with LookupPrivilegeValue: %d\n", GetLastError());

		Ret=0;

		goto bye;	

		

	}

	

	TP.PrivilegeCount=1;

	TP.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;

	

	if(!AdjustTokenPrivileges(hToken,

							false,

							&TP,

							NULL,

							NULL,

							NULL))

	{

		printf("Error with AdjustTokenPrivileges: %d\n", GetLastError());

		Ret=0;

		goto bye;	

		

	}

	

	bye:

	if(hToken)

		CloseHandle(hToken);

	

	return Ret;	

}





int main(int argc, char * argv[])

{

	HANDLE hProcess, hThread, hThreadSnap;

	DWORD PID, TID;

	DWORD64 Displacement;

	THREADENTRY32 Th32;

	STACKFRAME64 StackFrame;

	IMAGEHLP_MODULE64 IM;

	CONTEXT Context;

	PSYMBOL_INFO pSI;

	

	SymSetOptions(SYMOPT_UNDNAME|SYMOPT_DEFERRED_LOADS);



	RtlSecureZeroMemory(&Th32, sizeof(THREADENTRY32));

	RtlSecureZeroMemory(&IM, sizeof(IMAGEHLP_MODULE64));

	

	IM.SizeOfStruct=sizeof(IMAGEHLP_MODULE64);

	

	if(argc!=2)

		return 0;

	

	PID=NameToPid(argv[1]);

	if(!PID)

	{ 

		printf("Error with NameToPid : %d\n", GetLastError());

		return 0;

	}

	

	//pour les process system

	EnablePrivilege("SeDebugPrivilege");

	                   

	hProcess=OpenProcess(PROCESS_VM_OPERATION|

						PROCESS_VM_WRITE|

						PROCESS_VM_READ|

						PROCESS_CREATE_THREAD|

						PROCESS_QUERY_INFORMATION,

	 					FALSE, PID);

	if(!hProcess)

	{

		printf("Error with OpenProcess : %d\n", GetLastError());

		goto cleanup;

	}



	/*

	fInvadeProcess 

	[in] If this value is TRUE, enumerates the loaded modules for the process and effectively 

	calls the SymLoadModule64 function for each module. 

	*/

	if(!SymInitialize(hProcess, NULL, true))

	{

		printf("Error with SymInitialize : %x\n", GetLastError());

		goto cleanup;

	}

	

	hThreadSnap=CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0);

	Th32.dwSize=sizeof(THREADENTRY32);



	if(!Thread32First(hThreadSnap,&Th32))

	{

		printf("Error with Thread32First : %d\n", GetLastError());

		goto cleanup;

	}

	

	//on se place sur le 1er thread de notre process

	while(Th32.th32OwnerProcessID!=PID)

		Thread32Next(hThreadSnap,&Th32);

	

	pSI=(PSYMBOL_INFO)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, sizeof(SYMBOL_INFO)+MAX_SYM_NAME);

	if(!pSI)

		goto cleanup;

	

	//tant que le thread appartient au process 

	while(Th32.th32OwnerProcessID==PID)

	{

		TID=Th32.th32ThreadID;

		printf("\nThread ID : %d\n", TID);

		

		RtlSecureZeroMemory(pSI, sizeof(SYMBOL_INFO)+MAX_SYM_NAME);

		pSI->SizeOfStruct=sizeof(SYMBOL_INFO);

		pSI->MaxNameLen=MAX_SYM_NAME;

		

		RtlSecureZeroMemory(&Context, sizeof(CONTEXT));

		//EIP, EBP, ESP

		Context.ContextFlags=CONTEXT_CONTROL;

		

		RtlSecureZeroMemory(&StackFrame, sizeof(STACKFRAME64));

	

		hThread=OpenThread(THREAD_QUERY_INFORMATION|THREAD_SUSPEND_RESUME|THREAD_GET_CONTEXT, false, TID);

		if(!hThread)

		{	

			printf("Error with OpenThread : %d\n", GetLastError());

			goto cleanup;

		}

	

		//met en pause le thread	

		SuspendThread(hThread);

	

		if(!GetThreadContext(hThread, &Context))

		{

			printf("Error with GetThreadContext : %d\n", GetLastError());

			goto cleanup;

		}	

		

  		StackFrame.AddrPC.Offset=Context.Eip;

  		StackFrame.AddrPC.Mode=AddrModeFlat;

  		StackFrame.AddrFrame.Offset=Context.Ebp;

  		StackFrame.AddrFrame.Mode=AddrModeFlat;

  		StackFrame.AddrStack.Offset=Context.Esp;

 		StackFrame.AddrStack.Mode=AddrModeFlat;

	

		StackFrame.AddrReturn.Mode=AddrModeFlat;

		

		/*

		printf("Eip : 0x%x\n", Context.Eip);

		printf("Esp : 0x%x\n", Context.Esp);

		printf("Ebp : 0x%x\n", Context.Ebp);

		*/

		

		//parcourt la pile

		do

		{	

			//printf("AddrReturn : 0x%x\n", StackFrame.AddrReturn.Offset);		

		

			//va fouiller la stack 

			if(!StackWalk64(IMAGE_FILE_MACHINE_I386,

							hProcess,

							hThread,

							&StackFrame,

							&Context,

							NULL,

							SymFunctionTableAccess64,

							SymGetModuleBase64,

							NULL))

			{

				// Note that StackWalk64 generally does not set the last error code.

				printf("Error with StackWalk");

				//return 0;

			}

			

			if(SymFromAddr(hProcess, (DWORD)StackFrame.AddrReturn.Offset, &Displacement, pSI))

			{

				if(SymGetModuleInfo64(hProcess, pSI->ModBase, &IM))

					printf("0x%x : %s!%s+0x%x\n",(DWORD)pSI->Address, IM.ModuleName, pSI->Name, Displacement);

			}

			//else

				//printf("Error with SymFromAddr : %d\n", GetLastError());	

					

		}while(StackFrame.AddrReturn.Offset!=0);





		//relance le thread

		ResumeThread(hThread);

		

		CloseHandle(hThread);

		

		Thread32Next(hThreadSnap,&Th32);

	}

	

	cleanup:

		

	if(hProcess)

		CloseHandle(hProcess);

	

	SymCleanup(hProcess);



	return 0;	

}

------------CUT HERE--------------------

A l'utilisation ca donne :
C:\ProgHack\c>StackWatcher cmd.exe

Thread ID : 392
0x7c91e9b4 : ntdll!ZwWaitForSingleObject+0xc
0x7c802540 : kernel32!WaitForSingleObjectEx+0xa8
0x7c802520 : kernel32!WaitForSingleObject+0x12
0x4ad02cf4 : CMD!WaitProc+0x18
0x4ad02ff8 : CMD!ExecPgm+0x3fa
0x4ad02d42 : CMD!ECWork+0x84
0x4ad02dcb : CMD!ExtCom+0x40
0x4ad0145d : CMD!FindFixAndRun+0xcf
0x4ad01375 : CMD!Dispatch+0x137
0x4ad03ff1 : CMD!main+0x216
0x4ad05056 : CMD!mainCRTStartup+0x125
0x7c816fb4 : kernel32!BaseProcessStart+0x23

Impressive n'est-il pas ? :}
L'int�ret ca peut �tre de savoir par ou est pass� un code pour �xecut� une
action. Dans l'exemple suivant j'ai mit un BP sur l'API native ZwCreateProcessEx
qui vous vous en doutez sert a cr�e � process, je l'ai mit dans explorer.exe,
donc quand je vais lancer un process le programme va �tre stop� par le
breakpoint et si on lance StackWatcher on peut voir :



[...]

Breakpoint sur	ZwCreateProcessEx de ntdll.dll l'api native qui call le noyau 

pour lancer un process

Thread ID : 2008

0x7c819513 : kernel32!CreateProcessInternalW+0x1327

0x7c802332 : kernel32!CreateProcessW+0x2c

0x7ca11f93 : SHELL32!_SHCreateProcess+0x387

0x7ca11e7a : SHELL32!CShellExecute::_DoExecCommand+0xb4

0x7ca11e21 : SHELL32!CShellExecute::_TryInvokeApplication+0x49

0x7ca118b9 : SHELL32!CShellExecute::ExecuteNormal+0xb1

0x7ca11866 : SHELL32!ShellExecuteNormal+0x30

0x7ca117cb : SHELL32!ShellExecuteExW+0x8d

0x7ca1e4e4 : SHELL32!_InvokePidl+0x9f

0x7ca1e421 : SHELL32!CShellExecMenu::_InvokeOne+0xa0

0x7ca1e347 : SHELL32!CShellExecMenu::InvokeCommand+0xa7

0x7ca1e2ad : SHELL32!HDXA_LetHandlerProcessCommandEx+0xa5

0x7ca1e1b5 : SHELL32!CDefFolderMenu::InvokeCommand+0x17f

0x7ca300b2 : SHELL32!CShellLink::TargetContextMenu::InvokeCommand+0x22

0x7ca2fe91 : SHELL32!CShellLink::_InvokeCommandAsync+0x337

0x7ca2fe57 : SHELL32!CShellLink::InvokeCommand+0x259

0x7ca1e2ad : SHELL32!HDXA_LetHandlerProcessCommandEx+0xa5

0x7ca1e1b5 : SHELL32!CDefFolderMenu::InvokeCommand+0x17f

0x77f98355 : SHLWAPI!SHInvokeCommandsOnContextMenu+0x174

0x77f9926d : SHLWAPI!SHInvokeCommand+0x63

0x77f9932d : SHLWAPI!SHInvokeDefaultCommand+0x15

0x102c9a0 : explorer!CStartMenuHost::ExecItem+0x17

0x7cb6d9d7 : SHELL32!CStartMenuCallback::_ExecItem+0x17

0x7cb6f32e : SHELL32!CStartMenuCallback::CallbackSM+0xe0

0x7ca23edd : SHELL32!CMenuSFToolbar::CallCB+0xd9

0x7cba7520 : SHELL32!CMenuSFToolbar::v_ExecItem+0x8e

0x7cba40bf : SHELL32!CMenuToolbarBase::_DropDownOrExec+0xa6

0x7ca24a04 : SHELL32!CMenuToolbarBase::_OnNotify+0x2bf

0x7ca24401 : SHELL32!CMenuSFToolbar::_OnNotify+0x109

0x7ca2439a : SHELL32!CMenuToolbarBase::OnWinEvent+0x60

0x7ca2435a : SHELL32!CMenuSFToolbar::OnWinEvent+0x6b

0x7ca2428f : SHELL32!CMenuBand::OnWinEvent+0x1f8

0x7ca24159 : SHELL32!CMenuSite::v_WndProc+0xd9

0x7ca30e35 : SHELL32!CImpWndProc::s_WndProc+0x65

0x77d1870c : USER32!InternalCallWinProc+0x28

0x77d1875f : USER32!UserCallWinProcCheckWow+0x150

0x77d1b7d3 : USER32!SendMessageWorker+0x4a5

0x77d1b8ba : USER32!SendMessageW+0x7f

0x773aa3d1 : comctl32!CCSendNotify+0xc20

0x773ff831 : comctl32!TBSendUpClick+0x5f

0x77404778 : comctl32!TBOnLButtonUp+0x13b

0x77404bdb : comctl32!ToolbarWndProc+0xb30

0x77d1870c : USER32!InternalCallWinProc+0x28

0x77d1875f : USER32!UserCallWinProcCheckWow+0x150

0x77d1c5ee : USER32!CallWindowProcAorW+0x98

0x77d1c64a : USER32!CallWindowProcW+0x1b

0x773a1b3d : comctl32!CallOriginalWndProc+0x1a

0x773a1e6e : comctl32!CallNextSubclassProc+0x3c

0x773a2026 : comctl32!DefSubclassProc+0x46

0x7ca0ef96 : SHELL32!CSFToolbar::_DefWindowProc+0xb8

0x7ca0ef46 : SHELL32!CNotifySubclassWndProc::_SubclassWndProc+0x7d

0x773a1e6e : comctl32!CallNextSubclassProc+0x3c

0x773a207b : comctl32!MasterSubclassProc+0x54

0x77d1870c : USER32!InternalCallWinProc+0x28

0x77d1875f : USER32!UserCallWinProcCheckWow+0x150

0x77d188f1 : USER32!DispatchMessageWorker+0x306

0x77d18a01 : USER32!DispatchMessageW+0xf

0x100199d : explorer!CTray::_MessageLoop+0xd9

0x1011e62 : explorer!CTray::MainThreadProc+0x29

0x77f5422b : SHLWAPI!WrapperThreadProc+0x94

0x7c80b64c : kernel32!BaseThreadStart+0x37



Thread Id : XXX

[...]

Ouf ca fait de la peur :]
En tout cas je pense qu'il y moyen de bien s'amuser avec ce tools on peut
apprendre de bonne chose sur le fonctionnement de certains binaire system. Par
contre mieux vaut avoir les symbols pour ceux-ci si vous voulez des r�sultats
probants.

Enfin en reversant Process Explorer j'ai remarqu� que le mofo utilisait un
driver afin de lire aussi la pile d'appel du thread dans le noyau, je suis
en train de continuer le combat afin que mon code le fasse aussi. Il m'a fallut
reverser le binaire, dumper le driver, reverse le driver ...Bref ca ma bien
prit la tete pour capter le bordel. Je suis en train de recoder un tool qui
reprend son fonctionnement mais code est over crade, avec des bouts d'asm
partout et du DeviceIoControl() � la pelle donc celui la ca m'etonnerais que je le montre :]

En attendant vous avez de quoi vous amuser. Je vous file un .rar avec le binaire
les sources et les dll requises, enjoy !

http://membres.lycos.fr/moi118118/StackWatcher.rar

Ivanlef0u
"je te fist comme ca, comme ca et comme ca !"

Blog Comments

pedram	Posted: Friday, December 29 2006 13:17.07 CST
Any bilingual user out there willing to post an English translation of this blog entry as a comment? ;-)

msuiche	Posted: Saturday, December 30 2006 09:53.47 CST
With slang please ! :)

MohammadHosein	Posted: Tuesday, January 9 2007 05:47.29 CST
altavista's bablefish is kinda good , but please try not to use slangs ! :D

halvar	Posted: Tuesday, January 9 2007 07:38.14 CST
I can translate if you guys wish, but it's french geek style, which is usually nsfw ;) Anyhow, you should all learn french, even if it's just to be able to read MISC.

msuiche	Posted: Wednesday, January 10 2007 09:32.26 CST
However, there was a "german" version of MISC haha

carib	Posted: Friday, January 12 2007 12:44.07 CST
"It's holiday time and YvanTheMad can't stop coding, always looking for personal satisfaction; mas.....tion doesn't give him enough; he must code and keep on coding..." for the rest, check out google's translation

There are 31,328 total registered users.

Recently Created Topics
[help] Unpacking VMP...	Mar/12
Reverse Engineering ...	Jul/06
let 'IDAPython' impo...	Sep/24
set 'IDAPython' as t...	Sep/24
GuessType return une...	Sep/20
About retrieving the...	Sep/07
How to find specific...	Aug/15
How to get data depe...	Jul/07
Identify RVA data in...	May/06
Question about memor...	Dec/12

Recent Forum Posts
Finding the procedur...	rolEYder
Question about debbu...	rolEYder
Identify RVA data in...	sohlow
let 'IDAPython' impo...	sohlow
How to find specific...	hackgreti
Problem with ollydbg	sh3dow
How can I write olly...	sh3dow
New LoadMAP plugin v...	mefisto...
Intel pin in loaded ...	djnemo
OOP_RE tool available?	Bl4ckm4n

Recent Blog Entries
	halsten	Mar/14
Breaking IonCUBE VM
	oleavr	Oct/24
Anatomy of a code tracer
	hasherezade	Sep/24
IAT Patcher - new tool for ...
	oleavr	Aug/27
CryptoShark: code tracer ba...
	oleavr	Jun/25
Build a debugger in 5 minutes
More ...

Recent Blog Comments
	nieo on:	Mar/22
IAT Patcher - new tool for ...
	djnemo on:	Nov/17
Kernel debugger vs user mod...
	acel on:	Nov/14
Kernel debugger vs user mod...
	pedram on:	Dec/21
frida.github.io: scriptable...
	capadleman on:	Jun/19
Using NtCreateThreadEx for ...
More ...

Imagery

SoySauce Blueprint
Jun 6, 2008

[+] expand

View Gallery (11) / Submit