2013年4月27日 星期六

浅谈IDA脚本在漏洞挖掘中的应用

http://security.tencent.com/index.php/blog/msg/4

[目录]
 1 - 前言
 2 - IDC和IDAPython简介
 3 - 倚天剑:IDC应用
 4 - 屠龙刀:IDAPython应用
 5 - 结语

[1] - 前言

IDA毫无疑问是逆向领域里的一大神器,无所不能。有人的地方就有江湖,有江湖的地方就有武器。那么,在逆向这个江湖中,IDC和IDAPython就好比倚天剑和屠龙刀,威力无比。

在漏洞挖掘领域,IDA同样能够大展身手。OpenRCE上提供的BugScam脚本正是IDC应用的最好诠释,著名的Paimei也是应用了IDApython。

接下来,笔者将以自己的经验来分享下两把利器“倚天剑”和“屠龙刀”的应用。

[2] - IDC和IDAPython简介

事实上,没有哪一个应用程序能够满足每名用户的一切需求。应用开发者面临两种选择:要么满足用户提出的无止境的功能要求,要么提供一种方法,供用户解决问题。IDA采用了后一种方法,它集成了一个脚本引擎,让用户从编程角度对IDA的操作进行全面控制。

IDA脚本语言可看成是一种查询语言,它能够以编程方式访问IDA数据库的内容。IDA的脚本语言叫做IDC,之所以取这个名称,可能是因为它的语法与C语言的语法非常相似。

得益于IDA Pro极为开放的构架,Gergely Erdelyi和Ero Carrera在2004年发布了IDAPython--一款IDA Pro的插件。通过这款插件,逆向工程师能够以Python脚本的形式访问IDC脚本引擎核心、完整的IDA插件API,以及所有与Python捆绑在一起的常见模块。IDAPython无论是在商业产品中(例如Zynamics的BinNavi),还是在一些开源项目中(例如Paimei和PyEmu)均有所应用。

[3]- 倚天剑:IDC应用

如果各位读者对这篇文章感兴趣,应该都对IDC有了解。不过不了解也没关系,那就请先参考下相关资料[1],里面有详细的IDC语言介绍,这里就不再进行介绍。

当我们想通过自动化运行IDA获取一些对漏洞挖掘有用的信息,而不是手工运行IDA,该怎么做?

IDA提供了如下两个函数,可以帮助我们实现自动化。




在IDA启动后,IDA会执行一些自动分析操作。Wait函数会等待,直到这些自动分析结束。该函数会挂起我们的IDC脚本,直到自动分析队列为空。当自动分析队列为空时,就开始执行我们的IDC脚本。Exit函数会结束IDC函数的执行,并将idb关闭,然后结束IDA主进程,相当nice的功能。

有了这两个函数后,还不够,革命尚未成功。IDA还提供了丰富的命令行参数,帮助我们实现自动化。




“-A”参数是自动模式,IDA将不会显示对话框,是和“-S”参数一起使用。“-S”参数指定执行那个IDC脚本,后面可以跟IDC脚本的参数。参数会放在ARGV这个全局变量里,其中ARGV[0],存放的是IDC脚本名。IDA还提供了-c参数,用来反汇编一个文件[3]。

现在实现自动化的各个因素都凑齐了,“万事具备,只欠东风”,接下来是一个自动导出一个文件中的所有函数名、起始地址、结束地址的IDC脚本。


#include <idc.idc>

static main()
{

auto addr, end, args, locals, frame, firstArg, name, ret ,handle, path, index, filename, outputfilename ,segaddr;

addr = 0;

Wait(); //等待直到IDA自动分析完成

segaddr = MinEA();

Message("Base:%x\n",segaddr);

handle = fopen(ARGV[1],"w");

for( addr = NextFunction(addr); addr != BADADDR; addr = NextFunction(addr))

{
name = Name(addr);

end = GetFunctionAttr(addr, FUNCATTR_END);
if(substr(name,0,4) == "sub_")
continue;

Message("Function:%s, starts at %x,ends at %x\n", name, addr-segaddr, end-segaddr);

fprintf(handle,"Function:%s, starts at %x,ends at %x\n", name, addr-segaddr, end-segaddr);

}

fclose(handle);

Exit(0);
}

当我们以这样的命令行idaq -c -A -S"dumpfunc.idc E:\func.txt" E:\test.dll运行IDA,结果就会自动保存在E盘的func.txt中,相当惬意吧!心动了吧,心动了就赶快行动吧!你可以尽情发挥自己的才华,向IDA获取你想要的东西。

[4] - 屠龙刀:IDAPython应用

在《Python灰帽子》[2]第十章中,Justin提供了一种自动化获取驱动程序IO控制码的方法,不过该脚本是基于Immunity Debugger的库。笔者用Immunity Debugger加载驱动文件,发现加载失败。后来一想,既然是基于静态分析的方法,何必用Immunity Debugger,IDA才是静态分析领域的王者。下面探讨用IDAPython来实现自动获取驱动程序IO控制码的初级版程序。

[4.1] - 获取驱动程序设备名

通过FindText这个函数来查找包含“\\Device\\”这个函数的偏移地址,然后通过GetString来获取字符串,如果获取的字符串为空,继续查找。

def getDeviceName():

"""

Get Device Name from a driver.

@rtype: void

@returns: void

"""

ea = 0

while True:

ea = FindText(ea, SEARCH_NEXT | SEARCH_REGEX, 0, 0, "\\\\Device\\\\")

string = GetString(ea, -1, ASCSTR_UNICODE)

if string is None:

continue

else:

#Message("Find in %x\n" % ea)

Message("device is %s\n" % string)

Break

[4.2] - 获取驱动分发函数地址

首先用FindText查找mov dword ptr [edx+70h], offset sub_11010类似这种形式的指令,通过正则匹配查找。找到后,用GetOperandValue函数获取第二个操作数的值,即是分发函数的地址。

def getDispatchAddress():

"""

Get Device Dispatch Address from a driver.

@rtype: int

@returns: Dispatch Address

"""

ea = 0

ea = FindText(ea, SEARCH_DOWN |SEARCH_NEXT | SEARCH_REGEX, 0, 0, "mov *dword *ptr *\\[[a-zA-Z]* *\\+ *70h\\],[a-zA-Z0-9_ ]*")

#ea = FindText(ea, SEARCH_NEXT | SEARCH_REGEX, 0, 0, "test *[a-zA-Z]*, +[a-zA-Z]*")

#Message("Find in %x\n" % ea)

if ea == BADADDR:

Message("Cann't find the Dispatch address")

address = BADADDR

else:

address = GetOperandValue(ea,1)

Message("Dispatch address is %x\n" % address)

return address


[4.3] - 获取函数内所有指令或指令偏移

通过GetFunctionAttr获取函数的结束地址,再通过ItemSize来获取每条指令的大小,然后循环遍历即可获得这个函数的所有指令的偏移地址。这边先获取所有指令的偏移地址,而不是指令,下面获取io控制码会用到。

def getFunctionInstructions():

"""

Get All Instructions from a function.

Here,Just Get All Instructions Offset,and store them in list

@rtype: List

@returns: List of All Instructions

"""

Instructions = []

DispatchBeginAddress = getDispatchAddress()

if DispatchBeginAddress == BADADDR:

Message("Cann't find the Function Instructions List")

return None

DispatchEndAddress = GetFunctionAttr(DispatchBeginAddress,FUNCATTR_END)

i = DispatchBeginAddress

while True:

#Instructions.append(GetDisasm(i))

Instructions.append(i)

tmp = i + ItemSize(i)

if tmp < DispatchEndAddress:

i = i + ItemSize(i)

else:

break

address = i

return Instructions



[4.4] - 获取驱动程序的所有IO控制码

获取分发函数的所有指令偏移后,倒序查找。如果碰到是jz或者是je的,且接下来是cmp的指令,并且比较操作的寄存器是否一样,一样的话,则把io控制码存储。(这样还是不够准确的,如果碰到其他的jz且连着jmp的指令,但不是io控制码。纯自动分析有时候不能识别)。

def getIoctlCode():

"""

Get All IoctlCodes from a driver.

@rtype: List

@returns: List of All IoctlCodes

"""

isConditionalJmp = False

isFirst = True

BaseRegister = None

OperRegister = None

IoctlCode = []

DispatchFunctionInstructions = []

DispatchFunctionInstructions = getFunctionInstructions()[::-1]

if DispatchFunctionInstructions == None:

Message("Cann't get the IoctlCodes")

return

for i in DispatchFunctionInstructions:

#Message("The instrucion of this function is %x\n" % i)

mnem = GetMnem(i)

if "jz" in mnem or "je" in mnem:

isConditionalJmp = True

continue



if "cmp" in mnem and isConditionalJmp and isFirst:

sisConditionalJmp = False

BaseRegister = GetOpnd(i,0)

IoctlCode.append(GetOperandValue(i,1))

isFirst = False

continue



if "cmp" in mnem and isConditionalJmp and not isFirst:

isConditionalJmp = False

OperRegister = GetOpnd(i,0)

if OperRegister == BaseRegister:

IoctlCode.append(GetOperandValue(i,1))





for i in IoctlCode:

Message("The ioctlcode of this driver is %x\n" % i)


[4.5]不足与缺陷

上面实现的自动获取io控制码的比较简单,有些情况没有考虑到,算是初级版。Switch反汇编的形式有很多种,上面只是考虑了cmp的形式。有兴趣的读者可以继续深入挖掘。上面的IDAPython脚本可以在这里(http://bbs.pediy.com/showthread.php?t=153965)获取到,里面还有对函数的解释。

[5] - 结语

本文主要对IDA脚本在漏洞挖掘领域应用进行简单的探讨,主要起到抛砖引玉的效果。希望对给位读者有所帮助。如果你有更好的思路,可以跟我探讨。

“思想有多远,就能走多远”。尽情发挥你的奇思妙想,在漏洞挖掘的海洋里尽情畅游吧!


References
[1]IDA权威指南
[2]Python灰帽子--黑客与逆向工程师的Python编程之道
[3]IDA Pro Documentation

沒有留言:

張貼留言