01-Introducción A La Programación de Virus en ASM
01-Introducción A La Programación de Virus en ASM
01-Introducción A La Programación de Virus en ASM
captulo 1
Bueno, ac empezamos. La idea es armar una introduccin a la programacin de virus en ASM para Windows. Para desarrollar esto vamos a ir armando paso a paso un virus real para ir viendo las partes principales que lo componen y a la vez vamos a tocar temas fundamentales en la creacin de estos especimenes como son la administracin de memoria, el manejo estructurado de excepciones (SEH), formatos de los archivo portables ejecutables (PE), y un largo etc. Si todo va bien, cuando terminemos vamos a tener desarrollado un virus funcional que luego servir de punto de partida para que puedan realizar sus propias creaciones, de todas formas el tema principal es que se entienda cada parte del mismo en profundidad, no solamente la mecnica, sino para que se realiza y por que se hace de esa forma. Creo que lo esencial es comprender el funcionamiento interno de un virus, ya que si lo que queremos es obtener un cdigo fuente lo podemos buscar en Internet y listo. Tengo que aclarar algo, dentro de este curso vamos a ver cosas desde cero pero algunas no las vamos a poder tratar con demasiada profundidad ya que si no se hara demasiado extenso. Pero voy a ir dejando referencias para que puedan profundizar cada tema visto. Bueno, vamos a la accin. Todas las herramientas que vamos a utilizar son de distribucin gratuita. Vamos a trabajar con algunas herramientas bsicas las cuales les voy a contar como configurarlas para que puedan tener todo listo para que arranquemos, y ms adelante veremos otras complementarias segn las vayamos necesitando. MASM El assembler que vamos a utilizar es Microsoft Macro Assembler (MASM), el cual es un assembler de alto nivel creado por Microsoft, el cual se puede conseguir en forma gratuita desde la direccin http://www.masm32.com/. La eleccin de este lenguaje es por que hay mucha informacin del mismo (como los excelentes tutes de Iczelion) y adems se lleva muy bien con la otra herramienta que vamos a utilizar (RadASM). De todas formas todo lo que vamos a ver es muy fcil portarlo a otro assembler como TASM, NASM, etc. La instalacin es muy sencilla, bajamos el instalador de la pgina que les mencionaba mas arriba, y luego lo descomprimimos. Se extrae un nico archivo llamado install.exe, el cual ejecutamos y nos aparece la siguiente pantalla:
pg 1
captulo 1
Seleccionamos el disco donde lo vamos a instalar y hacemos clic en Start. Luego nos pide que confirmemos la instalacin y nos avisa que no debe ejecutarse en background o con baja prioridad ya que necesita mucho procesador para compilar las libreras necesarias. Le damos aceptar y nos sale un mensaje para que se proceda a instalar el MASM:
Le damos a Extract y comienza a descomprimirse en el disco rgido. Luego aparecer una ventana DOS para que confirmemos la compilacin de unas libreras que necesita. Nos va a pedir varias confirmaciones hasta que muestra que la instalacin se realiz con xito:
OllyDBG Para quien no lo conoce, el OllyDBG es un excelente debugger para programas en Windows de 32 bits. Este programa trabaja en Ring 3, que para empezar con un poco de teora les comento de que se trata. Los procesadores X86 de Intel y compatibles tienen 4 niveles de privilegio: Ring Ring Ring Ring 0: mayor privilegio (nivel kernel), sobre este se ejecuta el sistema operativo 1 2 3: menor privilegio (nivel usuario)
Win32 solamente soporta ring0 y ring3. En ring3 no tenemos acceso directo a los puertos, ni a zonas de memoria especficas, ni podemos controlar cualquier proceso, etc. De todas formas nosotros nos vamos a basar en ring3, ya que es lo mas recomendable si queremos tener una mayor compatibilidad con los sistemas operativos. Los virus que logran correr sobre ring0 se basan en ciertos bugs de los SO (sistemas operativos), pero esto los limita para nuevas versiones del mismo o a parches de seguridad que corrijan dicho error.
pg 2
captulo 1
Veamos un poco mas de esto. Cuando nosotros estamos en ring3 y queremos acceder al disco rgido, llamamos a una API (que es una funcin que nos provee el SO, ya veremos mas detalladamente de que va esto). Esa API se ejecuta dentro del kernel, el cual entra en modo privilegiado, ejecuta el acceso al medio fsico y luego vuelve al nivel usuario para devolverle el control al programa que lo solicit. De esta forma el SO nos aisla de ring 0. Bueno, volvamos al OllyDBG. Se puede bajar desde la direccin http://www.ollydbg.de/. Una vez descargado descomprmanlo en una carpeta, por defecto yo lo voy a poner en C:\OllyDBG. Este programa tiene varios plugins, los cuales lo que hacen es agregarle funcionalidades al mismo para hacernos las cosas mas fciles. Si buscan en Internet van a encontrar miles, de todas formas de momento lo vamos a dejar sin nada y luego vamos a ir agregndole algunos a medida que vayamos necesitndolos. Para configurarlo entramos en el programa, el cual nos muestra un mensaje que nos indica que la DLL que esta en la carpeta de OLLYDBG es mas antigua que la de sistema, si apretamos No va a dejar la del sistema. Elegimos esa opcin y ya estamos en Olly.
Para ver las distintas partes del programa abramos cualquier ejecutable, incluso puede ser el mismo Olly. Para esto vamos a File -> Open y seleccionamos el archivo a abrir. Nos mostrar una pantalla similar a la siguiente, donde veremos las siguientes partes:
pg 3
captulo 1
Para darle mas claridad al cdigo y as poder entenderlo mejor vamos a resaltar los saltos (jmp) y las llamadas a subrutinas (call). Para eso presionamos el clic derecho del mouse sobre la ventana de desensamblado y seleccionamos Appearance -> Highlighting -> Jumpsncalls:
Ahora nos va a mostrar el cdigo en forma mas clara, resaltando los saltos con distintos colores:
Los call y ret los pone en negro con fondo azul. Los saltos incondicionales (JMP) se ven en negro sobre amarillo y los saltos condicionales (JE, JB, JNB, JL, etc.) se ven en rojo sobre amarillo. Ms adelante vamos a ver de qu se trata esto de los saltos y los call. Vamos a configurar algo ms para ver ms claramente los saltos. Para esto hay que ir a Options -> Debugging options, elegimos la solapa CPU y tildamos Show jump path, Show grayed path if jump is not taken y Show jumps to selected command.
pg 4
captulo 1
Ahora, cuando estemos parados sobre un salto nos va a mostrar con una flecha hacia donde est dirigido, y si el mismo es condicional lo va a mostrar en distintos colores segn si va a ejecutar el salto o no. Sobre la parte superior hay una barra de herramientas, las cuales vamos a ver rpidamente:
L: log data, muestra un detalle de lo que va haciendo el Olly (cuando arranca el programa, cuando genera un error, etc.) E: executable modules, muestra todos los mdulos que utiliza el programa debuggeado, el propio exe, las libreras que carga, etc. M: memory map, como su nombre lo indica nos muestra un mapa de la memoria donde est nuestro programa, las dll que utiliza, etc. T: threads, nos muestra los hilos de ejecucin que utiliza nuestro proceso (esto lo vamos a ver luego con mas detalle) W: windows, nos muestra las ventanas que tiene abiertas el programa H: handles, son los manejadores que utiliza nuestro programa (tambin lo vamos a ver bien mas adelante) C: cpu, la pantalla principal del Olly /: patches, muestra los parches que se aplicaron al programa K: call stack of main thread, muestra los distintos calls a los que vamos entrando B: breakpoints, nos muestra los distintos breakpoints que hemos puesto en nuestro programa (lo que hacen es interrumpir la ejecucin y darle el control al debugger) R: references, nos muestra las referencias cuando realizamos alguna bsqueda : run trace, nos muestra el resultado de un traceo, esto es cuando elegimos la opcin de que guarde todo lo que va ejecutando el Olly S: source, muestra el cdigo fuente, pero solo est disponible si el ejecutable contiene informacin de debuggin en formato Borland Por ahora no vamos a ver nada mas de Olly, si ms adelante a medida que lo vayamos necesitando.
RadASM El RadASM es un IDE (entorno integrado de desarrollo) que facilita la programacin ya que integra varias herramientas que nos van a ayudar a la hora de programar (compilador, debugger, ayudas, etc.).
pg 5
captulo 1
Este IDE sirve para varios lenguajes pero lo vamos a instalar y adaptar a MASM. El sitio para descargarlo es: http://www.radasm.com/. Desde ac vamos a descargar varios archivos que nos van a servir para la instalacin y la configuracin del RadASM: . . . . RadASM IDE pack RadASM Assembly programming RadASM language pack Win32 help file
Lo primero que hay que hacer es descomprimir el archivo RadASM.zip dentro del disco C: en una carpeta que se llame RadASM (si bien se puede instalar en cualquier lugar -al igual que MASM y el OllyDBG- yo voy a mostrar las opciones por defecto). Una vez que tenemos los archivos descomprimidos vamos a instalar el paquete de idiomas para poder ponerlo en espaol. Para esto debemos descomprimir el archivo RadLNG.zip dentro de la carpeta C:\RadASM de tal forma que queden los archivos en C:\RadASM\Language. Luego descomprimimos el archivo Assembly.zip dentro de C:\RadASM\ Assembly. Como lo que a nosotros nos interesa es MASM lo que vamos a hacer es pasar el archivo masm.ini y toda la carpeta Masm al directorio C:\RadASM. Por ltimo extraemos el archivo win32.zip en el directorio C:\RadASM. Despus de todo esto debe quedar algo as:
Ahora vamos a configurar el IDE. Ingresamos al programa RadASM.exe y vamos a la opcin Option -> Language:
Elegimos la opcin Espaol y le damos OK. Ahora veremos todas las opciones en espaol. Mucho mejor. Ahora vamos a configurar el MASM. Para esto vamos a Opciones -> Programming Languages. Por defecto nos muestra html, presionamos el botn Delete y lo eliminamos. Ahora hacemos clic sobre el botn que tiene los tres puntitos y nos aparece un cuadro de dilogo donde nos pide el lenguaje a configurar. Seleccionamos masm.ini y le damos Abrir.
pg 6
captulo 1
Le damos OK y ya tenemos configurado el MASM dentro de RadASM. Luego de esto cerramos y volvemos a abrir el RadASM para que nos tome los cambios. Ahora tenemos que decirle al IDE donde encontrar los programas que vamos a utilizar. Para esto vamos a Opciones -> Fijar Rutas. Si instalamos los programas en las rutas por defecto no vamos a tener que modificar nada, sino le decimos donde encontrar cada programa.
Por ahora esto es todo, luego utilizaremos otras herramientas como editores PE, editores hexadecimales y dems, pero las vamos a ir viendo a medida que las vayamos necesitando. Estas que vimos son las fundamentales y sera bueno para el que no tiene experiencia en las mismas que practique mucho para poder sacarles provecho.
pg 7
captulo 1
Ac voy a ir poniendo los documentos o links que me sirvieron en cada captulo o que estn relacionados con los temas tratados en el mismo para que puedan consultarlos e ir ampliando lo visto.
. Instalacin del MASM32 Configuracin del RadASM como IDE de YuLSoft . Introduccin al cracking con OllyDBG desde cero de Ricardo Narvaja (parte 1) . Programacin con MASM+RADASM de Alan Moreno y RedH@wk (captulo 1) . Grupo MASM32-RadASM (http://groups.google.com.ar/group/MASM32-RadASM)
Bueno, eso es todo para esta primera entrega, nos vemos en la prxima.
pg 8