الصفحة الرئيسية>كود المصدر JSP>فئات أخرى
تنزيل

قام سائق Buddy بإعادة تحميل QuickStart

جدول المحتويات

  • قام سائق Buddy بإعادة تحميل QuickStart
    • جدول المحتويات
    • تثبيت
    • استخدام سريع
      • استخدام متقدم
    • حول رفيق السائق تم إعادة تحميله
      • العثور على DispatchDeviceControl
      • تصنيف هياكل WDM و WDF
      • العثور على رموز IOCTL وفك تشفيرها
      • وظائف الإبلاغ
      • العثور على devicename
      • إلقاء البلياردو
    • المحاذير والقيود المعروفة
    • الاعتمادات والاعتراف

تثبيت

انسخ المجلد المحموم من برنامج التشغيل DriverBuddyReloaded وملف البرنامج النصي DriverBuddyReloaded.py في مجلد IDA Plugins ، على سبيل المثال:

  • %APPDATA%Hex-RaysIDA Proplugins
  • C:Program FilesIDA Pro 7.6plugins
  • ~/.idapro/plugins/

إذا كنت تستخدم Python v. 3.x ، قم بتشغيل idapyswitch.exe binary (الموجود في مجلد Ida) من موجه أوامر admin.

ملاحظة: مطلوب IDA SDK> V.7.5 حتى يتم تشغيل هذا البرنامج النصي.

استخدام سريع

لاستخدام ميزة التحليل التلقائي:

  1. ابدأ IDA وقم بتحميل برنامج تشغيل Windows kernel.
  2. انتقل إلى Edit -> Plugins -> Driver Buddy Reloaded أو اضغط على CTRL+ALT+A لبدء التحليل التلقائي.
  3. تحقق من نافذة "الإخراج" لنتائج التحليل.
  4. A <DRIVER_NAME>.sys-YYYY-MM-DD-TIME_STAMP-DriverBuddyReloaded_autoanalysis.txt الذي يحتوي على نتائج التحليل ، سيتم كتابته ضمن دليل DB الخاص بـ IDA.

لفك تشفير IOCTL:

  1. ضع مؤشر الماوس على الخط يحتوي على رمز IOCTL المشتبه به.
  2. انقر بزر الماوس الأيمن واختيار Driver Buddy Reloaded -> Decode IOCTL ؛ بدلاً من ذلك ، اضغط على اختصار CTRL+ALT+D .

لفك تشفير جميع IOCTLs ضمن وظيفة:

  1. ضع مؤشر الماوس على أول تعليمات للوظيفة التي تعتقد أنها مرسل IOCTL ( DispatchDeviceControl ، DispatchInternalDeviceControl ، Possible_DispatchDeviceControl_# )
  2. انقر بزر الماوس الأيمن واختيار Driver Buddy Reloaded -> Decode ALL IOCTLs in Function ؛ بدلاً من ذلك ، اضغط على اختصار CTRL+ALT+F .
  3. a DriverName.sys-2021-12-10-TIME_STAMP-IOCTLs.txt / DriverName.sys-2021-12-10-TIME_STAMP-IOCTLs.txt_dumb.txt ، والتي تحتوي على جميع IOCTLs التي تم فك تشفيرها حتى تلك اللحظة ، سيتم كتابة DB في IDA.

استخدام متقدم

  • يحتوي دليل Beannerable_Function_Lists على قوائم بالوظائف الخطيرة/الإشكالية المحتملة ، و APIs Windows و Opcodes ؛ يتم توفير وصف موجز حول سبب إدراج وظيفة/واجهة برمجة تطبيقات معينة. يمكنك تحرير القائمة custom بما في ذلك وظائف برنامج التشغيل المحددة.

    ملاحظة : سوف تتطابق winapi_function_prefixes و ZwCommitComplete وما إلى ذلك) بينما ستنفيذ Zw و ZwCommitComplete وما إلى ذلك) بينما ستنفيذ ZwClose و ZwCommitComplete وما إلى ذلك) بينما تقوم winapi_functions فقط.

  • في find_opcodes.py ، سيمنع خيار find_opcode_data صديق برنامج التشغيل للعثور على الرموز المفردات في أقسام البيانات. سيقوم تحويله إلى True بطباعة شيء ما على هذا الخط: Found jnz short loc_15862 in sub_15820 at 0x00015852 عادةً ، عند الانتقال إلى العنوان الموضح وإعادة تحديد التحديد حيث سيعيد رمز OPCODE الذي تم تفتيشه إلى الوراء.

    احترس : تحويله إلى True ، سوف يولد المزيد من الإيجابيات الخاطئة!

حول رفيق السائق تم إعادة تحميله

Buddy Buddy Reloaled هو مكون إضافي Ida Pro Python يساعد على أتمتة بعض المهام الهندسية العكسية لبرامج تشغيل Windows Kernel. يحتوي على عدد من الميزات المفيدة ، مثل:

  • تحديد نوع السائق
  • تحديد موقع DispatchDeviceControl / DispatchInternalDeviceControl
  • ملء الهياكل المشتركة لسائقي WDF و WDM
    • محاولات لتحديد وتسمية الهياكل مثل IRP و IO_STACK_LOCATION
    • مكالمات التسمية إلى وظائف WDF التي عادة ما تكون غير مسموعة
  • العثور على رموز IOCTL وفك تشفيرها
  • وضع علامات على الإبلاغ عن إساءة الاستخدام
  • العثور على DeviceName المحتمل
  • إلقاء Pooltags

العثور على DispatchDeviceControl

يمكن للأداة تلقائيًا تحديد موقع روتين DispatchDeviceControl وتحديده. يتم استخدام هذه الوظيفة لتوجيه جميع رموز DeviceIoControl الواردة إلى وظيفة برنامج التشغيل المحددة المرتبطة بهذا الرمز. يؤدي تحديد هذه الوظيفة تلقائيًا إلى العثور على رموز DeviceIoControl صالحة لكل برنامج تشغيل أسرع بكثير. بالإضافة إلى ذلك ، عند التحقيق في نقاط الضعف المحتملة في برنامج التشغيل بسبب تعطل ، فإن معرفة موقع هذه الوظيفة يساعد على تضييق التركيز على استدعاء الوظيفة المحددة المرتبطة برمز DeviceIoControl .

عندما يكون التحليل ناجحًا ، سيتم إعادة تسمية بعض الغواصات على النحو التالي:

  • DriverEntry : الروتين الأصلي الذي يوفره برنامج التشغيل الأصلي والذي يسمى بعد تحميل برنامج التشغيل. وهي مسؤولة عن تهيئة السائق.
  • Real_Driver_Entry : عادة ما يتم نقل الوظيفة التي يتم تنفيذها من DriverEntry . عادة ما يتم تهيئة DeviceName .
  • DispatchDeviceControl / DispatchInternalDeviceControl : إذا كانت الأداة قادرة على استرداد الوظائف في بعض الإزاحة المحددة ، فسيتم إعادة تسمية الوظائف بالاسم المناسب.
  • Possible_DispatchDeviceControl_# : إذا لم تتمكن الأداة من استرداد DispatchDeviceControl أو DispatchInternalDeviceControl ، فإنها تستخدم بحثًا تجريبيًا ، بعد تدفق التنفيذ ، والتحقق من الحالات التي يتم فيها تحميل الوظيفة معروفة IO_STACK_LOCATION وعناوين IRP ؛ مما يشير إلى أن الوظيفة يمكن أن تكون DispatchDeviceControl. نظرًا لأنه يعتمد على الاستدلال ، فقد يعود أكثر من نتيجة واحدة ، وهو عرضة للإيجابيات الخاطئة.

تصنيف هياكل WDM و WDF

تتم مشاركة العديد من هياكل السائق بين جميع برامج تشغيل WDM / WDF . يمكن لهذه الأداة تحديد هذه الهياكل تلقائيًا ، مثل هياكل IO_STACK_LOCATION و IRP و DeviceObject ويمكن أن تساعد في توفير الوقت أثناء عملية الهندسة العكسية وتوفير سياق لمجالات السائق حيث تكون هذه الوظائف قيد الاستخدام.

العثور على رموز IOCTL وفك تشفيرها

أثناء عكس السائقين ، من الشائع أن تصادف رموز IOCTL كجزء من التحليل. هذه الرموز ، عند فك تشفيرها ، تكشف عن معلومات مفيدة وقد تجذب التركيز على أجزاء محددة من السائق حيث من المرجح أن توجد نقاط الضعف.

بالنقر بزر الماوس الأيمن على رمز IOCTL المحتمل ، يتم تقديم خيار قائمة السياق (بدلاً من ذلك باستخدام اختصار Ctrl+Alt+D عندما يكون المؤشر على الخط يحتوي على رمز IOCTL المشتبه به) ويمكن استخدامه لفك تشفير القيمة. سيؤدي ذلك إلى طباعة جدول مع جميع رموز IOCTL التي تم فك تشفيرها. من خلال النقر بزر الماوس الأيمن على رمز IOCTL فك التشفير ، في عرض التفكيك ، من الممكن وضع علامة عليه على أنه غير صالح ؛ هذا سوف يترك أي تعليق غير IOCTL سليمة.

إذا قمت بالنقر بزر الماوس الأيمن ، بدلاً من ذلك باستخدام اختصار Ctrl+Alt+F ، على التعليمات الأولى للوظيفة التي تعتقد أنها مرسل IOCTL ( DispatchDeviceControl ، DispatchInternalDeviceControl ، Possible_DispatchDeviceControl_# أن يكون هناك خيار ". هذا هو الاختراق بعض الشيء ولكن في معظم الأحيان يمكن أن تسرع الأمور.

  • a DriverName.sys-2021-12-10-TIME_STAMP-IOCTLs.txt / DriverName.sys-2021-12-10-TIME_STAMP-IOCTLs.txt_dumb.txt ، والتي تحتوي على جميع IOCTLs التي تم فك تشفيرها حتى تلك اللحظة ، سيتم كتابة DB في IDA.

وظائف الإبلاغ

يحمل تحميل Buddy Buddy قوائم بوظائف C/C ++ ، ورموز opcodes و APIs Windows (المحددة في دليل Beaturable_Function_Lists) والتي تكون معرضة بشكل شائع أو يمكن أن تسهل ظروف الفائض العازلة. يتم الإبلاغ عن جميع الحالات التي تم العثور عليها مرة أخرى أثناء التحليل التلقائي ويمكن أن تساعد أثناء البحث عن مسارات الكود المحتملة التي يسيطر عليها المستخدم للوصول إلى وظائف حساسة.

العثور على devicename

تحاول الأداة تلقائيًا العثور على مسارات الأجهزة المسجلة السائقين ( DeviceName ) ، إذا لم يكن من الممكن العثور على مسارات من خلال النظر إلى سلاسل Unicode داخل الثنائي ، يمكن للمحلل محاولة استخدام خيط Madiant يدويًا في محاولة للعثور على مسارات محظورة.

إلقاء البلياردو

أثناء التحليل التلقائي ، تقوم الأداة أيضًا بإلقاء Pooltags التي يستخدمها الثنائي بتنسيق يعمل مع pooltags.txt . يمكن بعد ذلك نسخ الإخراج في نهاية الملف وتم التقاطها لاحقًا بواسطة Windbg.

  • سيتم كتابة ملف DriverName.sys-2021-12-10-TIME_STAMP-pooltags.txt ، الذي يحتوي على جميع مجموعات البلياردو التي تم إلقاؤها ، تحت دليل DB الخاص بـ IDA.

المحاذير والقيود المعروفة

  • سيتم فك تشفير قيم IOCTL فقط> = 0x10000 تلقائيًا ، وبالتالي لمنع عدد كبير من الإيجابيات الخاطئة. العدد رقم 15
  • يعمل البحث التجريبي DispatchDeviceControl فقط لسائقي X64
  • الاختصارات غير متوافقة مع F-Secure's Win_driver_plugin
  • الاختصارات غير متوافقة مع FindCrypt-yara
  • في find_opcodes.py ، سيمنع خيار find_opcode_data صديق برنامج التشغيل للعثور على الرموز المفردات في أقسام البيانات. سيقوم تحويله إلى True بطباعة شيء ما على هذا الخط: Found jnz short loc_15862 in sub_15820 at 0x00015852 عادةً ، عند الانتقال إلى العنوان الموضح وإعادة تحديد التحديد حيث سيعيد رمز OPCODE الذي تم تفتيشه إلى الوراء. احترس : إنه عرضة للإيجابيات الخاطئة!

الاعتمادات والاعتراف

  • تم إنشاؤه في عام 2021 بواسطة Paolo Stagno الملقب Void_Sec:
    • جعلها متوافقة مع Python 3.x
    • جعلها متوافقة مع IDA 7.x
    • تحديث وظيفة C/C ++ وقائمة واجهات برمجة التطبيقات Windows
    • إصلاح الأخطاء المختلفة
    • تحسينات مختلفة
    • جزء متكامل من الوظائف يعرض في F-Secure's Win_driver_plugin
  • تم كتابة DriverBuddy في الأصل من قبل Braden Hollembaek و Adam Pond من NCC Group.
  • باستخدام وحدة فك ترميز IOCTL من Satoshi Tanda.
  • يعتمد بنية وظائف WDF على أعمال Red Plait وتم نقلها إلى Ida Python بواسطة Nicolas Guigo ، الذي تم تحديثه لاحقًا بواسطة Braden Hollembaek و Adam Pond.
  • باستخدام Sam Brown F-Secure Win_driver_plugin لاسترداد اسم الجهاز وعلامات البلياردو ، وتحديداً ألكساندر بيك فورك.
  • جاء الكود الأصلي لإضافة عناصر إلى قائمة النقر بزر الماوس الأيمن (وربما بعض المقتطفات العشوائية الأخرى) من "Herrcore".
  • تم تطويره باستخدام Pycharm لتطوير المصدر المفتوح بواسطة JetBrains
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل