Пишем плагин base64decoder к HIEW

от Neo · 03.05.2016

Думаю, среди ревёрсеров мало кто не знает про такую замечательную программу, как hiew. Не буду перечислять все её возможности (а их полно), а сразу перейду к теме. Дело в том, что hiew чрезвычайно удобно использовать для выдёргивания shell кодов из эксплойтов. Зачастую, шел коды в эксплойтах хранятся в base64 закодированном виде. Не знаю, как вы, но я, чтобы конвертировать шелл код в бинарный вид, использовал notepad++. Это было неудобно, зато работало. Делалось это следующим образом: в HIEW выделялись base64 данные, затем сохранялись в файл. Далее файл открывался блокнотом, и, соответственно, конвертировался, затем сохранялся. Однажды, нужно было проанализировать подозрительные файлы, возможно, эксплойты, их было около семи штук. В этот момент образовался вопрос: а нельзя ли прямо из HIEW сохранять выделенные байты, конвертированные из base64 в нормальный вид? Конечно же можно! Нужно лишь скачать плагин. Только вот проблема, такого плагина я не нашёл. Тогда на помощь приходит HIEW SDK и Visual Studio. Sdk вы можете взять тут. Вам понадобится два файла: hem.h и HiewGate.c. Также тут есть и мануал, в котором вы можете почерпнуть дополнительную информацию.

Плагин, который мы будем писать, представляет из себя нечто иное, как динамическую библиотеку, с расширением .hem (Hiew External Module). Она будет подгружаться самим Hiew. Плагины должны находиться в установленном месте hiew\hem. Обязательно должны быть следующие функции: Hem_EntryPoint и Hem_Load. В Hem_Load передаётся структура HIEWINFO_TAG, содержащая всю информацию о плагине. В HIEWINFO_TAG описаны следующие вещи: в каком режиме должен быть доступен плагин (текстово1, шестнадцатеричный или режим дизассемблера), под какую версию написан плагин, какое расширение у файлов должно быть, чтобы плагин был активен, кто написал плагин, должны ли быть выделены байты. Вся эта информация описывается в данной структуре, которая должна быть заполнена и применена вызовом HiewGate_Set, в Hem_Load.

Прежде чем начнём, давайте рассмотрим работу некоторых функций, которые мы будем использовать из sdk.

HiewGate_GetMemory	Выделяет память, возвращает указатель на неё
HiewGate_FreeMemory	Освобождает память
HiewGate_GetData	Читает выделенные маркером байты, возвращает количество прочитанных байт
Hem_Load	Функция для инициализации плагина
Hem_Unload	Функция для выгрузки плагина
Hem_EntryPoint	Точка входа в плагин
HiewGate_SetErrorMsg	ВВывод сообщения об ошибке
HiewGate_FileRead	Чтение из файла
HiewGate_Window	Показывает окно с сообщением. Тут можно организовать что-то типа меню

Итак, приступим к кодингу. Создаём проект в студии, сразу настройте проект так, чтобы имя файла было с расширением hem, это для удобства. Также не забудьте в опциях C/C++/Code Generation/Runtime Library выставить значение Multi-threaded (/MT). Если этого не сделать, то при загрузке плагина на некоторых машинах, может вылазить ошибка 126.

При реализации идеи нужно помнить, что количество выделенных байт должно быть кратным 4.
Сам код плагина:

base64decoder.h

#include "SDK\hem.h"

#define VER_MAJOR               1
#define VER_MINOR               00
#define FILE_NAME_MAX		20

int HEM_API	
	Hem_Unload(void),
	Hem_EntryPoint(HEMCALL_TAG *hemCall);

HEMINFO_TAG	hemInfo =
{
	sizeof(HEMINFO_TAG),
	sizeof(int),
	0,							// reserved
	HEM_SDK_VERSION_MAJOR, HEM_SDK_VERSION_MINOR,
	VER_MAJOR,             
	VER_MINOR,
	HEM_FLAG_MARKEDBLOCK |					//active only when a block is marked
	HEM_FLAG_HEX |						//active in Hex mode
	HEM_FLAG_TEXT |						//active in Text mode
	HEM_FLAG_FILEMASK,					//active for files of any type, as well as for disks
	0,							// reserved
	Hem_EntryPoint,
	Hem_Unload,
	NULL,
	0,0,0,0,						// reserved
	"Base64Decoder",					// short name
	"Base64 Decoder",					// full name
	"*******************************************",
	"Base64 Decoder (c) Neo",				//description
	"*******************************************"
};
//////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////

#define LineDialogCount			2
#define MaxSimbolsInDialogLine		100

const HEM_BYTE *DIALOG[] =
{
	(HEM_BYTE*) "Yes",
	(HEM_BYTE*) "No"
};

#define LineDialogDoneCount		2
#define MaxSimbolsInDialogDoneLine	15

const HEM_BYTE *DialogDone[] =
{
	(HEM_BYTE*)"It`s Ok",
	(HEM_BYTE*)"All Done"
};


char *ResultFileName = NULL;
char *ResultFullFileName = NULL;
char *CurrentFullFileName = NULL;
int bOnHexLine = 0;			//чтобы ввод был по умолчанию был буквами,а не цифрами

base64decoder.cpp


/*
	Base64 Decoder v1 - a plagin for Hiew. This plugin takes 
	the selected bytes of the encoded string and decodes 
	them. The result will be saved to a file.
	Neo ©
*/
//#define DEBUG
#include <Windows.h>
#include <stdio.h>

#include "Shlwapi.h"
#pragma comment(lib, "Shlwapi.lib")

#include <Wincrypt.h>
#pragma comment (lib, "Crypt32.lib")

#include "base64decoder.h"

int HEM_EXPORT Hem_Load(HIEWINFO_TAG *hiewInfo)
{
	HiewGate_Set(hiewInfo);
	hiewInfo->hemInfo = &hemInfo;
	return	((hiewInfo->hiewVerMajor * 100 + hiewInfo->hiewVerMinor < 745) ? HEM_ERR_HIEW_VERSION_INVALID : HEM_OK);
}

int HEM_API Hem_Unload()
{
	#ifdef DEBUG
		OutputDebugStringA("base64decode Plagin Unload");
	#endif // DEBUG

	return(HEM_OK);
}

char *StripFileName(char *fileName)
{
	char *pos = strrchr(fileName, '\\') + 1;
	if (pos != NULL) *pos = '\0';
	return fileName;
}

/* 
	It displays a dialog box asking whether the user 
	want to overwrite the file if it exists.
	Returns - if FullFileName dont exists, or User
	wont it overwrite.
	Otherwise - False.
*/
BOOL OverwriteFileIfExistsDialog(char *FullFileName)
{
	if (PathFileExistsA(FullFileName)) {
		char *title = (char *)HiewGate_GetMemory(MAX_PATH * 2);
		ZeroMemory(title, MAX_PATH * 2);
		sprintf_s(title, MAX_PATH * 2, "File %s Allready Exists! OVERWRITE it?", FullFileName);
		int _case = HiewGate_Menu(
			(HEM_BYTE*)title,
			(HEM_BYTE**)&DIALOG,
			LineDialogCount,
			MaxSimbolsInDialogLine,
			2,				//Defoult - No
			NULL, NULL, NULL, NULL);
		HiewGate_FreeMemory((HEM_BYTE *)title);
		//1 - Yes
		//2 - No
		return (_case == 1) ? TRUE : FALSE;
	}
	return TRUE;
}

BOOL Base64_Decode(CHAR *pInput, size_t cbInput, CHAR **pOutput, size_t *pOutputLen)
{
	BOOL bRetVal = FALSE;
	DWORD nBufSize = 0;

	if (!pInput || !pOutput || !pOutputLen)
		return bRetVal;

	if (CryptStringToBinaryA(pInput, cbInput, CRYPT_STRING_BASE64, NULL, &nBufSize, NULL, NULL) && nBufSize > 0)
		if ((*pOutput = (char *)HiewGate_GetMemory(nBufSize + 1)) != NULL)
			if (CryptStringToBinaryA(pInput, cbInput, CRYPT_STRING_BASE64, (byte *)*pOutput, &nBufSize, NULL, NULL))
				bRetVal = TRUE;

	*pOutputLen = nBufSize;

	return(bRetVal);
}
BOOL WriteToFile(LPCSTR fileName, LPVOID buf, DWORD size)
{
	DWORD rw;
	BOOL result = false;
	HANDLE f = CreateFileA(fileName, GENERIC_WRITE, 0, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);

	#ifdef DEBUG
		if (f == INVALID_HANDLE_VALUE)
			OutputDebugStringA("INVALID_HANDLE_VALUE");
		else
			OutputDebugStringA("HANDLE good!");
	#endif // DEBUG


	if (f != INVALID_HANDLE_VALUE)
		if (WriteFile(f, buf, size, &rw, NULL))
			if (size == rw)
				result = true;
	CloseHandle(f);
	return result;
}

int HEM_API Hem_EntryPoint(HEMCALL_TAG *hemCall)
{
	HIEWGATE_GETDATA  hiewData;
	int result = -1;
	int  rc = HiewGate_GetData(&hiewData);

	#ifdef DEBUG
		OutputDebugStringA("base64decode Plagin Entry Point");
	#endif // DEBUG	

	if (rc == HEM_OK) 
	{
		HEM_QWORD  blockSize = hiewData.sizeMark;
		HEM_BYTE *pBlock = HiewGate_GetMemory(blockSize);
		ZeroMemory(pBlock, blockSize);

		if (!pBlock) 
			return HiewGate_SetErrorMsg((HEM_BYTE *)"GetMemory() error");
									
			ResultFileName = (char *)HiewGate_GetMemory(FILE_NAME_MAX);		//short file name with base64 decoded	date
			ZeroMemory(ResultFileName, FILE_NAME_MAX);

			if (HiewGate_GetStringDual((HEM_BYTE *)"Save To File", (HEM_BYTE *)ResultFileName, FILE_NAME_MAX, 0, &bOnHexLine) == HEM_INPUT_ESC)
			{
				HiewGate_FreeMemory((HEM_BYTE *)ResultFileName);
				return HEM_INPUT_ESC;
			}				
			
			ResultFullFileName = (char *)HiewGate_GetMemory(MAX_PATH);		//file name with base64 decoded	date
			ZeroMemory(ResultFullFileName, MAX_PATH);

			CurrentFullFileName = (char *)HiewGate_GetMemory(MAX_PATH);		//current file name,opened by hiew
			ZeroMemory(CurrentFullFileName, MAX_PATH);

			memcpy(CurrentFullFileName, hiewData.filename, strlen((char *)hiewData.filename));

			ResultFullFileName = StripFileName(CurrentFullFileName);
			lstrcatA(ResultFullFileName, (char *)ResultFileName);
			#ifdef DEBUG
						OutputDebugStringA(ResultFullFileName);
			#endif // DEBUG	

			if (OverwriteFileIfExistsDialog(ResultFileName))			//file not exists or need to overwrite
			{								
				HiewGate_MessageWaitOpen(NULL); //Show Processing....

				if (HiewGate_FileRead(hiewData.offsetMark1, blockSize, pBlock) != blockSize)
				{
					HiewGate_FreeMemory((HEM_BYTE *)ResultFileName);
					HiewGate_FreeMemory((HEM_BYTE *)CurrentFullFileName);
					HiewGate_FreeMemory((HEM_BYTE *)ResultFullFileName);
					HiewGate_FreeMemory(pBlock);
					#ifdef DEBUG
					OutputDebugStringA("Read Bad");
					#endif // DEBUG
					return HiewGate_SetErrorMsg((HEM_BYTE *)"Read Selected date error!");
				}					
				else
				{
					#ifdef DEBUG
					OutputDebugStringA("Read Good");
					#endif // DEBUG

					HEM_BYTE *dst = NULL;
					size_t converted = 0;
					BOOL Base64Status = Base64_Decode((char *)pBlock, blockSize, (char **)&dst, &converted);

					if (/*converted < blockSize && */Base64Status)
					{						
						if (WriteToFile(ResultFullFileName, dst, converted))
						{
							#ifdef DEBUG
							OutputDebugStringA("WriteGood!");
							#endif // DEBUG
							result = HEM_OK;
						}							
						else
						{
							#ifdef DEBUG
							OutputDebugStringA("WriteBad");
							#endif // DEBUG
							HiewGate_SetErrorMsg((HEM_BYTE *)"Can`t to WriteFile!");
						}							
					}
					else
					{
						#ifdef DEBUG
							OutputDebugStringA("Data can not be converted! May be you forget, that Bytes must be in range: [A..Z,a..z,+,=]");
						#endif // DEBUG
						result = -2;
					}
											
					HiewGate_FreeMemory(dst);
					HiewGate_FreeMemory((HEM_BYTE *)ResultFileName);
					HiewGate_FreeMemory((HEM_BYTE *)CurrentFullFileName);
					HiewGate_FreeMemory((HEM_BYTE *)ResultFullFileName);
					HiewGate_FreeMemory(pBlock);
				}
				HiewGate_MessageWaitClose();
			}
			if (result == HEM_OK)
				HiewGate_Window((HEM_BYTE*)"base64 Decoder", (HEM_BYTE**)&DialogDone, LineDialogDoneCount, MaxSimbolsInDialogDoneLine, NULL, NULL);
			else
			if (result == -2)
				HiewGate_SetErrorMsg((HEM_BYTE *)"Data can not be converted! May be you forget, that Bytes must be in range: [A..Z,a..z,+,=] and number of bytes should be divisible 4");
			else
				HiewGate_SetErrorMsg((HEM_BYTE *)"Unknown Error! I am sorry.");
			return result;
	}
}

Результат работы плагина:

: закодированный в base64 данные

: Выделяем байты

: Выбираем base64decoder плагин

: Созраняем расшифрованный данные

: Готово!

Исходники и сам плагин вы можете взять тут: base64decoder.

If you found an error, highlight it and press Shift + Enter or click here to inform us.

Метки: base64 hiew plagins

Вам понравится

Здесь вы можете скачать темы, фоны и шаблоны презентаций, документов word, диаграмм и сертификатов.

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Пишем плагин base64decoder к HIEW

Вам понравится

Добавить комментарий Отменить ответ

Поиск

Опции

Malware Traffic

Пишем плагин base64decoder к HIEW

base64decoder.h

base64decoder.cpp

Вам понравится

Пишем Ida Плагин дампа памяти — Ida Dump

Буткит своими руками — Часть 3. Эскалация привилегий

Шесть способов добавления программ в автозапуск через модификацию реестра

Добавить комментарий Отменить ответ

Поиск

Опции

Облако тегов

Malware Traffic