Extended Length Disassembler Engine x64 asm

03/25/2012 23:10 link#1

Hi,
wie schon in meinem imba Blog ([Only registered and activated users can see links. Click Here To Register...]) steht, habe ich vor ein, zwei Monaten mein AutoIt Tool nach x64 portiert und dabei, um es mir einfach zu machen, einen IAT Hook benutzt, der allerdings nicht bei gepackten Targets funktioniert.
Deswegen wollte ich mich mal dransetzen und meine eigene Hook Funktion schreiben, die wie die im Blogpost angegebenen Hooking Libraries RIP-relativen Code fixt.
Daf�r muss man aber logischerweise die Instruktionen, die man sichern und dann fixen will, erstmal analysieren/auseinandernehmen, um zu sehen, ob sie �berhaupt RIP-relativ sind. Au�erdem ben�tigt man die Gr��en der Instruktionen, damit beim Sichern der alten Bytes am Funktionseinstieg, der zu hooken ist, Befehle nicht auseinandergerissen werden.

Da ich keine 64bit Length Disassembler Engine (au�er der LDE64 von Beatrix, die mir mit �ber 12.000 Bytes allerdings zu gro� ist und zudem ausschlie�lich die L�nge einer Instruktion zur�ckgibt) gefunden habe, die ich mit FASMW benutzen k�nnte, habe ich mir eine eigene geschrieben und sie un[F]ancy [D]isassembler [E]ngine genannt :)

Unterst�tzt werden General-Purpose Instruktionen, FPU, MMX, 3DNow!, SSE-SSE4.2, AVX, VMX und SMX.

Ausf�hrliche ReadMe.txt und .obj- und Headerdatei f�r C++ liegen bei.

* fde64 ist in x64 asm (fde64.obj ist eine x64-coff Datei) und f�r x64 Instruktionen geschrieben.
* fde32 in x86 asm und f�r x86 Instruktionen.

03/25/2012 23:29 MrSm!th#2

Sch�ne Arbeit!

Hab mir selbst mal etwas �hnliches gemacht, aber auch nur f�r die L�nge :-/
Gibts so viele RIP-relative Instruktionen, dass man daf�r eine ganze Disasm Lib braucht? Reicht nicht auch der Abgleich mit ein paar Opcodes?

03/25/2012 23:48 link#3

An Instruktionen mit positions-abh�ngigen Immediates gibt es eigentlich nur jcc imm8/32, loop/loope/loopnz imm8, call imm32 und jmp imm8/32.

Dazu kommt unter x64 allerdings noch, dass die Disp32-Adressierung auch RIP-relativ ist. Hei�t dass jede Instruktion, die mit einem ModR/M-Byte kodiert wird, ein positions-abh�ngiges Displacement haben k�nnte.

Und da eine solche Instruktion dann auch noch alle m�glichen Pr�fixe haben k�nnte, br�uchte man mind. eine halbe Disassembler-Engine, um auch wirklich alle RIP-relativen Befehle korrekt ausfiltern zu k�nnen.

PS: wollte gerade posten und da kommt "Ung�ltiges Thema"
weil du das gestickied hast, hehe thx :P

Edit: Werde sp�ter daraus vllt. eine obj- und eine Headerdatei machen, sodass man das in C/C++ benutzen k�nnte.
Wobei das jetzt auch nicht so von Interesse ist, da es f�r C/C++ ja mehrere gute Disassembler-Engines gibt wie z.B. Hacker's Disassembler Engine. Diese unterst�tzt zwar keine 3-Byte Opcodes und keine AVX Instructions, daf�r pr�ft sie nicht nur, ob eine Instruktion ein Lock-Pr�fix haben darf, sondern auch noch, ob sie einen Memory-Operanden haben darf bzw. muss.

03/26/2012 00:00 MrSm!th#4

Die Frage ist, ob sowas f�r normales Hooking notwendig ist ;O
Beim Hooking hat man ja ziemlich selten so exotische Opcodes zu sichern, zumal man meistens am Anfang einer Funktion hookt.

03/26/2012 01:17 link#5

Jo, SSE4 und AVX Instruktionen wird man beim Hooken wohl seltener antreffen :P
Dass man aber irgendeiner Instruktion mit einem RIP-relativen Displacement begegnet wie z.B. lea, mov, add etc. die dann auch mal ein 66h- oder ein 67h-Pr�fix hat, ist schon wahrscheinlicher. Deswegen wollte ich dann auch einen sauberen Ansatz mit einer funktionsf�higen Disassembler-Engine haben.
Und dass HDE64 keine 3-Byte Opcodes und AVX Instruktionen implementiert hat, wird f�r irgendwelche API Hooks auch nicht relevant sein, eine Disassembler Engine k�nnte ja aber auch noch andere Zwecke haben, f�r die es dann schon Sinn ergibt und da ich mir jetzt halt selber eine geschrieben habe, um sie mit FASM verwenden zu k�nnen, w�re es dann ja auch unsinnig, neuere Instruktionen nicht zu implementieren :P

03/26/2012 12:38 MrSm!th#6

Wie hast du eigentlich die Informationen erarbeitet? Docs von Intel&Co?

Ich hab mich damals ne Nacht hingesetzt und alle Opcodes von 0-FF mit allen Pr�fixen und dem Byte, dass eine RIP-Abh�ngigkeit angibt, in Olly ausprobiert :D

03/26/2012 16:55 link#7

Ist von Scratch mit der Instruction Set Reference von Intel geschrieben.
OllyDbg (benutze 1.10) ist ja schon was �lter und unterst�tzt weder REX- (ist ja auch ein x86 Debugger)/VEX-Pr�fixe, noch SSE2+.
Eine Length Disassembler Engine ist aber auch nicht kompliziert zu schreiben, deswegen reicht es, sich die Intel Manuals durchzugucken.

03/27/2012 01:09 MrSm!th#8

Jo, in ein paar Jahren wird meine Hook Engine elendig versagen und ich werde sie nichtmal warten k�nnen, weil die Op Tables h�sslich sind :S

04/05/2012 19:42 Che#9

Wow, gute Arbeit!
Endlich hier mal wieder was wirklich gutes, weiter so!

12/01/2012 13:39 link#10

Hab's mal geupdated und dabei relativ viele Bugs gefixed, wie z.B.:

* Instruktionen mit vielen Pr�fixen oder falschen/mehrfachen REX-Pr�fixen werden jetzt richtig geparst.
* Mehrere fehlende Opcodes wie 3DNow!, VMX und AVX-Opcodes, die nur mit einem VEX-Pr�fix kodiert werden k�nnen, wurden hinzugef�gt.
* Und andere fehlerhafte Sachen (s. ReadMe.txt).

Au�erdem hab ich die Gr��e von 1650 auf 1337 Bytes verringert und eine x86-Variante erstellt :)

PS: Source liegt jetzt bei.

08/07/2013 01:01 Saedelaere*#11

Hatte bisher die Hacker Disassembler Engine verwendet, aber werde aufgrund der geringeren Gr��e jetzt wohl auf FDE umsteigen, sofern alle Tests gr�nes Licht geben.

Im Anhang mal noch die Header Dateien f�r Delphi, falls sie jemand braucht.

Ein Frage noch:
HDE hat in seinem Struct neben Imm und Disp zus�tzlich noch ein Rel Feld. Bei einem kurzen Test mit einem relativen Jump habe ich gesehen, dass die Sprungl�nge bei dir im Imm Feld kodiert wird. Habe ich das soweit korrekt beobachtet? Und was hat es mit dem Imm2 Feld auf sich?

08/07/2013 09:20 link#12

Jap, Jumps und Calls haben die Flags F_RELATIVE und F_IMM8/32 gesetzt und das Offset in imm8/imm32.

imm8_2 und imm16_2 sind nur relevant f�r call/jmp ptr16:32 und enter imm16, imm8, steht auch in der ReadMe :P

W�r nett, wenn du mir mitteilst, ob deine Tests alle gr�nes Licht geben :)

PS: verwendet Delphi nicht OMF? die .obj-Dateien im Archiv sind in COFF, m�sste man also konvertieren bzw. mit den .bin-Dateien neu kompilieren (oder die Opcodes als Array einbinden), oder nicht?

08/07/2013 17:21 Saedelaere*#13

Danke dir f�r deine Antwort :)

Quote:

Originally Posted by link

W�r nett, wenn du mir mitteilst, ob deine Tests alle gr�nes Licht geben :)

Mache ich! Bisher sieht aber schonmal alles gut aus.

Quote:

Originally Posted by link

PS: verwendet Delphi nicht OMF? die .obj-Dateien im Archiv sind in COFF, m�sste man also konvertieren bzw. mit den .bin-Dateien neu kompilieren (oder die Opcodes als Array einbinden), oder nicht?

Stimmt, die alten Delphi Versionen konnten mit dem COFF Format noch nichts anfangen. Das wurde aber in einer der letzten Updates nachger�stet. Unter Delphi XE4 funktioniert es wunderbar ohne Konvertierung der .obj Dateien.

04/02/2014 14:16 Ende!#14

Wie sieht's denn eigentlich lizenzm��ig aus? vote4 MIT :D