Assembler im System

[kuchen]

Hi,

ich habe gerade folgendes Problem:
möchte gerne - am besten mit .net - iin
einem Windows-System die Opcodes,
die direkt ohne Zwischenschicht an
CPU und vlcht. auch GPU liegen,
abfangen und modifizieren.

Im Prinzip vermutlich so eine Art
Debugging wie SoftIce tut, in meinem
Programm dann direkt modifizierend
und an die jeweiligen Prozesse zurückschickend.

Wo setz' ich da am besten an?

kuchen.

[Shakademus]

In der WinAPI. Die bietet diverse Schnittstellen für Debugger.

[kuchen]

Ja nun, vlcht. hat der ein oder andere ein bissarl mehr Informationen.
Es geht mir darum, am Ende jedweden Opcode, der an die CPU und vlcht. GPU geht, abzufragen und evtl. zu modifizieren und zurück zu schicken, bevor und nachdem dieser ausgeführt wird!

Ich habe nicht viel Ahnung von der Thematik, aber es hat doch auch etwas damit zu tun, dass ich auf möglichst geringem Ring abfragen muss, um letztlich alle Opcodes abzufangen?

Hat da vlcht. jemand ein paar Beispiele oder Links dazu?

[Shakademus]

http://msdn.microsoft.com/en-us/libr...8VS.85%29.aspx

[cracki]

ich glaub was du willst ist eine eigene VM zu bauen... dazu fang nur jeden prozessstart ab, starte eine instanz deiner VM, und lese die originale binary.

[CryptoCrack]

Moment. Geht es darum, jede CPU-Instruktion abzufangen oder nur die, die von einem bestimmten Prozess ausgehen? Ersteres ist naemlich so gut wie unmoeglich (man bedenke das ganze Ring 0-/Kernel-Zeugs, Interrupts, die Instruktionen vom Hook-Code selbst), zweiteres ist machbar, aber recht kompliziert.

Die wohl beste und sicherste Moeglichkeit, ist - wie cracki bereits sagte - eine VM zu schreiben, die x86-Instruktionen verarbeiten kann; damit kannst du sicher sein, dass du keine Instruktion verpasst, ist aber (je nachdem, was die VM alles koennen soll/muss) auch nicht wirklich einfach umzusetzen. Andere Moeglichkeiten waeren die Debugging-API von Windows (siehe Shakademus), mit der man Breakpoints setzen bzw. durch den Zielprozess mit Singlesteps durchlaufen kann. Da lassen sich allerdings dann auch Instruktionen "vorbeimogeln", wenn du nicht auf Dinge wie selbstmodifizierenden Code, Multithreading, TLS-Callbacks etc. achtest. Eine dritte Moeglichkeit, bei der man (abgesehen von Speichermanipulationen) ueberhaupt nicht in den Zielprozess eingreifen muss, waeren z.B. EB FE-Breakpoints, wie sie von nait in obsidian [1] verwendet werden - damit hat man aber imk wesentlichen dieselben Probleme wie mit der Debugging-API - und eventuell ein paar mehr und ein paar weniger :>

Was du letztendlich verwendest, haengt von deinen genauen Anforderungen und dem Zeitaufwand ab, den du da reinstecken moechtest.

[1] obsidian

[kuchen]

Wie du schon sagst CryptoCrack, ich denke daran, JEDEN OpCode auch von Ring0 abzufangen. Ich möchte auch nicht unbedingt kompliziert Einzelschritte oder derlei, vielmehr eher Opcodes sammeln zu einem Code und im nachhinein den eventuell modifizierten Code an den Prozessor schicken, um dessen Ergebnis gezielt an die Ursprungsprozesse zurückzugeben - eine Art Engine.

Eigentlich alles automatisiert also, ohne dass ich mir selbst eine Pfeffer - müsste möglich sein meine ich mich informiert zu haben, mir fehlt bloß C++ oder WinAPI Skill sowie Beispielcode.

[nait]

Was meinst du mit "Opcodes sammeln zu einem Code"? Die Opcodes sind das was vom Prozessor direkt verarbeitet wird, da gibt es (normalerweise) keine Zwischeninstanz wie beim API-Hooking. Es sei denn du simulierst den Prozessor selbst, wie vorher schon mehrfach vorgeschlagen.

[alamar]

Wäre zumindest das Abfragen nicht über JTAG möglich, wenn man entsprechende HW hat?

[octogen]

Zitat:

Zitat von kuchen

Wie du schon sagst CryptoCrack, ich denke daran, JEDEN OpCode auch von Ring0 abzufangen. Ich möchte auch nicht unbedingt kompliziert Einzelschritte oder derlei, vielmehr eher Opcodes sammeln zu einem Code und im nachhinein den eventuell modifizierten Code an den Prozessor schicken, um dessen Ergebnis gezielt an die Ursprungsprozesse zurückzugeben - eine Art Engine.

Eigentlich alles automatisiert also, ohne dass ich mir selbst eine Pfeffer - müsste möglich sein meine ich mich informiert zu haben, mir fehlt bloß C++ oder WinAPI Skill sowie Beispielcode.

JEDEN OpCode abzufangen geht mit Software nicht, weil sich dazu der Debugger selbst abfangen müsste, das ist ein rekursives Paradoxon, und somit nicht lösbar.

Mit Hardware geht's, soviel ich weiß gibt es von Intel eine Entwicklerlösung zum hardwareunterstützten CPU-Debugging, damit kann man von einem zusätzlichen Computer aus den Prozessorzustand eines anderen Computers debuggen; kostet aber vermutlich ein Vermögen.