Hacking mit Python - Fehlersuche, Programmanalyse, Reverse Engineering

Vorwort

Danksagungen

Inhaltsverzeichnis

Einführung

1 Ihre Entwicklungsumgebung einrichten

1.1 Anforderungen an das Betriebssystem

1.2 Python 2.5 herunterladen und installieren

1.2.1 Python unter Windows installieren

1.2.2 Python unter Linux installieren

1.3 Einrichten von Eclipse und PyDev

1.3.1 Des Hackers bester Freund: ctypes

1.3.2 Dynamische Libraries nutzen

1.3.3 C-Datentypen konstruieren

1.3.4 Parameter per Referenz übergeben

1.3.5 Strukturen und Unions definieren

2 Debugger und Debugger-Design

2.1 Universal-CPU-Register

2.2 Der Stack

2.3 Debug-Events

2.4 Breakpunkte

2.4.1 Software-Breakpunkte

2.4.2 Hardware-Breakpunkte

2.4.3 Speicher-Breakpunkte

3 Entwicklung eines Windows-Debuggers

3.1 Prozess, wo bist Du?

3.2 Den Zustand der CPU-Register abrufen

3.2.1 Threads aufspüren

3.2.2 Alles zusammenfügen

3.3 Debug-Event-Handler implementieren

3.4 Der machtvolle Breakpunkt

3.4.1 Software-Breakpunkte

3.4.2 Hardware-Breakpunkte

3.4.3 Speicher-Breakpunkte

3.5 Fazit

4 PyDbg - ein reiner Python-Debugger für Windows

4.1 Breakpunkt-Handler erweitern

4.2 Handler für Zugriffsverletzungen

4.3 Prozess-Schnappschüsse

4.3.1 Prozess-Schnappschüsse erstellen

4.3.2 Alles zusammenfügen

5 Immunity Debugger - Das Beste beider Welten

5.1 Den Immunity Debugger installieren

5.2 Immunity Debugger - kurze Einführung

5.2.1 PyCommands

5.2.2 PyHooks

5.3 Entwicklung von Exploits

5.3.1 Exploit-freundliche Instruktionen finden

5.3.2 »Böse« Zeichen filtern

5.3.3 DEP unter Windows umgehen

5.4 Anti-Debugging-Routinen in Malware umgehen

5.4.1 IsDebuggerPresent

5.4.2 Prozessiteration unterbinden

6 Hooking

6.1 Soft Hooking mit PyDbg

6.2 Hard Hooking mit dem Immunity Debugger

7 DLL- und Code-Injection

7.1 Erzeugung entfernter Threads

7.1.1 DLL-Injection

7.1.2 Code-Injection

7.2 Zum Übeltäter werden

7.2.1 Dateien verstecken

7.2.2 Eine Hintertür codieren

7.2.3 Kompilieren mit py2exe

8 Fuzzing

8.1 Fehlerklassen

8.1.1 Pufferüberläufe

8.1.2 Integerüberläufe

8.1.3 Formatstring-Angriffe

8.2 Datei-Fuzzer

8.3 Weitere Überlegungen

8.3.1 Codedeckungsgrad (Code Coverage)

8.3.2 Automatisierte statische Analyse

9 Sulley

9.1 Sulley installieren

9.2 Sulley-Primitive

9.2.1 Strings

9.2.2 Trennsymbole

9.2.3 Statische und zufällige Primitive

9.2.4 Binäre Daten

9.2.5 Integerwerte

9.2.6 Blöcke und Gruppen

9.3 WarFTPD knacken mit Sulley

9.3.1 FTP - kurze Einführung

9.3.2 Das FTP-Protokollgerüst erstellen

9.3.3 Sulley-Sessions

9.3.4 Netzwerk- und Prozessüberwachung

9.3.5 Fuzzing und das Sulley-Webinterface

10 Fuzzing von Windows-Treibern

10.1 Treiberkommunikation

10.2 Treiber-Fuzzing mit dem Immunity Debugger

10.3 Driverlib - das statische Analysetool für Treiber

10.3.1 Gerätenamen aufspüren

10.3.2 Die IOCTL-Dispatch-Routine aufspüren

10.3.3 Unterstützte IOCTL-Codes aufspüren

10.4 Einen Treiber-Fuzzer entwickeln

11 IDAPython - Scripting für IDA Pro

11.1 IDAPython installieren

11.2 IDAPython-Funktionen

11.2.1 Utility-Funktionen

11.2.2 Segmente

11.2.3 Funktionen

11.2.4 Cross-Referenzen

11.2.5 Debugger-Hooks

11.3 Beispielskripten

11.3.1 Aufspüren von Cross-Referenzen auf gefährliche Funktionen

11.3.2 Codeabdeckung von Funktionen

11.3.3 Stackgröße berechnen

12 PyEmu - der skriptfähige Emulator

12.1 PyEmu installieren

12.2 PyEmu-Übersicht

12.2.1 PyCPU

12.2.2 PyMemory

12.2.3 PyEmu

12.2.4 Ausführung

12.2.5 Speicher- und Register-Modifier

12.2.6 Handler

12.3 IDAPyEmu

12.3.1 Funktionen emulieren

12.3.2 PEPyEmu

12.3.3 Packer für Executables

12.3.4 UPX-Packer

12.3.5 UPX mit PEPyEmu entpacken

Index