Ollydbg plugins

На сайте openrce.com размещено множество плагинов к ollydbg. Я не собираюсь рассказывать обо всех, только о наиболее важных и часто используемых плагинах Ollydbg при написании эксплойтов, в частности OllySEH.

Этот плагин сканирует память на предмет загруженных модулей и проверяя были ли они скомпилированы /safeseh. Т.е. вы можете использовать этот плагин только когда ollydbg присоединен к этому процессу. Плагин поможет вам найти место в памяти, где находятся надежные/рабочие обратные адреса, просматривая скомпилированные модули (и что важнее - не скомпилированные) with /safeseh.

Предполагается, что вы нашли SEH основанный на уязвимости в BlazeDVD5, и вам необходимо найти надежный “pop pop ret”, для того чтобы найти все не скомпилированные with /safeseh модули используйте ollyseh, и после поищите pop pop ret инструкции в памяти:

Список действующих модулей: (E)

Список safeseh модулей:

Поищите что-нибудь с пометкой “No SEH” или (что лучше) “/SafeSEH OFF”, чтобы найти место в памяти, запрашивающее pop pop ret инструкцию.

Давайте попробуем: c:\program files\Blazevideo\BlazeDVD 5 Professional\MediaPlayerCtrl.dll

Вы можете использовать findjmp, чтобы найти pop pop ret инструкции, или пойти по более сложному пути – поискав инструкции в dll, с помощью ollydbg:

Возвращаемся к выполняемым модулям, находим dll и кликаем дважды по нему:

Кликаем правой кнопкой мыши и выбираем “Search for” – “Sequence of commands”.

Скажем, вы хотите найти pop eax, pop <something>, ret, для этого вы делаете поиск:

(попробуйте все комбинации с различными вариациями регистров, до тех пор пока что-нибудь не найдете). Конечно, findjmp.exe будет работать быстрее, так как вы только изменили первый регистр pop pop ret последовательности (и регистр второго порядка будет располагаться findjmp автоматичеки). Будет быстро обнаружено, что у dll нет никаких pop pop ret комбинаций и что нужно найти другую dll для использования.

Более простой путь: этот плагин может сэкономить вам кучу времени при написании SEH-эксплойтов, если вы найдете надежный pop pop ret-адрес быстрее, чем просто выбирая любой dll и находя адреса используя выбывание.