關於我

簡介 Bio

馬聖豪(ShengHao Ma, aka aaaddress1)曾任 DEFCON, BlackHat、VXCON、HITCON、SITCON、CYBERSEC 等各會議講者,並於 BSidesLV、ICNC、MC2015、全國資安會議 等國內外會議論文投稿獲接受。專研於 Windows 逆向工程分析超過十年經驗,熱愛 C/C++、Intel x86、編譯器與作業系統原理實務。

Sheng-Hao Ma (aaaddress1) is a core member of CHROOT Security Group and TDOHacker security community in Taiwan. He has over 10-year experience in reverse engineering, machine language, and Intel 8086. He experts in Windows vulnerability, and Reverse Engineering.

Moreover, Sheng-Hao Ma was also a speaker at Black Hat, DEFCON USA, VXCON, HITCON (Hackers In Taiwan Conference), SITCON (Students In Taiwan Conference) and CYBERSEC.

聯繫方式 Contact 

經歷 Outlines

  1. CHROOT 資安社群成員
  2. 工業技術研究院、資訊工業策進會 實習生
  3. iThome CYBERSEC 2020: 唉唷,你的簽章根本沒在驗啦。
  4. SITCON 2020: Playing Win32 Like a K!NG ;)
  5. HITCON CMT 2019: Duplicate Paths Attack: Get Elevated Privilege from Forged Identities
  6. IEEE S&P (Co-located with Oakland) 2019: Demo: An Emulator-based Active Protection System against IoT Malware
  7. DEFCON 26: Playing Malware Injection with Exploit thoughts
  8. Black Hat 2018 Speaker: PUZZCODE, MAKE BACKDOORS GREAT AGAIN!
  9. VXCON 2018 Speaker: Implementing Software Packer
  10. HITCON CMT 2015 Speaker: Android AIDS:Automatic Intelligence De-advertisement Scheme In CSharproid
  11. HITCON CMT 2015 Speaker: 欺騙IDA Pro Hex Rays插件!讓逆向分析者看見完全不同的結果 IDA Pro Hex-Rays Decompiler Cheat
  12. HITCON CMT 2016 Lightning Talk: PokemonGo Hacking without Jailbreak
  13. HITCON CMT 2017 Speaker: Windows Injection 101: from Zero to ROP
  14. HITCON CMT 2018 Speaker: Malware Sandbox Emulation in Python
  15. HoneyCon 2018: 加密與保護:揭秘程式保護殼如何防止駭客破解你的產品
  16. SITCON 2016 Speaker: 防毒擋不住?勒索病毒猖獗與實作
  17. SITCON 2017 Speaker: 開發學校雲端服務的奇技淫巧
  18. iThome#Chatbot Day 2017 Speaker: 孫子廣播電台
  19. ICNC'17 IEEE Workshop 論文: Advertisement Removal of Android Applications by Reverse Engineering

經歷 Training

  1. HITCON Training 2019: Windows APT Warfare
  2. HITCON Training 2018: from Zero to Windows Shellcode Expert
  3. 教育部資訊安全人才培育計畫: Windows 惡意程式分析實務 
  4. 教育部資安實務攻防研習營 (PwnReversing)
  5. 教育部資訊安全基礎技術工作坊 (PwnReversing)

留言

張貼留言

這個網誌中的熱門文章

Process Hidden In Just one line code (Windows)

圖片
Hi there!

It was an interesting case I found accidentally when building a C program to do self-update. For a Windows Programmer, it's nature to consider about using Win32 API -- MoveFileA to rename or move a file:


And the interesting thing is, this API allowed us to use in the dynamic state. In other words, Windows kernel allows you to change your *.exe file name even when your program runs, or moves your self to the other directories. So I got curiosity what whould happen if the *.exe file name was not matched static file name (stored in PEB)



First, I tried to change current file name when the program ran, and the result is as follow:

In process explorer, the program name was displayed as the name written into PEB when file mapping. It can be found that process explorer shows process name by the file name recorded by PEB. But how is it in task manager?



Task manager lists all process name with Win32 API -- EnumProcesses (I guess so), so the process name will be shown as the new fi…
閱讀完整內容

[Windows] [Debug] 記憶體無痕鉤子 - 硬體斷點 (C++) 實作 Ring3 進程防殺

圖片
前言 其實三年前就土炮過調試器了,不過最近要做碩論(?)會用到動態路徑分析所以又重新回頭來玩一些以前寫外掛用到的技能,而翻了一下繁體中文的文獻好像對這部分沒什麼提及就寫了一篇做一個簡單整理(主要是方便我以後回頭拿來當工具用XD)
本文實作做一個標準調試器自動下硬體斷點、然後修改暫存器內容再恢復執行緒運作,藉此來達成記憶體程式碼不破損情況下做到修改程式邏輯,完成自我進程防殺(防止工作管理員殺除)
Debugger 在 Windows 進程權級分割下如果想除錯其他進程要先用 AdjustTokenPrivileges 拿取 SE_DEBUG 令牌,有了這張令牌就可以除錯其他進程(不過拿這張令牌要先過 UAC 就是)接著可以用 DebugActiveProcess 函數 attach 上對應你想動態除錯的進程、接著你除錯的進程就會被掛起成 DEBUG_MODE 接著執行緒會被排程跳到 DbgBreakPoint 上踩到 \xCC 然後就拋出一個異常可以讓 Debugger 接收負責接下來對應處理。 (所以一些殼在處理 anti-attach 主要就是在 DbgBreakPoint 上一個 hotpatch 去自殺)
而接下來 Debugger 負責做的處理就是一個無限迴圈:以 WaitForDebugEvent 向系統拿取當前被掛載進程的異常事件(這個概念有點像 Win32 視窗程式的 GetMessage 架構拿消息)當被掛載進程拋錯時候,WaitForDebugEvent 就可以拿到異常事件、Debugger 負責接手接下來的事情。
所以講到這邊原理就很淺而易見可以知道:如果外掛要修改邏輯(以除錯器模式實作)就會有很基礎的三種方式去讓程式執行到想攔截的函數時,就必須拋錯,主流方法就三種: int 3 讓 CPU 踩上去時候自動拋出異常記憶體改成不可執行的分頁區讓 DEP 防護拋出異常或者本文要講的硬體斷點手段
硬體斷點(DR0 → DR4)可以查閱 wiki 知道:wiki/X86_debug_register,總之 x86 CPU 提供了每個 Thread 有四個「當前正在除錯的地址」可以指示當 CPU 正在對某塊地址進行 讀/寫/執行 時「就必須拋錯」。那麼這四個地址就分別放在 DR0 ~ DR4(對,就把你想攔截的地址放上去就對了沒什麼技巧)
那麼怎麼讓 CPU 知道到…
閱讀完整內容

[C#] Lambda花式應用噁爛寫法(跨UI委派秒幹、多線程處理...etc)

為啥會有這篇呢...因為最近寫太多C# 突然發現Lambda對程式碼減化太有幫助了=...=
為了怕哪天老人癡呆忘了這些噁心的花式寫法,就開一篇Blog文紀錄了

以前在寫多線程,可能得這麼寫:
void Func() {/*多線程要做的事情*/} //接著呼叫: Thread nThread = new Thread(Func); nThread.Start();
但今天用Lambda可以改寫:
Thread nThread = new Thread(() => {/*多線程要做的事情*/}); nThread.Start();
甚至在噁心點寫的寫法:
new Thread(() => {/*多線程要做的事情*/}).Start(); 簡單來說Lambda的形式可拆解成: ()是指你的函數參數列、然後可用=>代表你要接的Lambda陳述句/塊,最後用{}把事情包起來。 在來就是比較討厭的C#內要做跨UI線程操控UI上物件,會有跨UI安全性線程問題, 所以一般會額外寫個委派函數,然後請求UI Thread去處理這個委派函數請求,才能控制 這樣往往可能只用一兩次的委派函數,卻要占用一個篇幅去寫委派函數
先看看正常的跨UI委派寫法:
private delegate void nCallback(string ContentText); public void n(string ContentText) { if (this.InvokeRequired) { nCallback obj = new nCallback(n); this.Invoke(obj, new object[] { ContentText }); return; } this.Text = ContentText; } //調用時呼叫n("str")

就可以改寫成:
this.Invoke(new Action(() => { this.Text = "Str"; }));

又因為=>後面可接陳述塊或者陳述句,所以可以寫這樣:
this.…
閱讀完整內容