Скрытие программ в Visual C++

Источник: realcoding

Стеганография не решает всех проблем. Кроме того, чтобы хранить файл с закодированными данными, надо, кроме того, хранить программу для кодирования и раскодирования. Ее тоже необходимо хранить скрытно, чтобы не вызывать подозрений. Ясен пень, что хранить ее в закодированном виде бессмысленно, так как сама себя она не раскодирует. Стало быть, задача состоит в том, чтобы хранить программу так, чтобы она запускалась без каких-либо специальных средств, но при невыполнении заданных условий не давала понять свое истинное предназначение и имитировала работу какой-либо другой программы.
Метод первый. Пусть имеется сишный исходник скрываемой программы и исходник какой-нибудь ерунды, которую можно использовать как программу-носитель, т. е. программу, в которую мы будем прятать нашу программу. Пусть также обе программы оконные и имеют в качестве точки входа функцию WinMain. Переделать этот пример для консольных программ легко, заменив WinMain на main.
Объединим оба исходника в один проект и переименуем WinMain скрываемой-программы в WinMain1, а WinMain программы-носителя в WinMain2. Теперь напишем новую WinMain такого содержания:


int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{
if (Condition())
return WinMain1(hInstance, hPrevInstance, lpCmdLine, nCmdShow); else
return WinMain2(hInstance, hPrevInstance, lpCmdLine, nCmdShow);
}
 

Как видите, идея простая: проверяем условие и запускаем либо одну, либо другую функцию, передавая ей параметры, с которыми была запущена наша программа. Это код еще даже можно сократить:

 


int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{
return (Condition() ? WinMain1 : WinMain2)(hInstance, hPrevInstance, lpCmdLine, nCmdShow);
}
 

Теперь о функции Condition(), т. е. о том, какое может быть условие раскрытия скрытой программы и как его проверять.
В качестве примера пусть наша программа будет запускаться при нажатии определенной комбинации клавиш. Проверить, нажата ли клавиша, можно с помощью функции GetKeyState или GetAsyncKeyState. Разница между ними в том, что кроме проверки состояния клавиши в момент вызова функции GetKeyState() проверяет, включен ли CapsLock, NumLock или ScrollLock (если передать код одной из этих клавиш), а GetAsyncKeyState проверяет, была ли клавиша нажата с момента предыдущего вызова. Так что если нужно использовать состояния NumLock или CapsLock, то только GetKeyState(), иначе можно выбрать любую из этих функций.
Каждая из этих функций принимает в качестве параметра код виртуальной клавиши (virtual key code) и возвращает значение типа SHORT, старший бит которого указывает, что клавиша нажата сейчас, а младший бит указывает для GetKeyState(), включен ли CapsLock, NumLock или ScrollLock, а для GetAsyncKeyState, была ли клавиша нажата с момента предыдущего вызова.
Необходимо учесть, что пользователю нужно время для того, чтобы нажать на клавиши после запуска программы. Удерживать их во время запуска не получится в стандартной оболочке и наиболее распространенных ее альтернативах. Так что перед проверкой условия вызовем Sleep(1000), чтобы дать юзеру одну секунду.
Пусть нашей секретной комбинацией будет SHIFT+CTRL+A+D. Итак, получается вот такой код:

 


BOOL Condition()
{
SHORT ks;

/* Ждем секунду, чтобы юзер успел нажать комбинацию клавиш */
Sleep(1000);

/* Проверяем, нажаты ли SHIFT+CTRL+A+D */
ks = GetKeyState(VK_SHIFT) &
GetKeyState(VK_CONTROL) &
GetKeyState(′A′) &
GetKeyState(′D′);

/* О нажатии клавиш в данный момент говорит старший бит */
return (ks & 0x8000);
}
 

В исходниках эта программа лежит в папке cprog.

Метод второй, более общий. Не всегда есть исходники нужного софта. Это не мешает нам спрятать один ехешник внутрь другого. По большому счету, для этого мы должны должны написать полноценный ехе-джойнер, с той только разницей, что запуск программ должен происходить в зависимости от нажатых клавиш. Может быть, в одной из следующих статей я расскажу о структуре ехе-файлов и о написании джойнеров, а сейчас рассмотрим более простую вещь, в которой, тем не менее присутствуют другие важные для нашей темы моменты.
Наша скрытая программа будет написана на асме, и из нее мы сделаем сырой бинарник, в котором не будет ни релокаций, ни импорта, ни секций, а только код, точка входа которого находится в начале и вызывается как функция, в параметрах которой передаются указатели на функции LoadLibrary, FreeLibrary и GetProcAddress (надеюсь, не надо объяснять, почему этих функций достаточно для любой программы). Иными словами, указатель на точку входа бинарника можно определить так:

 


/* Прототипы функций системы */
typedef HMODULE (WINAPI * pLoadLibrary) (LPCTSTR);
typedef FARPROC (WINAPI * pGetProcAddress) (HMODULE, LPCTSTR);
typedef BOOL (WINAPI * pFreeLibrary) (HMODULE);

/* Прототип точки входа нашего бинарника */
typedef int (WINAPI * pBinEntry) (pLoadLibrary, pGetProcAddress, pFreeLibrary);
 

Еще одна фишка, которую мы на этом примере продемонстрируем: зашифруем бинарник. Может потребоваться скрывать программу не только от глаз админа, но и от антивируса. Я вовсе не говорю о чем-то незаконном. Просто некоторые производители антивирусов добавляют в свои базы программы, которые сами по себе не вредят тому компу, на котором находятся, но могут не понравиться аднинам. Шифрование скроет код от антивируса на случай, если вы собираетесь работать не у себя дома. Будем использовать массив флагов состояний клавиш в качестве ключа к шифру, расшифровывать бинарник и проверять его хеш. Если хеш совпадает, передадим управление, а иначе запустим фальшивку. Такой ключ, конечно, слабый, но антивирусы никогда не ломают шифры перебором, а защищать код от человека, который обнаружит факт его скрытия, мы не будем - у нас другая цель.
Сам зашифрованный бинарник я поместил в ресурс. Код программы от этого буде больше, зато для замены бинарника надо просто перезаписать файл в проекте.
Итак, это может выглядеть так:

 


void GKS(PBYTE pb)
{
int i;

for (i = 1; i < ′Z′; i++) {
if (GetKeyState(i) & 0x8000) pb[i ]++;
}
}

int DecyptCheckAndRun()
{
int rv;
const void* pData;
void* pBuffer;
HRSRC hResource;
DWORD dwSize;
DWORD dwRSize;
HMODULE hThis;
RC6_WORD key[20*2+4];
BYTE ks[256];
SHA1Context ctx;
uint8_t hash[SHA1HashSize];
uint8_t RealHash[SHA1HashSize] = {195, 183, 15, 151, 251, 143, 113, 170, 15, 176, 25, 156, 18, 166, 233, 151, 155, 162, 96, 128};

rv = 0;
hThis = GetModuleHandle(NULL);
hResource = FindResource(hThis, MAKEINTRESOURCE(IDR_BINARY), MAKEINTRESOURCE(RT_RCDATA));
if (hResource) {
dwSize = SizeofResource(hThis, hResource);
pData = LockResource(LoadResource(hThis, hResource));
if (pData) {
dwRSize = (dwSize + 4095) & 0xFFFFF000; /* Round up to page */
pBuffer = VirtualAlloc(NULL, dwRSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

memset(pBuffer, 0, dwRSize);
memcpy(pBuffer, pData, dwSize);

/* Получим состояния всех клавиш */
memset(ks, 0, 256);
GKS(ks);

/* Сформируем на его основе ключ шифра */
rc6ks(key, ks, 20, 256);

/* Расшифруем код */
rc6decrypt((LPRC6_WORD)pBuffer, key, 20, dwSize / RC6_BLOCK_SIZE);

/* Посчитаем хеш */
SHA1Reset(&ctx);
SHA1Input(&ctx, (uint8_t*)pBuffer, dwSize);
SHA1Result(&ctx, hash);

/* Сравним значения хешей */
if (memcmp(hash, RealHash, SHA1HashSize) == 0) {

/* Вызовем код бинарника */
(*(pBinEntry)pBuffer) (&LoadLibrary, &GetProcAddress, &FreeLibrary);

/* Возвращаем флаг, указывающий, что не надо запускать носитель */
rv = 1;
}

VirtualFree(pBuffer, dwSize, MEM_FREE);
}
}
return rv;
}

int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{
/* Ждем */
Sleep(1000);

/* Расшифруем и выполним код и возвратим управление, при успехе */
if (DecyptCheckAndRun()) return 0;

// ...
}
 

В этой программе используется моя реализация алгоритма шифрования RC6 и реализация алгоритма хеширования sha1 из RFC3174.
Для получения состояния всех клавиш я написал функцию GKS. Вообще-то в винде есть функция GetKeyboardState, но среди возвращаемой ей информации есть не только текущие состояния клавиш, и при ее использовании условия запуска скрытой программы не ограничивались бы комбинацией клавиш.
В исходниках есть тестовый бинарник (rawbinary), программа для его шифрования (encryptbin) и программа, в которой он зашифрован с ключевой комбинацией CTRL+SHIFT+S, которую надо нажать втечение секунды (hiddenbin)


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=22654