Поиск места для взлома по строкам. Первый упакованный крэкми. Крэкинг ч.15

Обсудить статью на форуме


Массу свежих 2020 года крэкерских инструментов, видеоуроков и статей вы сможете найти на видеокурсе от нашего сайта. Подробнее здесь.


Файлы к статье

Прежде, чем перейти к последнему из крэкми с жёстко-заданными серийными номерами, рассмотрим тот, который я оставил вам в прошлый раз для самостоятельной работы. Он назывался SPLISH.

Откроем его в OllyDbg.

Взлом программ отладчиком OllyDbg

Он открывается на точке входа (ENTRY POINT).

Смотрим используемые API-функции (правая кнопка мыши - SEARCH FOR-NAME (LABEL) IN CURRENT MODULE).

Взлом программ отладчиком OllyDbg

Видим список используемых API-функций.

Взлом программ отладчиком OllyDbg

Видим, что используется GetWindowTextA при вводе серийного номера и MessageBoxA для отображения сообщения, правилен ли он или нет. Можем установить BPX на обе функции, но сначала ещё глянем, что покажет список строк, используемых программой.

Взлом программ отладчиком OllyDbg

Кликаем правой кнопкой мыши на листинге и выбираем SEARCH FOR-ALL REFERENCED TEXT STRING.

Взлом программ отладчиком OllyDbg

Здесь видим текст окошка с поздравлением, которое отображается, если был введён правильный серийный номер, поэтому кликнем два раза на этом тексте, чтобы увидеть, где он используется. Мы окажемся в окрестностях того места, где к нему есть обращение.

Попадаем в область, где ведётся работа с серийным номером.

Взлом программ отладчиком OllyDbg

Видим ввод текста с помощью функции GetWindowTextA и два MessageBoxA с разным текстом: правилен ли серийный номер или нет.

Ставим здесь на вызов API-функции GetWindowTextA BPX, чтобы начать с того места, где вводится серийный номер.

Взлом программ отладчиком OllyDbg

Запускаем крэкми с помощью F9 или RUN.

Взлом программ отладчиком OllyDbg

Так как пока что мы можем решить только ту часть, которая относится к жёстко-заданным серийным номерам, пишем в поле HARDCODED, которое находится наверху, неверный серийник или нажимаем на кнопку CHECK HARDCODED.

Взлом программ отладчиком OllyDbg

Останавливаемся на BPX, установленный ранее.

Взлом программ отладчиком OllyDbg

Пояснения показывают нам, что находится в стеке, и это даёт нам сразу понять, что буфер, в котором будет сохранён введенный серийный номер находится по адресу 403215.

Взлом программ отладчиком OllyDbg

Посмотрим через DUMP, что находится в буфере.

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Вот этот буфер, куда будет сохранён введённый серийный номер. Нажимаем F8, чтобы выполнить вызов API-функции.

Взлом программ отладчиком OllyDbg

Так как использовали F8, выполняется вся функция, так что неправильный серийник уже находится в буфере.

Взлом программ отладчиком OllyDbg

Ок, следующая строка переместит 401353 в EAX (помните, что LEA не перемещает содержимое ячейки памяти по заданному адресу, а только результат того, что находится в квадратных скобках; в данном случае это будет 401353). Видим в DUMP’е, что по вышеуказанному адресу (кликаем на строке правой кнопкой мыши и выбираем FOLLOW IN DUMP-MEMORY ADDRESS, и это нам покажет, что находится по адресу 401353).

Взлом программ отладчиком OllyDbg

По адресу 401353 находится строка “HARDCODED”; нажимаем F7, чтобы выполнилась LEA.

Взлом программ отладчиком OllyDbg

После выполнения в EAX остаётся 401353, а с правой стороны появляется пояснение, что данный адресу указывает на строку “HARDCODED”.

Взлом программ отладчиком OllyDbg

Следующая строка загружает в EBX другой адрес, в данному случае это 403215.

Взлом программ отладчиком OllyDbg

После нажатия F7 EBX содержит значение 403215.

Взлом программ отладчиком OllyDbg

И справа Олли показывает нам, что этот адрес указывает на строку “98989898”, являющуюся введёнными нами неправильным серийным номером, который мы посмотрим в DUMP’е так же, как сделали это для предыдущей инструкции.

Взлом программ отладчиком OllyDbg

Здесь 403215 указывает на наш неправильный серийный номер.

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Следующая строка проверяет, равен ли нулю первый байт содержимого EAX, который равен 401353.

Взлом программ отладчиком OllyDbg

Так как мы уже смотрели содержимое по этому адресу через DUMP, то уже знаем, что там находятся байты строки “HARDCODED”.

Взлом программ отладчиком OllyDbg

Первый байт в данном случае равен 48, пояснения OllyDbg нам также говорят, что это соответствует символу “H” в кодировке ASCII, а это первая буква слова “HARDCODED”. Так как это не ноль, то продолжаем.

Взлом программ отладчиком OllyDbg

Так как сравнение не активирует флаг Z (операнды не равны друг другу), JE не совершает перехода (помните, что JE срабатывает только тогда, когда активируется флаг Z),

Нажимаем на F7 и продолжаем.

Взлом программ отладчиком OllyDbg Здесь очень хорошо видно, что сначала будет перемещён первый байт [EAX], равный 48, что соотвтествует слову “HARDCODED”, а на следующей строке перемещается [EBX], являющийся первым байтом неправильного серийного номера, после чего оба сравниваются и если они не равны, то происходит переход на 4013D2, где выводится сообщение “SORRY, PLEASE TRY AGAIN”.

Проверим это следующим образом.

Нажмём F7 и переместим в CL значение 48.

Взлом программ отладчиком OllyDbg

CL, как мы помним, это регистр, соответствующий двум последним цифрам ECX, здесь перемещаем 48, и вот, что получится в результате.

Взлом программ отладчиком OllyDbg

Затем в DL перемещается первый байт неправильного серийного номера.

Взлом программ отладчиком OllyDbg

Выполним строку с помощью F7, видим, что в DL находится значение 39.

Взлом программ отладчиком OllyDbg

Теперь CL сравнивается с DL.

Взлом программ отладчиком OllyDbg

Пояснение OllyDbg не оставляет сомнение: сравнивается 39 (что есть 9, т.е. первый символ введённого мной серийного номера с H, являющейся первым символом строки “HARDCODED”).

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Видим, что они не равны, поэтому совершается переход на сообщение с ошибкой, а поведение если бы они были равны можем сэмулировать, изменив значение флага Z, сделав по нему двойной щелчок.

Взлом программ отладчиком OllyDbg

Теперь Z равен 1, как если бы в сравнении двух байтов они были равны и их вычитание друг от друга дало бы ноль, активировав данный флаг.

Взлом программ отладчиком OllyDbg

Видим, что в этом случае происходит увеличение EAX и EBX и переход с помощью JMP на начало цикла.

Взлом программ отладчиком OllyDbg

Теперь EAX указывает на второй байт строки “HARDCODED” и видим, что цикл повторяет побайтовое сравнение, пока [EAX] не будет указывать на ноль, то есть пока не завершится строка “HARDCODED” (в конце строки за последним символом находится ноль).

Тогда после увеличения значения EAX и EBX на 1 будут считаны и сравнены друг с другом вторые байты, если равны, то цикл повторится, но уже будут рассматриваться третьи байты, а когда слово “HARDCODED” закончится, то если все сравнения на равенство CL с DL прошли успешно, перехода на окошко с ошибкой не произойдёт, и попадём вот куда:

Взлом программ отладчиком OllyDbg

Здесь EAX указывает не на какой-либо из байтов слова “HARDCODED”, а на ноль, так как строка уже закончилась.

Взлом программ отладчиком OllyDbg

Вот и тот самый ноль, а это значит, что сработает соответствующая проверка.

Взлом программ отладчиком OllyDbg

Срабатывает JE, и мы выходим из цикла.

Взлом программ отладчиком OllyDbg

И попадаем в то место, где отображается сообщение о правильно введённом номере (так как поменяли значение флага Z при побайтовом сравнении, хе-хе).

Взлом программ отладчиком OllyDbg

Очевидно, что менять значение флага Z пришлось при каждом сравнении CL с DL, чтобы программа поверила в одинаковость обоих серийников и не перешла на сообщение об ошибке и не вышла, но в любом случае мы теперь знаем, что правильный серийный номер – это слово “HardCoded” (с соблюдением прописных и строчных букв, так как у них разный ASCII-код).

Взлом программ отладчиком OllyDbg

Уберём все точки останова, введём найденный серийный номер и нажмём кнопку “CHECK HARDCODED”.

Взлом программ отладчиком OllyDbg

Ещё одна победа, поздравляю.

Хорошо, тогда переходим к последнему крэкми с жёстко заданным серийным номером и заканчиваем на этом с ними, а в главе 16 перейдём к следующей теме.

Алгоритм следующего крэкми, который назвается SAMBO, отличается от предыдущих. Откроем его в OllyDbg.

Взлом программ отладчиком OllyDbg

Выходим из этого окошка, которое говорит нам, что файл, возможно, самораспаковываемый или автомодифицируемый. Такие файлы на крэкерском жаргоне мы называем пакованными, запакованными или сжатыми. В дальнейшем мы изучим их подробно, но пока запустим его в OllyDbg и, несмотря на то, что он запакован, попробуем найти серийный номер.

Соглашаемся с предупреждением OllyDbg и прибываем в EP.

Взлом программ отладчиком OllyDbg

С помощью ещё одного окошка OllyDbg сообщает нам, что программа, возможно, запакована или зашифрована, поэтому анализ её будет настолько же неэффективным, как пепельница в мотоцикле, так как программа будет распаковывать себя во время выполнения, поэтому пока что выберем “Нет”.

Взлом программ отладчиком OllyDbg

Уже на первых строках листинга мы можем заметить, что этот крэкми выполняется не так, как его незапакованные сородичи, чья первая секция начинается с 401000.

Здесь точка входа равна 4d4001.

Взлом программ отладчиком OllyDbg

Посмотрим, является ли секция исполняемой, для этого идём VIEW-MEMORY или нажмём клавишу M.

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Видим, что программа стартует в секции, начинающейся с 4D4000, размер которой равен 2000 (в шестнадцатеричной системе), и поэтому 4d4001 – это адрес, который относится к данной секции.

Это и есть то, о чём говорила OllyDbg – точка входа находится за пределами секции code.

Взлом программ отладчиком OllyDbg

Секция CODE начинается с 401000, а выполнение начинается с адреса 4D4001, который относится к другой секции. OllyDbg нам сообщила, что это характеристика многих запакованных программ.

Секция, в которой находится точка входа, соответствует распаковщику, и как только он отработает и сделает то, что должен сделать, он сделает переход на на секцию code, где и будет выполнена сама программа.

А раз так, нажимаем F9.

Взлом программ отладчиком OllyDbg

Мы уже знаем, что когда появится окошко крэкми для ввода серийника, программа уже распакована в памяти и выполняется в секции code, поэтому можем установить на эту секцию BPM ON ACCESS , чтобы остановить выполнение на её первой строке.

Взлом программ отладчиком OllyDbg

При попытке вернуться в окошко крэкми OllyDbg остановится в секции code (т.е. первой секции после PE-заголовка).

Взлом программ отладчиком OllyDbg Видим, что теперь программа распакована в памяти, можем её анализировать. Кликнем правую кнопку мыши в листинге.

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Видим, что OllyDbg прекрасно показывает нам проанализированный код.

Теперь, когда мы находимся в секции code, можем посмотреть, какие api используются программой – то, что мы не могли посмотреть в начале, так как в тот момент нам показывались только API-функции, используемые распаковщиком, а не те, которые используются программой; сейчас же никаких проблем нет.

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Уфф, какой ужасный список и ничего знакомого, посмотрим список строк; ясно, что с этим у нас тоже были бы проблемы в начале, так как находились в другой секции, и кроме того, строки были запакованы вместе с программой, так что ничего бы мы не увидели.

Взлом программ отладчиком OllyDbg

Ещё один ужасный список.

Взлом программ отладчиком OllyDbg

“YOU DID IT” – одна из строк с поздравлением.

Взлом программ отладчиком OllyDbg

Хорошо, есть сравнение и переход, где мы видим строки с поздравлением и ошибкой, хотя здесь и нет MessageBoxA.

Взлом программ отладчиком OllyDbg

Устанавливаем BPX на условный переход, чтобы проверить, решающий ли это переход, и убираем BPM ON ACCESS щелчком правой кнопки мыши.

Взлом программ отладчиком OllyDbg

И делаем RUN.

Взлом программ отладчиком OllyDbg

В окне крэкми вводим “Narvajita” или любой другой неправильный серийный номер.

Нажимаем кнопку “Test-o-Doom”.

Взлом программ отладчиком OllyDbg

Видим, что произошёл переход, нажимаем F9.

Взлом программ отладчиком OllyDbg

Тогда соглашаемся с окошком с поздравлением, что у нас получилось.

Взлом программ отладчиком OllyDbg

Оно говорит, что это была шутка, и ничего не вышло на самом деле, ха ха! Делаем RUN по-новой и снова прибываем к переходу, связанному с кнопкой “Test-o-Doom”.

Взлом программ отладчиком OllyDbg

Инвертируем переход, чтобы посмотреть, отобразится ли окошко с поздравлением и понять, отвечает ли за это вообще данный переход.

Взлом программ отладчиком OllyDbg

После двойного щелчка на флаге Z и изменения его значения, делаем RUN.

Взлом программ отладчиком OllyDbg

И отображается окошко с поздравлением, значит, это и есть то место, где решается правильность или неправильность серийного номера. Посмотрим сравнение до перехода.

Взлом программ отладчиком OllyDbg

Это TEST CL, CL, где проверяется, равен ли CL нулю или единице, что задаётся где-то до этого, возможно в CALL, вызываемый ранее, на который мы можем поставить BPX.

Взлом программ отладчиком OllyDbg

Делаем RUN, возвращаемся в окно и снова нажимаем кнопку Test, чтобы остановиться на CALL.

Остановившись, осмотримся любопытным взором вокруг, хе-хе.

Взлом программ отладчиком OllyDbg

Если посмотрим в стек, то увидим введённый неправильный серийный номер, заглянем в DUMP (через FOLLOW IN DUMP).

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Мой глаз крэкера видит здесь строку, которая, возможно, является верным серийником; могли бы посмотреть, так ли это, но пока делать этого не будем и продолжим поиск серьёзным образом.

Если внутри данного CALL производятся какие-либо сравнения или операции с неправильным серийником, то можно установить BPX ON ACCESS на него, чтобы программа остановилась, когда с ним будет что-нибудь делаться, то есть на какой-либо операции или сравнении.

Взлом программ отладчиком OllyDbg

Выделим неправильный серийный номер, нажмём правую кнопку мыши и выберем BREAKPOINT-MEMORY ON ACCESS.

Взлом программ отладчиком OllyDbg

После этого, когда продолжим выполнение, то если внутри call происходит какая-либо работа с этим серийником, OllyDbg остановится.

Нажимаем F9.

Видим, что остановки не произошло, возможно, сравнение происходит раньше, так что мы можем поставить точки останова на CALL'ы, находящиеся ещё выше, и повторить то, что делали прежде, но лучше пустим в ход другой способ остановиться на том месте, где вводится серийный номер: здесь не используется API-функция GetWindowTextA, но у нас есть сообщения Windows, которые послужат нам не хуже.

Убираем BPM ON ACCESS.

Взлом программ отладчиком OllyDbg

Ставим быстрым способом BP TranslateMessage.

Взлом программ отладчиком OllyDbg

А теперь RUN.

Взлом программ отладчиком OllyDbg

Остановшись на API-функции, нажимаем на правую кнопку мыши и выбираем:

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

И в окошке печатаем условие MSG==202, которое является значением WM_LBUTTONUP.

И устанавливаем переключатели так, чтобы остановка происходила по ON CONDITION, и чтобы логгировалось всё.

Взлом программ отладчиком OllyDbg

Здесь розовым цветом обозначен BPX CONDICIONAL. Делаем RUN.

Открывается окошко крэкми и, чтобы избежать путаницы, меняю серийный номер на тот случай, если предыдущий остался в памяти.

Взлом программ отладчиком OllyDbg

И по нажатию на кнопку срабатывает BPX CONDICIONAL.

Взлом программ отладчиком OllyDbg

Остановка произошла на WM_LBUTTONUP.

Возвращаемся в программу с помощью EXECUTE TILL RETURN.

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Нажимаем F7 и возвращаемся в программу.

Взлом программ отладчиком OllyDbg

Здесь у меня появляется две возможности. Установить BPM ON ACCESS в первой секции, чтобы сделать переход с помощью F9 и посмотреть, куда ведёт процедура сравнения серийного номера, что мне кажется сложноватым, так как я уже видел, что эта процедура весьма большая.

Другая возможность – это посмотреть, находится ли уже в памяти введённый нами серийный номер, так что идём в окно M.

Взлом программ отладчиком OllyDbg

Кроме того, что оно позволяет просматривать секции, здесь можно искать строки, находящиеся в памяти, кликаем правую кнопку мыши и выбираем SEARCH.

Взлом программ отладчиком OllyDbg

В появившемся окне в поле ASCII введём наш неправильный серийник.

Взлом программ отладчиком OllyDbg

Нажимаем OK, чтобы начать поиск в памяти.

Взлом программ отладчиком OllyDbg

С помощью CTRL+L можно искать остальные вхождения этого слова, но больше ничего не находим ни в секции, которую мы открыли, ни в остальной памяти.

Взлом программ отладчиком OllyDbg

Устанавливаем BPM ON ACCESS на этот неправильный серийник, , чтобы найти момент, когда с ним производятся какие-либо операции, чтение или сравнение.

И нажимаем F9.

Взлом программ отладчиком OllyDbg

Останавливаемся там, где он копируется в то место, которое мы видели в последнем CALL’е.

Взлом программ отладчиком OllyDbg

Мы знаем, что REP MOVS копирует содержимое из ESI в EDI, так что посмотрим EDI в DUMP (правая кнопка мыши на EDI-FOLLOW IN DUMP).

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Сюда REP MOVS скопирует серийник, нажмём F8, чтобы он это сделал.

Взлом программ отладчиком OllyDbg

Оказались после этого на RET, серийник полностью скопировался, и устанавливаем на него BPM ON ACCESS.

Взлом программ отладчиком OllyDbg

Выполнив RUN, останавливаемся здесь.

Взлом программ отладчиком OllyDbg

Точнёхонько на сравнение, хех.

Взлом программ отладчиком OllyDbg

ESI указывает на мой неправильный серийник, а EDI на правильный, который равен «1556555».

Убираем все BPX.

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Взлом программ отладчиком OllyDbg

Появляется окошко с поздравлением.

В следующей главе мы начнём разбор крэкми, в который используются не только серийный номер, но и имя пользователя.

  [C] Рикардо Нарваха, пер. Aquila

Обсуждение статьи: Поиск места для взлома по строкам. Первый упакованный крэкми. Крэкинг ч.15 >>>


При перепечатке ссылка на https://exelab.ru обязательна.



Видеокурс ВЗЛОМ