ÃÂœÃÂ°ÃÂ¹ - Xakep Online

More documents

Recommendations

Info

взлом леониД «CR@WleR» исупов / crawlerhack@rambler.ru / Без лома и молотка ОбХОД ЗАщиты тВиКерА FREShuI Может быть, ты пытался взломать программу, которая тревожила тебя надоедливыми нагами. Результатом этого, наверняка, был шок: вместо читабельного листинга отладчик выдавал код, похожий на мусор. Скорее всего, это произошло потому, что ты нарвался на запакованную программу. Сегодня я на простом примере покажу тебе, как бороться с пакерами. INTrO Сейчас мы займемся программой FreshUI (это неплохой твикер для ОС Windows). Вообщето, программа для домашнего пользователя бесплатна, но после 11 дней ее использования начинает болеть голова от появления окошка с напоминанием о том, что мы должны заказать ключ у разработчика (окошко, кстати, с каждым днем держится на экране все дольше и дольше). Может, кто-то и хочет засветить свой почтовый ящик и занести его в спам-лист, но только не мы. Мы пойдем другим путем. распаковка В работе мы воспользуемся замечательным отладчиком OllyDbg — для исследования нашей программы он подойдет лучше, чем монструозный SoftIce от Numega. Итак, устанавливай отладчик, если его все еще у тебя нет, и выбирай / 090 пункт меню «File Open». В появившемся окне укажи путь к файлу нашей программы (freshui.exe). Отладчик тут же сообщит тебе о том, что программа, возможно, содержит самомодифицирующийся код или упакованное тело. После нажатия «Ok» OllyDbg спросит, надо ли анализировать код. Эта медвежья услуга нам не понадобится, ведь файл, скорее всего, запакован, и никаких понятных листингов мы не получим, так что смело отвечай: «No». Вот что мы видим, глядя на начало дизассемблированного кода: 00565000 90 NOP 00565001 60 PUSHAD; Сохранение регистров в стек Опытный крякер, глядя на эти инструкции, обрадуется :), так как почти все упаковщики сохраняют регистры перед переходом на цикл распаковки и это их выдает, что называется, с потрохами. А это значит, нам нужно, следуя логике, найти команду восстановления всех регистров из стека (POPAD). Само собой, эта команда выполняется после распаковки. При этом нужно также учесть, что после этой инструкции должен следовать безусловный переход вида JMP N, где N — адрес оригинальной точки входа программы (Original Entry Point, или OEP). Я хочу сказать, что после распаковки кода программы и восстановления регистров происходит прыжок на начало кода, который приобрел работоспособность, где мы и должны прерваться (о том, зачем это нужно, речь пойдет ниже). Наша цель — найти соседствующие команды POPAD и JMP N и поставить точку останова на POPAD. Поиск в OllyDbg () команды POPAD проходит успешно, но вот незадача: она нигде не соседствует с JMP N. Для того чтобы xàêåð 05 /101/ 07
взлом Типичный AsPack! Цикл, убиваемый после распаковки убедиться в том, что мы все делаем верно, воспользуемся утилитой PEid — хорошей помощницей в определении типа пакера (протектора/ компилятора)(http://peid.has.it), которую можно скачать на любом крякерском сайте. Запускай утилиту и скармливай ей freshui.exe. Она моментально выдаст нам результат: «ASPack 2.12 Alexey Solodovnikov». Значит, мы с тобой сильно ошибались, ведь AsPack действует немного иначе, чем совсем уж тривиальные пакеры. Он использует для перехода на OEP не JMP N, а конструкцию вида: POPAD; восстановление регистров JNZ adress MOV EAX,1 RETN 0C PUSH 0; OEP кладется в стек RETN ; переход на OEP Нас интересуют только первая и две последние инструкции. Комментарии дают ясное представление о работе этого куска кода. Стоит только упомянуть, что команда PUSH 0, после того как мы прервемся на ret, положит в стек совсем не 0, а значение OEP. Итак, ищем POPAD с хвостом в виде вышеуказанного кода. Такой набор располагается по адресу 005653AF: 005653AF POPAD 005653B0 JNZ SHORT freshui.005653BA 005653B2 MOV EAX,1 005653B7 RETN 0C 005653BA PUSH 0 005653BF RETN OEP найдена! По адресу 005653BF ставь точку останова, для этого выдели строку и нажми . Все готово, запускай программу на исполнение (). Выполнение ее тут же и прервется, причем на вершине стека будет лежать адрес OEP, равный 00507340 (заметил, как изменилась команда PUSH 0?), его мы запишем. Теперь переходим на начало кода программы, сделав один шаг (). Мы попадем в место, очень похожее на кучу хлама в виде данных, неправильно интерпретированных в качестве инструкций, но это далеко не так. На самом деле, этот «массив» — ни что иное, как начальный код, стартующий с OEP! Если не веришь, нажми . После анализа ты увидишь характерное начало программы. На время сверни OllyDbg. Теперь, как и обещал, я скажу, зачем мы остановили программу на OEP. Для того чтобы получить более или менее работоспособную программу со снятым упаковщиком, нужно сделать дамп, он же моментальный снимок области памяти, где размещена наша программа, причем не когда-нибудь, а именно сразу после распаковки, когда программа прервется на OEP. Для этой цели подойдет инструмент LordPE за авторством Yoda (респект!). Запускай эту утилиту, выбирай в окне процессов нашу программу, висящую под отладчиком, и, нажав по ней правой кнопкой мыши, выбирай в меню «Dump full». Сохрани файл под именем dump.exe. Полученный дамп будет неработоспособен, так как таблица импорта не восстановлена. Привести dump.exe в чувство поможет утилита Import Reconstructor. Запусти ее. Выбери в списке Attach to an active Process процесс freshui.exe и введи OEP в соответствующее поле программы. Причем OEP в этом случае будет равняться 00507340‐ImageBase =00507340-00400000=00107340 (ImageBase — это адрес, с которого в памяти идет код программы, его нам указал отладчик). Теперь жми на кнопку «Get Import». При этом не обращай внимания на издержки — мусор в виде нераспознанных функций, который будет отображен среди верно отысканных данных в виде двух последних ветвей: »?FThunk:0010F8E0 NbFunc:3 valid:no» и »?FThunk:0010F8F0 NbFunc:3 valid:no». Ты можешь убедиться в ненужности этих «элементов таблицы импорта», если перейдешь по смещениям 0050F8E0 и 0050F8F0 и взглянешь на содержимое памяти. Первый фантомный Fthunk — строка «kernel32.dll», то есть имя библиотеки, импорт функций из которой распознан, а второй «непрошеный гость» — часть имени функции, которая размещена в Import Table первой (DeleteCriticalSection). Мусор нужно отрезать, Полезный крякерский ресурс Все инструменты, упомянутые в статье, можно найти на лучшем крякерском ресурсе www.cracklab.ru. Помимо этого, сайт располагает внушительной коллекцией статей по крякингу и набором различных полезных ссылок. Конечно же, нельзя не упомянуть о форуме. Он является главной достопримечательностью ресурса, и следует признать, что все имеющееся на сайте — это лишь приятное дополнение к наиполезнейшему форуму, где можно повстречать незаурядно талантливых людей, относящихся к элите крякинга. Среди них — [HEX], MozgC, dragon (c) и другие. Я выражаю им почтение. Спасибо, Bad_guy! xàêåð 05 /101/ 07 / 091
Page 1:
МАй 05(101) 2007 22 секрет
Page 4 and 5:
meganewS 004 MegAneWS Все нов
Page 6:
meganews Дмитрий Трави
Page 10:
meganews Гибридим теле
Page 14:
meganews Уникальное пр
Page 17 and 18:
meganews Макинтоши тож
Page 19 and 20:
476 $140 $195 >> ferrum mSi nx7600g
Page 21 and 22:
S T T I C H T Y U B B E S T B U Y B
Page 24 and 25:
ferrum $45 $85 razer deathadder К
Page 26 and 27:
pc_zone кРис кАспеРски
Page 28 and 29:
pc_zone DVD На диске теб
Page 30:
pc_zone Пересчет CRC В з
Page 33 and 34:
pc_zone секрета Google По
Page 35 and 36:
pc_zone http:// Многочисл
Page 37 and 38:
pc_zone Несколько борд
Page 39 and 40:
pc_zone FAR хранит списо
Page 41 and 42: pc_zone Папка Recent хран
Page 43 and 44: implant Готовый височн
Page 45 and 46: implant Нервы височной
Page 48 and 49: implant Дейтерий трити
Page 50 and 51: implant Германский ток
Page 52 and 53: implant компенсируетс
Page 54 and 55: взлом кРис кАспеРс
Page 56 and 57: взлом ANI-формат: уда
Page 58 and 59: взлом анимированны
Page 60 and 61: взлом M3lC1Y / m3lc1y@bk.ru, h
Page 62: взлом i Пользуясь с
Page 65 and 66: взлом var sock = new java.net.
Page 67 and 68: взлом Внешний вид п
Page 69 and 70: взлом Настройки Googl
Page 72 and 73: взлом леониД «R0id» с
Page 74: взлом ! Внимание! Ин
Page 77 and 78: взлом Хэши админск
Page 79 and 80: взлом Бажный ресур
Page 81 and 82: взлом Возможности
Page 83 and 84: взлом Пример: «select"u
Page 85 and 86: взлом «Три девицы п
Page 88 and 89: взлом Маг / mag@wapp.ru / I
Page 90 and 91: взлом Msn-аккаунты IM-
Page 94 and 95: взлом DVD На нашем DVD
Page 96 and 97: взлом Леонид «R0id» С
Page 98 and 99: сцена Мария «Mifrill»
Page 100: сцена 10240-процессор
Page 103 and 104: сцена DVD Команда HITB'
Page 105 and 106: сцена Хакер - офици
Page 108 and 109: сцена ильЯ АлексАн
Page 110 and 111: unixoid Сергей «grinder» Я
Page 112 and 113: unixoid Установка новы
Page 114 and 115: unixoid Крис Касперски
Page 116 and 117: unixoid Консольная вер
Page 118 and 119: unixoid Linux в гостях у Fr
Page 120 and 121: unixoid i Для тех отваж
Page 122 and 123: coding АнДРей «littleBUddA»
Page 124 and 125: coding Несколько слов
Page 126 and 127: coding Deeoni$ / DeeoniS@gmail.com
Page 128 and 129: coding RegMon показывает,
Page 130 and 131: coding боРис вольфсон
Page 132 and 133: coding Вот так будет в
Page 134 and 135: coding Крис Касперски
Page 136 and 137: креатиff meganews /134
Page 138 and 139: креатиff meganews расте
Page 140 and 141: units сТепАн «Step» иль
Page 142:
РЕДАКЦИОННАЯ ПОДПИ
Page 145 and 146:
units magazine@real.xakep.ru не
Page 147 and 148:
Íàäåæíûé ñòîðîæåâî
Page 149 and 150:
ХАКЕР.PRO Настройки
Page 151 and 152:
ХАКЕР.PRO Выбор типа
Page 153 and 154:
ХАКЕР.PRO Синхрониза
Page 155 and 156:
ХАКЕР.PRO на. Его рек
Page 157 and 158:
ХАКЕР.PRO Использова
Page 159 and 160:
ХАКЕР.PRO Активные с
Page 161 and 162:
ХАКЕР.PRO Внутри дом
Page 165:
2007 x 05(МАЙ)101 101
show all

ÃÂœÃÂ°ÃÂ¹ - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

ÃÂœÃÂ°ÃÂ¹ - Xakep Online