ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online

More documents

Recommendations

Info

взлом Леонид «Cr@wler» Исупов / crawlerhack@rambler.ru / борона POCKET EXECUTABLE Программная оборона Защита PE-файлов голыми руками Десять лет назад, когда инструменты для дизассемблирования еще не были так легки в эксплуатации и распространены, реверс-инжиниринг не был массовым явлением. Сейчас же любой среднестатистический юзер, воспользовавшись отладчиком, может распотрошить внутренности твоей программы и узнать, как работают созданные тобой защитные механизмы. Этого нельзя допустить. Значит, нужно учиться создавать методы, затрудняющие анализ. борона C / 078 егодня мы поговорим о том, как вручную закодировать файл, имея под рукой только отладчик и шестнадцатеричный редактор. Навыки, которые ты получишь в ходе прочтения этого материала, помогут тебе понять принцип работы протекторов и пакеров. Одновременно ты научишься вручную править двоичный код так, чтобы он оставался работоспособным, не имея под рукой толстых томов, посвященных программированию на ассемблере. Для нашей работы потребуется известная версия компилятора MASM — MASM32. Мы напишем простейший код, результатом работы которого будет выдача MessageBox’а с надписью «Hello, World!». Исследовав скомпилированный файл под отладчиком (а он может быть любым, я использовал OllyDBG), мы посмотрим, как можно создать простейший раскодировщик, используя прямые вставки двоичного кода. Наша программа Итак, приступим к работе. Вот код нашей программы: .386 .model flat,stdcall ; модель памяти — flat option casemap:none ; подключение необходимых библиотек: include \masm32\include\windows.inc ; include \masm32\include\kernel32.inc ; includelib \masm32\lib\kernel32.lib ; include \masm32\include\user32.inc ; includelib \masm32\lib\user32.lib ; ; секция данных .data alert_upper db "Simply program",0 alert_text db "Hello, World!",0 ; секция кода .code start: invoke MessageBox, NULL, addr alert_text, addr alert_upper, MB_OK invoke ExitProcess, NULL end start Сохрани текст в файле c:\masm32\bin\ex.asm (разумеется, если путь к компилятору другой, то вместо c:\masm32 будет что-то иное) и создай xàêåð 06 /102/ 07
взлом Сдвиг в WinHex на 2 байта вправо Модифицированные биты и команда перехода о объектный файл командой ml /c /coff /Cp ex.asm. Он будет в формате COFF (ключ ‘/c’). После этого доверши компиляцию командой «link /SUBSYSTEM:WINDOWS /LIBPATH:c:\masm32\lib /SECTION:.text, RWE ex.obj». Ключ ‘/SECTION’ позволит установить атрибут записи на секцию кода, которая именуется .text (смешная деталь: я уже скомпилировал файл и открыл его в OllyDbg для отладки, после этого решил проверить еще раз правильность параметров компиляции и долго не мог понять, почему LINK выдает ошибку 1104 :)). Компиляция успешно завершена, теперь откроем файл ex.exe под отладчиком. Что ж, листинг, выведенный OllyDbg, дает полное представление о работе программы: 00401000 PUSH 0 00401002 PUSH ex.00403000 ;Title = "Simply program" 00401007 PUSH ex.0040300F ;Text = "Hello, World!" 0040100C PUSH 0; |hOwner = NULL 0040100E CALL 00401013 PUSH 0 ;ExitCode = 0 00401015 CALL 0040101A JMP DWORD PTR DS:[ 00401020 JMP DWORD PTR DS:[] Естественно, никакой антиотладки нет, файл ничем не пакован, и следовательно, он без труда обрабатывается отладчиком. Отметим точку входа в нашей программе (Entry Point, или EP): 00401000h. Откроем программу в hex-редакторе, мой любимый — WinHex. Точку входа в WinHex найти легко: нужно лишь произвести поиск байтов первых инструкций (комбинация клавиш ), которые нам любезно подскажет OllyDbg. В нашем случае это «6A006800...». Этого вполне достаточно, и WinHex показывает нам нужные байты, где пресловутая точка и расположена. Они начинаются по адресу 400h. Что мы сделаем Мы вручную закодируем инструкции, напишем кодировщик и вставим его двоичный код в файл. Для простоты зашифруем инструкции операцией XOR 35. Тогда кодировщик будет выглядеть следующим образом: Знаю, что ты сейчас скажешь: «Это неправильно! Кодировщик затирает байт перехода!». На это я отвечу: «Да, но мы уже использовали этот байт, и он нам больше не понадобится, так как переход на внедренные инструкции нужен лишь однажды — сразу после старта программы» :). Рассмотрим код более подробно. Первая инструкция по адресу 00401028 — установка счетчика цикла декодировки (ECX — для команды loop), следующие две команды — сохранение регистров ECX и EDX в стек, для того чтобы впоследствии их восстановить и не оставить следов после работы декодировщика. mov edx, [ecx+00401000] помещает в регистр EDX закодированные команды, смещенные относительно точки входа программы на значение ECX. Причем если учесть, что команда loop не увеличивает, а уменьшает счетчик ECX, становится понятно, что декодирование происходит по принципу «от хвоста к голове», то есть от конца закодированных данных программы по направлению к их началу. Следующая команда xor edx,35 в комментариях не нуждается — это декодировка значения, помещенного в edx. Разумеется, если ты решил выбрать более сложный способ кодировки, на месте этой инструкции должен находиться соответствующий набор команд. Далее декодированный код помещается на свое место в памяти. Следующие две инструкции восстанавливают регистры из стека (pop ecx, pop edx), далее находится команда счетчика loop 0040102D. В самом конце располагается безусловный переход на адрес памяти, начиная с которого будут находиться уже раскодированные после выполнения цикла декодировщика инструкции. Здесь, как ты, наверное, заметил, без трудностей не обойтись, так как в начало секции кода нужно вставить переход на декодировщик, то есть необходимо двигать весь код, а это приведет к необходимости впоследствии высчитывать и новое положение таблицы импорта. Но волков бояться — в лес не ходить. А вот и код нашего декодировщика в шестнадцатеричном виде: {B92700000052518B910010400083F235899100104000595AE 2EBEBBE} Сейчас я расскажу, как его получить. 00401000:jmp 00401028 ;Hex-коды перехода — EB26h 00401002:..... ;Закодированные инструкции... 00401028:mov ecx, 27 0040102D:push edx 0040102E:push ecx 0040102F:mov edx, [ecx+00401000] 00401035:xor edx,35 00401038:mov [ecx+00401000], edx 0040103E:pop ecx 0040103F:pop edx 00401040:loop 0040102D 00401042:jmp 00401002 План действий Итак, вот те действия, которые необходимо проделать для кодирования инструкций защищаемой программы и записи дешифратора в файл: 1. Открыть файл под отладчиком и определить, где располагается точка входа. У нас этот адрес равен 00401000h, но, по правде говоря, точкой входа это можно назвать с натяжкой. Данный адрес — это Image Base + Entry Point. Но мы все равно будем говорить «точка входа» для простоты. 2. Записать машинные коды первых 2-3 инструкций, которые мы видим в отладчике, и не забыть посмотреть, какую длину занимают все исполняемые инструкции, вместе взятые (после их окончания обычно расположен массив нулей, созданный компилятором для выравнивания, так что мы не испортим файл, вставив свой кодировщик). xàêåð 06 /102/ 07 / 079
Page 1:
июнь 06(102) 200 Охладис
Page 4 and 5:
MEGANEWS 004 MegaNews Все нов
Page 6:
meganews Meganews Дмитрий Т
Page 10:
meganews Кликни здесь
Page 14 and 15:
meganews Аудитория рун
Page 16 and 17:
meganews Корпорация Micro
Page 18 and 19:
ferrum Саркис «DeDal» Ге
Page 20 and 21:
ferrum Так нам заправи
Page 22 and 23:
ferrum Георгий Ходин В
Page 24 and 25:
ferrum $43 Spire VertiCool IV $45 S
Page 26 and 27:
ferrum Антон Зацепин У
Page 28 and 29:
ferrum чением по выдел
Page 30: ferrum ВАСИЛИЙ СТЕПАН
Page 33 and 34: ferrum NEXX NF-810 Сверхтон
Page 35 and 36: pc_zone Внешний вид пр
Page 37 and 38: pc_zone Поиск файлов, с
Page 40 and 41: pc_zone Хвостатый гуру
Page 42 and 43: pc_zone DVD У тебя будет
Page 44: pc_zone поддерживаемо
Page 47 and 48: pc_zone Страница с пар
Page 49 and 50: pc_zone Создаем алиас
Page 51 and 52: implant изображение на
Page 53 and 54: implant Первая версия
Page 55 and 56: implant Смышленый робо
Page 57 and 58: взлом Вот такая она
Page 59 and 60: взлом Исследование
Page 61 and 62: взлом Acrobat Control в IE т
Page 63 and 64: взлом xÀêåð 06 /102/ 07
Page 65 and 66: взлом http://www.raadio7.ee/sa
Page 67 and 68: взлом http:// Предупре
Page 69 and 70: взлом Состояния ли
Page 71 and 72: взлом Леонид «R0id» С
Page 73 and 74: взлом именно тот, к
Page 75 and 76: взлом Схема подклю
Page 77 and 78: взлом Предлагаемая
Page 79: взлом Схема защиты
Page 83 and 84: Ты наверняка слыша
Page 85 and 86: взлом запустить ма
Page 87 and 88: сцена Вечеринка 100xP
Page 89 and 90: сцена Спасибо! Огро
Page 91 and 92: сцена Глава Intel Пол
Page 93 and 94: сцена Клон Intel 8080 —
Page 95 and 96: сцена Уголовный ко
Page 98 and 99: unixoid Битва супербиз
Page 100 and 101: unixoid Fedora Core: создани
Page 102 and 103: unixoid KUbuntu: разбиение
Page 104 and 105: unixoid Пингвинья ищей
Page 106 and 107: unixoid Использование
Page 108 and 109: unixoid Top 10 ошибок кон
Page 110 and 111: unixoid ! Все знают, что
Page 112 and 113: coding Игорь «Spider_NET» А
Page 114 and 115: coding Полученный спи
Page 116 and 117: coding Deeoni$ / DeeoniS@gmail.com
Page 118 and 119: coding Новая ОС от Microso
Page 120: coding case RegNtPreSetValueKey: st
Page 123 and 124: coding _TEXT:0000000B mov eax, 0EBE
Page 125 and 126: креатиff Золотая кл
Page 127 and 128: креатиff «Суть «зол
Page 129 and 130: units две. Поскольку Fl
Page 131 and 132:
Ñòàâèì Windows ïî ñåòè
Page 133 and 134:
ХАКЕР.PRO Консоль уп
Page 135 and 136:
ХАКЕР.PRO Переходим
Page 137 and 138:
ХАКЕР.PRO Все настро
Page 139 and 140:
ХАКЕР.PRO . PyICQt.pid 127.0.0
Page 141 and 142:
ХАКЕР.PRO Пример кум
Page 143 and 144:
ХАКЕР.PRO POP EBP POP ESI POP
Page 145 and 146:
ХАКЕР.PRO Barracuda от Seaga
Page 149:
2007 x 06(АПРЕЛЬ)97 102
show all

ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÃÂ˜Ã‘ÂŽÃÂÃ‘ÂŒ - Xakep Online