img - Xakep Online

More documents

Recommendations

Info

ВЗЛОМ«HellMilitia» and «my Death» icq 884888, http://snipper.ruÌÓÒÀÖÈß ÊÎÄÀ ÂÎ ÂÐÅÌßÊÎÌÏÈËßÖÈÈÎäíàæäû, ïîñëå íàïèñàíèÿïðîãðàììû, êîòîðóþ ÿ õîòåëñäåëàòü ïëàòíîé, ÿ çàäóìàëñÿî âîïðîñå åå çàùèòû. Ïèñàòüíàâåñíîé ïðîòåêòîð æåëàíèÿíå áûëî, äà è âðåìåíè òîæå.Âîçìîæíî ëè ñäåëàòü÷òî-òî ñðåäñòâàìè êîìïèëÿòîðàFASM, âåäü ó íåãî ìîùíåéøèéìàêðîÿçûê?Â ýòîé ñòàòüå ÿ ðåøèë îïèñàòü,÷òî âûøëî èç ìîèõýêñïåðèìåíòîâ. Çäåñü íà ïðîñòûõïðèìåðàõ áóäóò îïèñàíû ìåòîäûïîëèìîðôèçìà, ïåðìóòàöèè,ìåòàìîðôèíãà è îáôóñêàöèèáèíàðíîãî êîäà.Итак, мне кажется, я добился отличных результатов, ведь у меня сблеском получилось реализовать: полиморфизм (генерация мусорногокода), метаморфинг (замена инструкций аналогами), пермутацию(случайное перемешивание блоков кода с сохранением функционала илогики работы), обфускацию (метод запутывания логики кода, противодействиеанализу), контроль целостности кода (для защиты от изменения,patch'ей), шифрование кода и данных. Рандомизация кода служитдля защиты от автоматических распаковщиков, анализаторов, патчей,обфускация — для запутывания исследователя; при достаточной обфускациианализ программы может затянуться на долгие месяцы... Хватитболтовни, приступим!0XBA11EE PRNGПервоначально следует написать генератор псевдослучайных чисел —сердце любого движка рандомизации кода. Генератор я взял простой,наподобие ANSI C, для моих целей его вполне хватало.та же последовательность чисел. После недолгих раздумий и чтенияофициального форума, я нашел значение, которым можно завести генератор— это timestamp, UNIX-время. Получить его можно вот такимобразом: randseed = %t. Генерировать случайное число, к примеру,в диапазоне 0 - 0xDEAD, теперь можно так:randomizerandom_number = rndnum mod 0xDEAD - 10XBADC0DE ÈËÈ ÃÅÍÅÐÀÖÈß ÌÓÑÎÐÀДля начала, попробуем написать макрос для генерации простойинструкции — int. Состоит int из двух байт — опкода 0xCD и номерапрерывания, который и будет случаен. Получаем номер прерывания:randomizeint_val = rndnum mod 0xFFrndseed = 100500macro randomize {randseed = randseed * 1103515245 + 12345randseed = (randseed / 65536) mod 0x100000000rndnum = randseed and 0xFFFFFFFF}Работает он исправно, но, так как инициализирующее значение постоянно,каждый раз, при каждой компиляции будет выдана одна иДалее пишем следующую незаурядную конструкцию:db 0xCDdb numПока все просто. Оформив эти 4 строки в отдельный макрос gen_int ивызвав несколько раз, убеждаемся с помощью отладчика или дизассемблера,что код действительно случайный: rept 7 { gen_int }.И вот что получилось:056 XÀÊÅÐ 08 /139/ 10
macro freereg {RREG = NOREGwhile (RREG = RESP) | (RREG = REBP) | (RREG = -1)| (RREG = USEDREG1) | (RREG = USEDREG2)randomizeRREG = rndnum mod 8end while}Затаившийся в бинарном мусореантиотладочный трюкcd78 | int 0x78cda6 | int 0xa6cdb4 | int 0xb4cd36 | int 0x36cdec | int 0xeccd6a | int 0x6acd68 | int 0x68Метод rept fasm'а выполняет код указанное количество раз. По-моему,начало более чем хорошее, нас ждет много интересного. Давай теперьрассмотрим генерацию инструкции lea; здесь я хочу осветить несколькоаспектов. Сперва нужно завести константы, соответствующие регистрам:Регистры Esp и Ebp не трогаем, дабы не сорвать стековый фрейм. Этопервое, что я хотел осветить. Чтобы код был похож на произведенныйнормальным компилятором (дабы не показывать сразу исследователю,что его водят за нос), следует немного ограничивать фантазию. Приведупример на инструкции lea, которая, как известно, используется дляполучения\вычисления адреса. Принимающий регистр будет случайным,а как быть со вторым операндом? Возьмем значение в диапазонеEntry Point - (Entry Point + размер секции кода), ну или, для простоты,возьмем значение 0x1000. Для большего соответствия с нормальнымкодом следует брать адреса из секции данных. Макрос, генерирующийинструкцию lea по правилам, описанным ранее:macro gen_lea {freeregreg = (RREG * 8) + 5randomizeaddress = (rndnum mod ((ENTRY_POINT + 0x1000 + 1)- ENTRY_POINT)) + ENTRY_POINTdb 0x8Ddb regdd address}REAXRECXREDXREBXRESPREBPRESIREDI= 0 ; AL= 1 ; CL= 2 ; DL= 3 ; BL= 4 ; AH= 5 ; CH= 6 ; DH= 7 ; BHЧтобы не нарушить работу кода, следует учитывать занятые регистры.Заведем переменные, хранящие их:NOREG = -1USEDREG1 = NOREGUSEDREG2 = NOREGRREG= NOREGКонстанту ENTRY_POINT объявляем заранее:entry start...start:ENTRY_POINT = $Или, что предпочтительнее: ENTRY_POINT = $$. Итог работы макроса,вызванного несколько раз:8d3db10a4000 | lea edi, [0x400ab1]8d154c044000 | lea edx, [0x40044c]8d1d68054000 | lea ebx, [0x400568]8d05e7024000 | lea eax, [0x4002e7]8d15db0e4000 | lea edx, [0x400edb]8d15670f4000 | lea edx, [0x400f67]Их может быть сколько угодно — зависит от логики работы программы,логики работы генератора и строения блока кода. Ниже представленмакрос, генерирующий случайный регистр, не учитывая занятые. Использоватьбудем только как источник.macro rndreg {RREG = NOREGwhile (RREG = NOREG) | (RREG = RESP) | (RREG = REBP)randomizeRREG = rndnum mod 8end while}В принципе, можно включить в варианты и Esp Ebp регистры, но мне захотелосьтак. Теперь макрос, генерирующий случайный незанятый регистр:Как видишь, код случаен, и не бросается в глаза необычностью.Теперь не мешало бы объединить написанные макросыв один и построить код так, чтобы его было легко изменятьили добавлять в него новые методы генерации инструкций, нодля начала напишем еще один макрос для генерации FPUинструкций:macro gen_fpu {randomizetype = rndnum mod 0x2Fdb 0xD8db 0xC0 + type}Проверим:XÀÊÅÐ 08 /139/ 10 057
Page 1:
ВЗЛОМ АУТЕНТИФИКАЦ
Page 4 and 5:
MegaNews004 Все новое за
Page 6:
MEGANEWSМАРИЯ «MIFRILL» НЕ
Page 10 and 11: MEGANEWSÈÇÐÀÈËÜ ÂÅÐÁÓÅ
Page 13 and 14: Реклама11
Page 15 and 16: ÑÏÅÖÑËÓÆÁÛ ÑØÀ ÍÅÃ
Page 17 and 18: ÓÒÅ×ÊÀ ÑÅÊÐÅÒÍÎÉ È
Page 19 and 20: с помощью специаль
Page 21 and 22: Pro3Q QOO!TOWER ION9400 ðóá.ÒÅ
Page 23 and 24: VIEWSONICVOT120 PC MiniÒÅÕÍÈ×
Page 25 and 26: codinglotus.xakep.ruX-testing сont
Page 28 and 29: PC_ZONEСтепан «Step» Иль
Page 30 and 31: PC_ZONEВносим важные п
Page 32 and 33: PC_ZONEАлександр Лозо
Page 34 and 35: PC_ZONEПример асинхро
Page 36 and 37: PC_ZONEКапитан Улитка
Page 38 and 39: PC_ZONEПодробные логи
Page 40 and 41: ВЗЛОМТюрин «GreenDog»
Page 42 and 43: ВЗЛОМ//Èùåì ñòðîêóif
Page 44 and 45: ВЗЛОМАлексей Синцо
Page 46 and 47: ВЗЛОМAcrobat Reader. Эксп
Page 48 and 49: ВЗЛОМЭтого достато
Page 50 and 51: ВЗЛОМИз ARP-сообщени
Page 52 and 53: ВЗЛОМANTI-NATO natobreak@yahoo
Page 54 and 55: ВЗЛОМНет, конечно,
Page 56 and 57: ВЗЛОМЗазеркалье —
Page 60 and 61: ВЗЛОМXOR_KEY, между пр
Page 62 and 63: ВЗЛОМRAZ0R HTTP://RAZ0R.NAMEП
Page 64 and 65: ВЗЛОММаг icq 884888, http:/
Page 66: ВЗЛОММой шелл на azar
Page 69 and 70: Результат переполн
Page 71 and 72: Описание:access violation
Page 73 and 74: ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 75 and 76: Граббер сайтовНакр
Page 77 and 78: Разбор вывода анти
Page 79 and 80: Реклама
Page 81 and 82: Кристалл запустилс
Page 83 and 84: Зачем и почему нужн
Page 85 and 86: ÔÓÒÓÐÈÑÒÈ×ÍÛÉ ÑÈÍÃ
Page 87 and 88: них мы, конечно, не
Page 89 and 90: в понедельник вот п
Page 91 and 92: Выбор режима работ
Page 93 and 94: Все вспомогательны
Page 97 and 98: WARNINGwarningРедактируе
Page 99 and 100: Оптимизируем работ
Page 101 and 102: WARNINGСокращенная ст
Page 103 and 104: ldd для Firefoxне в них.
Page 107 and 108: codingMasterBotBotBotСхема ц
Page 109 and 110:
codingINFOРезультат раб
Page 111 and 112:
codingФорма HoldemConsoleФо
Page 113 and 114:
codingÑàéòû ïî òåìåПр
Page 115 and 116:
codingАдреса загрузки
Page 117 and 118:
CODINGdeeonis deeonis@gmail.comКО
Page 119 and 120:
поймать в месте выз
Page 121 and 122:
ëà äëÿ «Îäíîêëàññí
Page 123 and 124:
ñîäåðæàùèå çàïðåùå
Page 125 and 126:
FORWARD="80>192.168.0.100" â ôà
Page 127 and 128:
OpenBSD, pf и NATîòêðûòûé
Page 129 and 130:
SYN/ACKЕвгений Зобнин
Page 131 and 132:
Apache с различными MPM-
Page 133 and 134:
Слоеный пирог типи
Page 135 and 136:
×òîáû óñòàíîâèòü vSp
Page 137 and 138:
INFOКлиент управлени
Page 139 and 140:
информацию с перер
Page 141 and 142:
Если хочешь быть пр
Page 143 and 144:
обновляемого на са
Page 145 and 146:
x№ 08(139)АВГУСТ 2010>>WIND
show all

img - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?