img - Xakep Online

More documents

Recommendations

Info

ВЗЛОМRAZ0R HTTP://RAZ0R.NAMEПосле патча контрольная сумма отличалась всеголишь на один байт, и теперь переход выполнен нетуда, куда надоflag_1 = 1end ifelse if sequence = 1if flag_2 = 0proc_2flag_2 = 1end ifend ifend whilemacro proc_1 {proc AnyProcedure1...retendp}macro proc_2 {proc AnyProcedure2....retendp}Проверив этот код, убеждаемся, что процедуры выставляются какнадо, случайно, код не портится.0XDEFACED, ÈËÈ ÎÁÔÓÑÊÀÖÈß: ÄÈÍÀÌÈ×ÅÑÊÎÅÂÛ×ÈÑËÅÍÈÅ ÀÄÐÅÑÎÂОдин из способов противодействия дизассемблерам и обману анализаторов— динамическое вычисление адресов переходов или адресовпеременных. Пример, как можно вычислять адрес:push label - valueadd [esp],valuejmp [esp]....label:add esp,4; èçáàâëÿåìñÿ îò íåíóæíîãîСледует сделать случайными алгоритмы вычисления, варианты реализацииалгоритма, и, естественно, значения для модификации. Примерамиэтого станут представленные ниже макросы o_jmp и olabel:macro o_jmp destination {randomizevariant = rndnum mod 2if variant = 0randomizevalue = rndnum mod IMAGE_BASE060push destination - valueadd [esp],valuejmp [esp]else if variant = 1randomizevalue = rndnum mod (0xFFFFFFFF - IMAGE_BASE- 0x1000)push destination + valuesub [esp],valuejmp [esp]end if}macro o_label name {label nameadd esp,4}Итог работы макросов:68001127b6 | push dword 0xb6271100812c249b10e7b5 | sub dword [esp], 0xb5e7109bff2424| jmp dword near [esp]31c0| xor eax, eax83c404| add esp, 0x431c0| xor eax, eaxБез трассировки и не узнаешь, куда ведет переход, следовательно,статический анализ обламывается. Здесь также стоит учитывать занятые\свободныерегистры в генераторе мусора, так как постоянноеиспользование Esp ставит клеймо на способе, да и само по себе накладно.Еще одной неплохой уловкой является вставка переходов наданные, но переходы эти никогда не выполняются (или выполняютсятолько при наличии отладчика). Это сбивает с толку анализаторы, иони пытаются дизассемблировать данные. Пример макроса:macro facke_code_ref data_addr,jmp_addr {xor eax,eaxinc eaxjnz jmp_addrcall data_addr;trash}В итоге адрес data_addr будет анализироваться как код.0XA55 — ÇÀØÈÔÐÎÂÊÀ ÊÎÄÀ\ÄÀÍÍÛÕЗамечательными функциями макроязыка FASM, отличающими егоот других макроассемблеров, являются load и store. Использовать ихможно для шифрования кода или данных. Простой пример, для шифрованияиспользуется xor:macro xor_data start,length,key {repeat lengthload x from start+%-1x = x xor keystore x at start+%-1end repeat}Очень полезный макрос, я его использовал для зашифровки строковыхданных. Пример использования:randomizeXOR_KEY = rndnum mod 0xFFxor_data strings, strings_size, XOR_KEYstrings:XÀÊÅÐ 08 /139/ 10
Взгляд на многообещающее будущее через окноradareany_string db 'Mate.Feed.Kill.Repeat'strings_size = $ - strings0XABA51A, ÈËÈ ÊÎÍÒÐÎËÜ ÖÅËÎÑÒÍÎÑÒÈ ÊÎÄÀВычислив на стадии компиляции контрольные суммы участков кода,можно защититься от модификации, пересчитывая и проверяя при выполненииэти суммы. Также подобным образом можно детектироватьтрассировку посредством вставки в код прерывания int3, как делаютмногие отладчики. Макрос, вычисляющий crc32 сумму блока кода:CRC32_SUM = 0macro calc_crc32 start, size {local b,cc = 0xffffffffrepeat sizeload b byte from start+%-1c = c xor brepeat 8c = (c shr 1) xor (0xedb88320 * (c and 1))end repeatCRC32_SUM = c xor 0xffffffff}Хочу заметить, что операции вида if(original_hash != current_hash) Error() абсолютно бесполезны! Хотя используются повсеместно,даже в крутых протекторах. А вот нечто подобное:mov eax,address + original_hashsub eax,current_hashcall eaxСовсем другое дело. Двух зайцев сразу: обфускация — динамическое вычислениеадреса перехода, и контроль целостности кода, то есть, если кодбыл каким-либо образом изменен, будет выполнен переход кот знает куда.0XACCEDE, ÈËÈ ÎÁÌÀÍ ÀÍÀËÈÇÀÒÎÐÎÂАнализаторы исполняемых файлов вроде PEiD используют сигнатурныйпоиск, в базе находятся цепочки байт, которые встречаются впопулярных протекторах\упаковщиках. Для того, чтобы сбить с толкувзломщиков своей программы, я создал макрос, добавляющий в EntryPoint программы случайную сигнатуру. Воспользовавшись вышеупомянутыманализатором или его аналогом и получив ложный результат,взломщик попытается распаковать программу либо автоматическимраспаковщиком, либо вручную, следуя описанию. И, конечно же, ничегоне получится, кроме тяжелого ступора.macro facke_sign {randomizevariant = rndnum mod Nif vatiant = 0;PE Protect 0.9 -> Christoph Gablerpush edxpush ecxpush ebppush edidb 0x64, 0x67, 0xA1, 0x30, 0x00;FASM ãåíåðèðóåò äëèííûé ôîðìàò èíñòðóêöèèРезультат работы немного расширенного макроса};mov eax,[fs:0x30], ïîýòîìó çàïèñàë òàêèì îáðàçîìtest eax,eaxjs @f+1call .end.signpop eaxadd eax,7db 0xC6nopret@@:db 0xE9,0x00,0x00,0x00,0x00.end.sign:else if variant = 1;CD-Cops II -> Link Data Securitypush ebxpushadmov ebp,0x90909090lea eax,[ebp-0x70]lea ebx,[ebp-0x70]call $+5lea eax,[ecx]db 0xE9,0x00,0x00,0x00,0x00...else if variant = N...0XAD105. ÇÀÊËÞ×ÅÍÈÅГрамотное использование и комбинирование описанных мною техникпозволяет сделать серьезную защиту. Это и очень удобно: написав,отладив программу, с минимальными правками исходного кода превращаемее в неприступный бастион. После того, как я написал свойнабор макросов, протестировал и применил их к своей программе,мне пришла в голову еще одна замечательная идея. Данный методя еще и автоматизировал следующим способом: поместил на серверисходный код программы и компилятор FASM, при запросе пользователемtrial-версии программы она автоматически компилируется;таким образом получается, что каждому пользователю выдаетсяуникальная версия программы. Универсальные взломщики (патчеры,crack'и и т.п.) просто бессильны — придется ломать каждую копиюотдельно. А это ведь непросто, учитывая, что весь код изменен, а некак у навесных протекторов, только «сверху». Мне, как разработчику,остается только чаще обновлять исходники и совершенно не волноватьсяо том, что мою программу могут взломать. Так что, open youreyes, open your mind! zXÀÊÅÐ 08 /139/ 10 061
Page 1:
ВЗЛОМ АУТЕНТИФИКАЦ
Page 4 and 5:
MegaNews004 Все новое за
Page 6:
MEGANEWSМАРИЯ «MIFRILL» НЕ
Page 10 and 11:
MEGANEWSÈÇÐÀÈËÜ ÂÅÐÁÓÅ
Page 13 and 14: Реклама11
Page 15 and 16: ÑÏÅÖÑËÓÆÁÛ ÑØÀ ÍÅÃ
Page 17 and 18: ÓÒÅ×ÊÀ ÑÅÊÐÅÒÍÎÉ È
Page 19 and 20: с помощью специаль
Page 21 and 22: Pro3Q QOO!TOWER ION9400 ðóá.ÒÅ
Page 23 and 24: VIEWSONICVOT120 PC MiniÒÅÕÍÈ×
Page 25 and 26: codinglotus.xakep.ruX-testing сont
Page 28 and 29: PC_ZONEСтепан «Step» Иль
Page 30 and 31: PC_ZONEВносим важные п
Page 32 and 33: PC_ZONEАлександр Лозо
Page 34 and 35: PC_ZONEПример асинхро
Page 36 and 37: PC_ZONEКапитан Улитка
Page 38 and 39: PC_ZONEПодробные логи
Page 40 and 41: ВЗЛОМТюрин «GreenDog»
Page 42 and 43: ВЗЛОМ//Èùåì ñòðîêóif
Page 44 and 45: ВЗЛОМАлексей Синцо
Page 46 and 47: ВЗЛОМAcrobat Reader. Эксп
Page 48 and 49: ВЗЛОМЭтого достато
Page 50 and 51: ВЗЛОМИз ARP-сообщени
Page 52 and 53: ВЗЛОМANTI-NATO natobreak@yahoo
Page 54 and 55: ВЗЛОМНет, конечно,
Page 56 and 57: ВЗЛОМЗазеркалье —
Page 58 and 59: ВЗЛОМ«HellMilitia» and «my
Page 60 and 61: ВЗЛОМXOR_KEY, между пр
Page 64 and 65: ВЗЛОММаг icq 884888, http:/
Page 66: ВЗЛОММой шелл на azar
Page 69 and 70: Результат переполн
Page 71 and 72: Описание:access violation
Page 73 and 74: ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 75 and 76: Граббер сайтовНакр
Page 77 and 78: Разбор вывода анти
Page 79 and 80: Реклама
Page 81 and 82: Кристалл запустилс
Page 83 and 84: Зачем и почему нужн
Page 85 and 86: ÔÓÒÓÐÈÑÒÈ×ÍÛÉ ÑÈÍÃ
Page 87 and 88: них мы, конечно, не
Page 89 and 90: в понедельник вот п
Page 91 and 92: Выбор режима работ
Page 93 and 94: Все вспомогательны
Page 97 and 98: WARNINGwarningРедактируе
Page 99 and 100: Оптимизируем работ
Page 101 and 102: WARNINGСокращенная ст
Page 103 and 104: ldd для Firefoxне в них.
Page 107 and 108: codingMasterBotBotBotСхема ц
Page 109 and 110: codingINFOРезультат раб
Page 111 and 112: codingФорма HoldemConsoleФо
Page 113 and 114:
codingÑàéòû ïî òåìåПр
Page 115 and 116:
codingАдреса загрузки
Page 117 and 118:
CODINGdeeonis deeonis@gmail.comКО
Page 119 and 120:
поймать в месте выз
Page 121 and 122:
ëà äëÿ «Îäíîêëàññí
Page 123 and 124:
ñîäåðæàùèå çàïðåùå
Page 125 and 126:
FORWARD="80>192.168.0.100" â ôà
Page 127 and 128:
OpenBSD, pf и NATîòêðûòûé
Page 129 and 130:
SYN/ACKЕвгений Зобнин
Page 131 and 132:
Apache с различными MPM-
Page 133 and 134:
Слоеный пирог типи
Page 135 and 136:
×òîáû óñòàíîâèòü vSp
Page 137 and 138:
INFOКлиент управлени
Page 139 and 140:
информацию с перер
Page 141 and 142:
Если хочешь быть пр
Page 143 and 144:
обновляемого на са
Page 145 and 146:
x№ 08(139)АВГУСТ 2010>>WIND
show all

img - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?