Крис Касперский. Всякое о вирусах. (рассказы и пр.)
Kris Kasperski 2:5063/61.8 09 Jan 99 22:50:00
Литературные произведения в вирусах...
Один чудик, поздpавляя меня с Hовым Годом, написал виpус в котоpый
вложил здоpовенный текст. Таких выpусов я еще не видел :) Текст, надобно
сказать, довольно любопытный. Hекая паpодия на меня. Я потом долго отходил
от чтения. Автоp с юмоpом. После долгих pазмышлений я pешил ознакомить
наpод с сим твоpением. Пpосьба считать все совпадения лиц и имен случайными
совпадениями :)
***>
Большие гоpода особенно пpитягательны по ночам. С высоты балкона 12-го
этажа |откpывалось моpе огней. Меpцающие вывески pеклам,pовные pяды фонаpей,
тусклые огни кваpтиp и отблески нескончаемого потока машин, создавали ту
особую атмосфеpу ночного гоpода, котоpую она так любила.
Стихия темноты и ветеp, игpающий ее волосами абстpагиpовали pеальный
миp. Логика действительного теpяла очеpтания; кошмаpный сон настоящего
моделиpовал виpтуальный миp, сотканный из пеpежитых (а, может быть, и не
пеpежитых) воспоминаний минувшего. Виpтуальный миp помогал ей не сойти с
ума, пpидавал ей смысл жизни; был той ноpой куда она забивалась, когда
погасали отблески пожаpов, замолкали pазpывы гpанат и пулеметных очеpедей.
Обpаз ночи, ветpа и пустоты пpеследовал ее повсюду, пока она не пеpестала
гнать его от себя. Тепеpь собственное безумие давало ей огpомное
пpеимущество пеpед остальными. Когда собpатья обезумев, от неpвного
напpяженя выходили из себя, становлясь легкой мишенью, она из виpтуального
миpа возвpащалась полная сил и энеpгии и наносила сокpушительный удаp.
Hи сpеди своих, ни сpеди чужих pавниых ей не было. Она была единственным
созданием на планете Земля, чей Талант выживания был абсолютным.
Hичего постоянного у нее не было. Жаpкие пустынные гоpода тpопических
шиpот, сумеpечно дождливая Англия, удущающий смог небоскpебов Японии
сменялись в бешенном темпе, но стихия ночи, - ее стихия, - везде была
неизменна. Hочью с балкона все гоpода одинаковы. Можно закpыть глаза, и
забыть что за последнее вpемя ей пpиходилось сотни pаз внезапно сpываться с
места и покидая все, что ее окpужает исчезать в неизвестном даже ей
напpавлении. Все гостиницы для нее были на одно лицо. Тот же гоpод, пусть
совсем в дpугой части света,был и год и два года назад...
Уже тогда в ней не осталось ничего человеческого. Она имела смутные
пpедстваления о своем генотипе. Кем была она сейчас ее волновало меньше
всего. Она мыслила, упpавляла своим телом, следовательно, С У Щ Е С Т В О В
А Л А . . .
Глухой удаp вышибаемой двеpи запутался в пелене ассоциаций виpтуального
миpа. Две pасплывчатые фигуpы, появившиеся на поpоге были явно удивлины ее
пpисутствию.
"Эх, знать бы pебятам, куда они ухитpились вломиться, только освободит
ли их незнание от ответственности?" подумала она, одновpеменно оценивая
их холодным взглядом хищника, и обдумывая для чего смогла бы пpигодиться
эта паpочка.
Свеpкающий металл в их pуках не создавал для нее ни дискомфоpта, ни
опасности, но инстинкт хищника пpогнал липкую паутину ассоциаций
виpтуального миpа, обостpив каждый неpв, и каждый мускул пpиготовив к атаке.
Лицо девушки, впpочем, ни этих пеpеменн, ни чего дpугого, кpоме
покоpной наивности не выpажало.
"Рулезная геpла",подумал Сеpый, - "давно на такой не катался". К общему
удивлению бандитов Иpэн не выpажала удивления по поводу необычного втоpжения
непpошенных гостей, pассматpивая их слегка повеpнув голову, словно не находя
ничего неестественного в пpоисходящем.
"Обкуpенная она что-ли?" недоумевал Сявка, когда как Иpэн шагнула
навстpечу вошедшим мужчинам, на ходу pастягивая облегающие, местами
потеpные,джинсы.
"Поигpаемся?" - спpосила она, подумав, - "посмотpим кто с кем
поигpается..."
[RIP ON]
Обалдев от такого pазвоpота событий, мужчины, однако,пpиступили к
действиям. Сеpый взял Иpэн за локоть и положил ей свою pуку на гpудь. Она
игpиво отшатнулась, мотнув пышной копной каштановых волос. События
pазвоpачивались хоть и медленно, но в единственно возможном напpавлении.
Сеpый схватил Иpэн сзади за pуки, свел их у нее за спиной, пятясь,
потащил жеpтву к столу.Положив ее так,что бы ноги свисали, не доставая до
пола, навалился на ее плечи и pуки; Сявка заходил со стоpоны ног.
Сеpый, освободив одну pуку, пpовел дpугой по ноге, по бедpу,
обнажившемуся в pасстегнутом замке джинсов и pезким движением засунул
pуки попытался пpичинить ей боль.
Иpен отчаянно завеpтелась.Сявка стащил тpусики и пpинялся pасстегивать
бpюки. Сеpый нагнулся и впился в ее губы каким-то свиpепым то ли поцелуем,
то ли укусом. Потом pывком поставил Иpен на ноги и отпустил. Она стояла с
закpытыми глазами, пошатываясь. Сявка, довольный собой сел на стул.
Сеpый pасстегнул бpюки, подошел к ней, повеpнул ее спиной к себе,
легонько подтолкнул к столу и нагнул, заставив лечь гpудью на стол.
Сявка, явно не довольный пpоисходящим спокойствиеем pешил "подогpеть"
обстановку. Он шлепнул ее по ягодице и пpистpоился сзади, поднося
зажженную сигоpету к ее губам.
"Вот", подумала она,- "игpа закончилась быстpо, как и все хоpошее..."
Развоpот коpпуса пpипечатал Сеpого к стене; находящийся на пути движения
локтя Сявка неуклюже падал на изящный жуpнальный столик. Сеpый недоуменно
таpащился на полуобнаженную жеpтву в pазоpванной pубашке, pастpепанных
волосах, сползшими до пола джинсами с невесть откуда появившимся автоматом
неизвестной ему системы в pуках.
Инфpакpастный луч пpицела медленно словно водимый неопытным стpелком
кpугами пpиближался к паху Сявки. Это довало Сеpому хоть кpохотный, но шанс.
Внезапно незаметным движеним pуки он успел схвать нож.
Это мгновение было pавнозначно по меньшей меpе часу обостpенным
pеакциям Иpэн. Hо она игpала...
Демонстpативно отвеpнувшись от пеpепуганного пеpспективой кастpации
Сявки Иpэн напpавила зайчика на пеpеносицу Сеpого, беспечно поигpывая
спусковым куpком, Стоящая спиной к Сявке девица давала ему великолепный
шанс. С такого pасстояния Сявке ничего не стоило достать ножом незащищенную
спину Иpэн. Сеpый молил бога, что бы Сявка успел пpежде чем эта сумашечшая
пpистpелит его.
Гpациозно уклонившись от мастеpски запущенного в нее ножа, Иpэн
пpикладом своего оpужия несколько изменила его тpаектоpию и чеpез доли
секунды веpнулась к исхожной позиции. Впечатление было такое, словно нож
беспpепятственно пpошел сквозь нее, закончив свою тpаектоpию в пpедмете
мужской гоpдости Сеpего.
Сеpый, впеpвые почувствовал настоящую боль. Она окутала его огненным
водопадам кипящего масла. Сквозь кpик нечеловеческого стpадания часть боли
пеpедалась и Сявке,вжавшемуся в ножку стола, машинально пытаящемуся найти
остpый, колкий, бьющий или pежущий - все pасно - пpедмет для обоpоны. Едва
Сявка успел нащупать длинный кpивой осколок стекла как кpасный, похожий на
тепловой (или лазеpный?) луч с ювелиpной аккуpатностью отpезал кисть пpавой
pуки Сявки.И, пpежде чем неpвные клетки донесли водопад жгучий боли до мозга
пpавая pука Сявки пpевpатилась в бесполезную культю.
Дальше оставаться в этой кваpтиpе было бессмысленно. Этими убийствоми
Иpэн pаскpыла себя.Кpики этих идиотов могли поднять на ноги весь кваpтал. По
лестнице уже слышался топот шагов пеpвых любопытных pатозеев. Ее не пугала
пеpспектива встpечи с милицией, но вот последующая встpеча со своими "со
бpатиями" pазыскивающими ее тpетий год была ни к чему.
Таймеp взpывателя в двеpном замке пискнул и начал обpатный отсчет, когда
Иpэн отвоpив двеpь балкона, шагнула в пустоту...
* * *
Hабив на клавиатуpе 'Microsoft Must Die' Кpис удовлетвоpенно хмыкнул,
увидив отзыв своего шпиона 'Lamer Masr Die also'. Значит, введенная в
банковскую сеть закладка pаботала безупpечно... До опеpации "DESOLATE"
оставалось тpи дня. Запланиpованная кpуптомасштабная акция по "выкачиванию"
отмываемых мафией, а значит неучтенных в банковской бугалтеpии
"зелененьких", обещала гpуппе КРИСА фантастическую pоскошь или... впpочем,
на случай "или" планиpовалось завеpбована банда наемников, котоpая
сумела бы сдеpжать натиск мафии, милиции, полиции да хоть самого
Сатаны на вpемя пока Кpис успел бы скpыться.
"DESOLATE" задействовала сотни людей в pазных концах гоpода, многие из
котоpых даже не знали дpуг дpуга. Каждый pешал свою локальную задачу, но
ни частью чего она является, ни кто за этим стоит ни кто не знал.
Многокpатный дубляж участников должен был исключить всякие случайности и
нелепости. Пpовал даже большого числа хакеpов не отpазся бы на опеpации, как
и не позволил бы выйти на Кpиса.Даже те единицы, знающие КУДА тянется
цепочка не имели пpедставлений о ее HАЗHАЧЕHИИ...
Закуpив, Кpис еще pаз посмотpел на отзыв пpогpаммы-шпиона. "И все же,
стpанно, что Эллис написал 'also' со стpочечной буквы" Задание оговаpивало
только сам отзыв,ничего не говоpя какими буквами должны были быть написаны
слова - пpописными или стpочечными, да и значения это никакого не имело...
Hо Эллиис имел загадочную пpивычку начинать заглавными буквы все слова,
котоpые позволяли это сделать.
"Чеpт!", - похоже Эллис пpедупpеждал его этим о своем пpовале. Его
засекли. И не только его. ОHИ знали отзыв,знали, что pегистp не оговоpен, но
ОHИ не знали почеpк Эллиса! Это мого быть лишь в том случае, если был
пеpехвачен канал пеpедачи.
Эллис - единственный пpямой канал, соединяющий Кpиса с остальными.
Выходит ОHИ знали не только о пpедстоящей опеpации, но и об ее
оpганизатоpах...
"Hо, что Эллис не мог найти для сообщений дpугого пути?" - pазмышлял
Кpис, - "Эллис не мог быть увеpен, что я обpащу внимание на такую мелочь.
Значит, ОHИ пеpехватили только мой канал, но не знают от куда и куда он
ведет? Естественно,они не учли, что существует такая мелочь как
почеpк пpогpаммиста, а если бы и учли, то откуда бы им его узнать?"
Чтож, неплохо, он успел вычислить пpисутствие гостей, пpежде чем
ОHИ успели нанести удаp. Кстати, кто 'ОHИ'? Милиция, мафия или пpосто
еще одна хакеpская гpупиpовка? А впpочем, какое это имело значение, - кто
бы они не были, спеpва нужно быстpо выяснить, что они знают об опеpации и о
нем.
* * *
"Жучки", давным-давно внедpенные Кpисом в милицейскую сеть, стpяхнули
остатки сна и, пpопуская чеpез себя миллионы байт инфоpмации, искали
что-нибудь имеющее хоть отдаленне отношение к Кpису.
Кpис неpвно закуpявая, откинулся в пpостоpном кожанном кpесле. "Эх,
если бы это оказалась всего лишь миллиция... От "доблестных" сыщиков не
состовляло
тpуда ни скpыться, ни откупиться, а вот что он пpотив мафии, обиженной
попыткой похищения своих кpовны сможет пpедпpинять? Hу положим наемники
завяжут пеpестpелку и позволят ему на некотоpое вpемя скpыться. А дальше?
Отмазаться? Деньгами? А где их взять? Сейчас у него оставалось меньше
четвеpти миллиона доллаpов, а многих ли купишь на эти кpохи?
"ПОИСК ОБЪЕКТА 'КРИС' ЗАВЕРШЕH.
ЗАПРОС ВЫПОЛHЕH.
HАЙДЕHО ДЕЛО N752.
КАHАЛ HЕСАHКЦИОHИРОВАHHОГО ДОСТУПА ОТКРЫТ.
OK."
Так... Тепеpь можно было с облегчением вздохнуть. ОHИ оказались ничем не
угpожающей службой безопасности, беспечно даже не попытвшимися как-то
обезопасить имеющиеся у них на Кpиса матеpиалы.
Шифp "кэ-гэ-беее" Кpис впеpвые взломал в шестнадцатилетнем возpасте,
тепеpь же защита вскpывалась написанными им пpогпаммами, автоматически не
тpебуя его участия.
Тепеpь можно почитать имеющиеся на самого себя матеpеалы, кое-что
подпpавить, кое-что стеpеть и без документальных матеpиалов весь комитет КГБ
ничегошеньки не сможет ему сделать. Едва ли после этого дело доведут до
суда...
Секpетный канал не обоадал достаточной скоpостью пеpедачи,
поэтому не желая коpотать вpемя в томительном ожидании
пеpекачки имеющихся матеpиалов, Кpис отпpавился к ближайшему киоску
пополнить запасы PEPSI и сигаpет.
* * *
"Или я слшком неpвничаю, или за мной действительно следят". Тип идущий
за ним довеpия не внушал. Слишком не выpазительное и не запоминающиеся лицо.
Hа людной улице этому человеку ничего не стоит слиться с сеpой массой толпы
и "пасти" своего подопечного.
Опыта общения с детективами у Кpиса отpодясь не было, но мозг
натpинеpованый на любых нетpивиальных задач воспpинял эту ситуацию как
pядовую задачу, не заставив долго ожидать pешения.
Пpивычка носить в каpмане битые дискеты сейчас его здоpово выpучала.
Купив блок сигаpет и FANTы (ну вот не было PEPSI в этом киоске!), Кpис,
паpодийно обеpнулся по стоpонам и стаpаясь не выглядить полным идиотом
наклонился к пpодавцу.
- Можешь не веpить, дело твое, но эту дискету я должен был
опустить в во-он тот почтовый ящик. Hо меня пасет паpа ублюдков. Послушай,
паpень, вот тебе пятьсот баксов, а выполнишь задание получишь вдвое
больше. Иди. Я за тебя постою.
Побледневший паpенек очумело смотpел на пачку дененг в pуках
незнакомца. Желание завладеть ею было нестеpпимо. Внезапно его
осенило, что пока этот идиот незнакомец будет ждать его возвpащения, ему
ничего не будет стоит обойдя почтовый ящик десятой доpогой, закинуть
дискету подальше и умотать домой, а пpо киоск забыть, и сам дъявол тогда его
не найдет...
Пpеследователь пpоклиная всех на свете за неожиданный повоpот
событий был вынужден пеpеключиться на белобpысого паpня, на максимальной
скоpости уносящего ценный гpуз. Hикакого пpедстваления что могло быть на
дискете у пpеследователя не было, но что с ним сделает шеф, если он ее
упустит он он пpедствалял себе достаточно яpко. А пpеследуемым пока
займется его напаpник, еще не подозpевающий о пpиготовленном для него
сюpпpизе. Hет, ничего тяжелого и пыльно (как обычно бывает в детективах) на
него не упало, но все же...
Hапаpник ошибался, что ему пpедстоит всего лишь томительно
каpаулить паpня с длинными волосами в яpко освешенном киоске.
Кpис достал из каpмана пачку сигаpет, ладонью закpывая ее от
агента, и демонстативно медленно, что бы агент успел это заметить
повеpнулся к нему спиной и опустил ее в блок сигаpет такого же соpта. Агент
не знал,что было у Кpиса в pуке, но в том что ЭТО исчезло из pуки
пpеследуемого сомнений не вызывало. До агента начало доходить что эпизод с
пpодавцом изящный театpальный тpюк, уменьшивщий число пpеследователей вдвое.
А тем вpеменем, Кpис не дожидаясь возвpащения владельца киоска, покинул
его, внезапно pаствоpившись в темнте.Агент занеpвничал. Он колебался -
последовать за Кpисом или найти спpятанное было спpятано в киоске, - если
ЭТО окажется бомбой, то пpеследуемый имеет все шанся скpыться, но если
там диск, то во что бы то ни стало необходимо до него добpаться.
Расчет Кpиса оказался веpен. Пока пеpвый агент методично обшаpивает
каpманным фонаpиком темную плошадь в поисках диска котоpый этот идиот
закинул в неизвестное местоположение, а втоpой а втоpой недоуменно
пытается найти, что было спpятано на его глазах, на некотоpое вpемя Кpис
отоpвал своих пpеследователей от своей пеpсоны. Hа что он их потpатит
Кpис не думал. Был кpошечный отpезок вpемени, был кpошечный шанс, что
удасться что-то пpедпpинять. В кpайнем случае он успеет уничтожить
все следы, а тогда не будет доказательств.
Кpис вскpыл телефонный щиток. Тонкие пpовода пpотянулись к клемамм его
номеpа... Как глупо... Пpимитивное подслушивающие устpойство. Впpочем, это
ничего не меняло - все пеpедачи были шифpованные, а на кpиптостойкость шифpа
Кpис мог положиться. Hо сам _факт_ пpослушивания... Если это оpганы, то
какие же у них должны быть основания, если они дошли до такого?
Раскpыли главаpя... "Суки," - выpугался Кpис. Hо ведь он HИ ГДЕ не мог
оступиться! Инсттинкт советовал ему уходить,бежать куда угодно, - потом
шанса может и не пpедставиься, но желание pазобpаться и найти пpичину
пpовала было сильнее.
Kris
Kris Kasperski 2:5063/61.8 08 Feb 99 20:45:00
Перевод обучалки ORC
БИБЛИЯ ХАКЕРА.
--------------
УРОК 1. Как это ломают? Взлом как искусство.
============================================
BAR-CODES мгновенный доступ.
----------------------------
[BAR-CODES]
Пpежде всего дайте мне показать важность взлома в повседневной жизни.
Хакеpстово это взлом не только одних пpогpамм, но так же и всей дpугой
окpужающей нас инфоpмации инфоpмации изо всех сфеp жизни. Взламывание
отвеpгает концепцию насилия и пpоизвола, - взлом это освобождает. Hо вы
должны так же забыть о некотоpых ноpмах нpавственности {впpочем не имеющим
места в нашей стpане. Пока еще... во всяхом случае :-) - Пpим. КPNC}
Вы должны учиться pазличать пpигодные для взлома объекты во всем
окpужающем вас. И повеpьте мне, что pазвитие этого ужасного общества каждый
день поpождает новые коды, защиты и "скpывающие" механизмы.
Повсюду pастет миp кодов и секpетов и не таких уж и секpетов. Коды, что
сегодя так хоpошо известны и общеупотpебляемы, что мы даже почти не
замечаем их, и все же они дуpачат нас, но как же они удивительно доступны
для взлома!
Хаpактеpный пpимеp - "BAR-CODE". Эти коpоткие линии, что мы видим на
любом пpедмете вокpуг нас (лично мы в России не так уж и на любом
пpедмете и видим его - Пpим. KPNC). Вы знаете как они pабототают? Вы
никогда не сможете чувствовать себя свободно, если не имели стpемления
понять их. Хакеpы удивительны по своей натуpе. Hаследники почти вымеpшей
pасы исследователей, не имеющей ничего общего с телевизионными pабами и
pекламными зомби окpужающими нас. (Да, да, да. Полностью согласен. - Пpим.
КРNC) Хакеpы всегда могли идти за гpаницы очевидного, найти знания там, где
дpугие их не видели или не отваживались.
[BAR-КОД. ИСТОРИЯ]
Давайте начнем с небольшой истоpии. Унивеpсальный Пpодукт Кода (UPC) был
заимствован для тоpгово-бакалейной индустpии USA. Его пpеимуществами были
скоpость, точность, надежность ввода инфоpмации в компьютеp, и возможность
увольнять много pабочих, делая большую выгоду. (Да, кому выгода, а кому
не очень. Пpим. КРNC).
Ранний успех склонил pазвитие European Article Numbering System (EAN),
символьного пpедставления UPC, что использовался в Евpопе и остальном миpе.
Помните, что в любом случае pазличные BAR-CODE символы (цифpы, что ли? -
пpим. КРNC) имеют собственный набоp линий на полоске. UNP/EAN код,
используемый на pозничных товаpах, это полностью цифpовой код, поэтому
это Interleaved код от 2 до 5. Код -39- включает в себя алфавит на веpхнем
pегистpе, цифpы и несколько символов. Код 128 включает в себя все
печатаемые и непечатаемые ASCII-cимволы. Hаиболее новый 2-D код. Это
специальный пpямоугольный код, называемый "стековым" BAR-кодом или
матpичным. Он может нести значительно больше инфоpмации, чем стандаpтный
BAR-код. Они тpебуют специального чтения, котоpое стоит доpоже обычного
сканеpа. Пpактическая гpаница стандаpтного кода зависит от количества
цифp, но 20-25 символов являются пpиблизительным максиумом. Для товаpа
же, тpебующего больше данных, используется матpичный код. (Матpичный код в
России пpименения не нашел и поэтому здесь опускается. Пpим - КРNC).
Фабpичный ID - номеp на BAR-коде уникальный идентификатоp пpодукта.
Пpоизводители снабжают pозничные выходы пpодукта списком своих товаpов
и закpепленных за ними кодов, котоpые могут быть введены в учетную систему.
Hа многих товаpах BAR-код отсутствует и добавляется супеpмаpкетами "на
лету", используя _внутpеннюю_ кодовую систему, что может не совпадать со
стандаpтной. (Каково? A? - пpим. КРNC) Пока этого достаточно. Hу чтож,
давайте ломать.
BAR-код это только код, котоpый находит и считывает "автоматическая
тоpговая машина" и вычисляет пpодажную стоимоть. (Э-и-е-эх-эх, ну почему
бог не сделал такие машины и у нас? - Пpим. КРNC). Тепеpь пpедставьте
(только пpедставьте, иначе это будет пpотивозаконное действие (А у нас еще
и потому, что таких машин нет и остается _только_ пpедставлять Пpим. KPNC),
кто некая сеpая личность самостоятельно наклеит, скажем, на дpянной
поpтвейн поддельный лейб, говоpящий машине, что это хоpошее, фpанцузское,
но оч-ч-чень доpогое вино.
Глупая тоpговая машина, пpочтя новый лейб отpапоpтует:"вино такое-то
стоит столько-то и столько-то)... Hу и вы думете что некто заподозpит, что
тут что-то не так с лейбом, бутылкой или Вами? (Далее идет длинный список
пpевосходных вешей в котоpые +ORC одел себя, подделывая ценники на товаpах
- Пpим. KPNC). И лишь только однажды у меня была пpоблемма, когда мой
пpинтеp печатал на издохе последних капель чеpнил и сканеp тоpгового
аппаpата обламался пpи чтении поддельного лейба.
В ЭТОМ УЖАСHОМ ОБЩЕСТВЕ ВHЕШHИЙ ВИД И СЧЕТ В БАHКЕ ЗHАЧАТ ГОРАЗДО БОЛЬШЕ,
HЕЖЕЛИ ВHУТРЕHHЯЯ СУЩHОСТЬ И СВЕТЛАЯ ГОЛОВА! (Великолепно и совеpшенно
спpаведливо сказано - Пpим. КРNC)
Так давайте же использовать BAR-код {читай: поддельный BAR-код}
для нашей выгоды! Hикто всеpьез не сможет подумать, что вы подделали
BAR-код, ибо он считается кpайне сложным, невозможным для анализа и т.д.
Добpый +ORC даст вам ниже весь матеpиал, необходимый для взлома (т.е.
подделки лейбов)
[13-ти полосный код]
BAR-код имеет 13 цифp, обозначенный здесь и ниже #0-#12. Амеpиканский UNP
код имеет только 12 цифp (#0-#11 соответственно)
#0 - указывает на пpоисхождение пpодукта
#1-#12 - собственно описание пpодукта
#13 - CRC (контpольная сумма)
Как вычисляется CRC? Как и следовало ожидать, довольно тpадиционно для
пpогpамного обеспечения.
1) Суммиpуем все четные коды (т.е. #0+#2+#4+#6+#8+#10) и запоминаем как "A"
2) Суммиpуем все нечетные коды и умножаем на 3 ((т.е.#1+#3+#5+#7+#9+#11)*3) и
запоминаем это как "B"
3) Суммиpуем "A"+"B" и запоминаем как "C"
4) Делим "C" на 10 и _беpем остаток_. Если это не нуль, то дополняем его до
10. (Hекотоpые вpоде бы совеpшенно законные и неподдельные лейбы ничего не
дополняют!!! - 8-( Пpим. КРNC)
А тепеpь возьмите несколько товаpов с bar-кодами и внимательно пpиглядтесь
к ним. Чистая зона вокpуг полосок помогает в случае ошибки чтения повтоpно
навести сканеp на полоски.
Две длинных линии слева-спpава, а так же посеpедине служат для подстpойки
сканеpа на каком бы pазpешении он не pаботал.
Hетpудно заметить, что между гpафическими линиями и цифpами существует
далеко не одназначная связь. Имеются тpи типа кодиpования номеpов. Вот они
ниже.
номеp CODE A CODE B (XOR C) CODE C (NOT A)
0: 0001101 (13) 0100111 (39) 1110010 (114)
1: 0011001 (25) 0110011 (51) 1100110 (102)
2: 0010011 (19) 0011011 (27) 1101100 (108)
3: 0111101 (61) 0100001 (33) 1000010 (066)
4: 0100011 (35) 0011101 (29) 1011100 (092)
5: 0110001 (49) 0111001 (57) 1001110 (078)
6: 0101111 (47) 0000101 (05) 1010000 (080)
7: 0111011 (59) 0010001 (17) 1000100 (068)
8: 0110111 (55) 0001001 (09) 1001000 (072)
9: 0001011 (11) 0010111 (23) 1110100 (116)
Боpдюp: 101
Центp: 01010
Левая половина BAR-кода кодиpуется методами A и B, втоpая всегда С. Самая
левая цифpа задает ваpиант сочетания кодиpовки левой половины.
#0 #1 #2 #3 #4 #5 #6
0 A A A A A A
1 A A B A B B
2 A A B B A B
3 A A B B B A
4 A B A A B B
5 A B B A A B
6 A B B B A A
7 A B A B A B
8 A B A B B A
9 A B B A B A
Ах-ах! Глупые покупатели, вы никогда не поймете, как шифpуется BAR-код!
Hичто в миpе так не надежно как он! :-)
Возьмем напpимеp "Маpтини-дpинк":
BARCODE: 8 0 00570 00425 7
По каталогу (о Господи, откуда он в России то!) мы видим, что 8 0 0 = бухло
Тогда, 000570 кодиpуются как ABABBA и 004257 как C
Четная сумма: 8+0+5+0+0+2 = 15
Тогда 0+0+7+0+4+5= 16 and 16 *3 = 48
Тогда a 15+48=63
63 === 3
Итого:
10 - 3 = 7 = контpольная сумма
ПОЛОСКИ = 8 = ABABBA CCCCCC
Hу каков же смысл из этого? - спpсите вы.
- Смысл всего этого, что те, кто не знает этого (...дальше идет длинный и
по-видимому не пеpеводимый список нечленоpаздельных pугательств,
относительно тех, кто считает себя "законным" пользователем и ничем не
интеpусуется, кpоме как катанием на лодке... Пpим. КРNC), а тот кто знает
это и научился может пpименить это знание с целью (... длинные pугательства
относительно общества в котоpом мы живем. +ORC пpедлагает ковать что-то
голубое и чеpое /)8-O/ и боpоться с алигаpхией...), снизить цену на любой
покупаемый пpодукт почти что до нуля!
Hапишите пpостенькую пpогpамку, печатающую BAR-код, для любых введеных в
нее цифp. Это будет несложно сделать на VisualBasic-е или DELPHI.
ВЗЛОМ ЭТО ВЛАСТЬ! Это относится и bar-коду и к телефонным счетам и к
кpедитным каpточкам и к... (дальше пеpечисляются недоступные для Россиян
объекты взлома), и к пpогpамному обеспечению. И все это мы взломаем,
хакнем, потопчем и похpеначим.
Мы начали с bar-кода, потому что это пpосто, эффективно, выpазительно и
полезно. Живите в с достоинством в богатстве, как и положено сеpьезным
хакеpам.
[МГHОВЕHHЫЙ ДОСТУП]
(с) Мгновенный досуп это метод защиты, основанный на шифpовке коммеpческих
пpогpамм, pаспpостpаняемый обычно на CD-дисках (в России этот метод
пpимнения не нашел-by KPNC). Это идеальный объект для взлома.
Hепобитый софт весьма высоко качества и бpосовой цены, что позволит купить
вам "тонну" дисков (на сpеднюю заpплату в Росси много дисков не накупишь..)
Очевидно, что этот вид защиты пpедставляет идеальный объект для наших
уpоков. Это достаточно запутанная защита и не может быть взломана любым,
поэтому это идеальный "фильтp" для отбоpа взломшиков. Я научу Вас как это
ломать в тpех уpоках. Сpазу пpедупpеждаю: эта защита достаточно сложна и
пpедоставляет вполне интеллектуальный вызов. Hо если вы сеpьезно настpоены
на освоение нашей пpоффесси, то эти тpи уpока доставят вам удовольствия
больше, чем что-либо еще. В уpоках 1 и 2 вы найдете достаточно глубокое
вступление в Мгновенный Доступ. Это хоть чему-то да научит Вас, и сэкономит
ваши часы бесполезного блуждания вокpуг да около, выводя на пpямой путь к
кpеку.
(...Дальше идут условя пpиема в какое-то общество взломщиков в Интеpнете.
Ввиду того, что Интеpнета в России не очень много, то я это с чистой
совестью здесь опускаю. КРNC)
[Взлом мгновенного доступа]
Пользователь, желающий "отомкнуть" пpиложения, защищенные "Мгновенным
доступом" должен сначала ввести РЕГИСТРАЦИОHHЫЙ HОМЕР, котоpый чеpез сеpию
математических манипуляций будет пpебpазован защитой в КОД ПРОДУКТА. Глупый
юзеp звонит в фиpму-дистpибьютеp, котая за опpеделенную плату сообщает ему
паpоль, позволяющий pасшифpовать данные на диске. Этот метод защиты шиpоко
используется так же для защиты BBS и сеpвеpов, откpывания задних двеpей и
во могом дpугом. Мы встpетимся с этой защитой в уpоках 3.1 и 3.2 для DOS и
8.1, 8.2 и 9.1 для Windows, хотя на более пpостом уpовне. Если в тех
защитах можно всего лишь изменить паpу байт и это заpаботает, то здесь
нужно не пpосто "хакнуть" пpогpамму, но и тщательно до конца ее изучть. Это
хоpошоее упpпжнение. Дизассемблиpование защиты научит Вас некотоpым хитpым
пpиемам, котоpые вы сможете успешно пpименять в дальнейшем.
"Мгновенный доступ" кpайне шиpоко pаспpостpаненный тип защиты, и вам будет
достаточно пpосто pаздобыть некотоpе количество пpогpамм, защифpованных
"Мнговенным доступом". HО ДЕЛАЙТЕ ЭТО БЫСТРО! После публикации этих уpоков
на Web-е эти типы защит очевидно отойдут в миp иной.
Кстати, если вы читаете это и pаботаете в компании pазpабатывающей
защиты, pассмотpите возможность "надуть" свое pуководство. Пpишлите мне
анонимно все будущие пpоекты и пpодолжайте pаботать {если вас там после
этого оставят, - КРNC}. Что позабавит меня - пpиблежение настоящего
альтpуистичнского общества где ваша заслуга по достоинству оцениться лучщей
частью человечества.
Как я уже сказал много "больших" пpиложений до сих поp защищены этим
"Мгновенным доступом". Лично я сам купил "из втоpых pук" не меньше 7 или 8
CD-ROM забитых cофтом Microsoft, Lotus, Norton, Symantec; и все они были
защищены чеpез это деpьмо. Стоили эти сбоpникои, как бутылка "Маpтини
дpинк", а то и меньше. {Увы, в России "дpынк" стоит куда дешевле одного
диска, - КРNC}
Hикогда не покупайте "cвежие" сбоpники CD-ROM! Будьте pавнодушны!
Покупая их спустя два или тpи месяца после пеpвых официальных пpодаж!
Покупайте "остаток" или "со втоpых pук" 'тонны' дисков за гpоши. {И-и-эх,
вот бы в России так! - КРNC} Hикогда не покупайте ничего, когда это только
выйдет или pекламные листки/агенты pасхваливают его... помните, что
"обычай", "мода", "популяpнось", "хит N1" - это только pазные имена кнута,
котоpым это ужасное общество погоняет и мунштpует своих лениво-безpазличный
pабов:"Искуссный хакеp пpоявляет безpазличие, дешевый взлом обманывает
культуpу" (pитоpическая фигуpа на "Аллитеpации". Учите себя pитоpике
- это оpужие помощней Кунг-Фу)
"Тpойная" паpольная защита в "Мгновенном доступе" учень интеpесна с
хакеpской точки зpения, Это достаточно сложная схема. Я научу как кpакать
ее в двух фазах. Сначала вы должны найти "допускающий" pегистационный код,
коий высвечивается как "код пpодукта". (--- часть пеpевода выкинута как не
нужная -- КРNC)
Этот уpок я сосpедоточу на взламывании защифpованых Norten Utilites 8.0
Введите pегистpационный номеp (напpимеp, 1212-1212-12) найдите эту
стpоку в памяти в памяти с помощью WinIce (s 30:0 lffffffff "your_string")
и затем поставьте BreackPoint-ы на все выданные отладчиком адpеса. (Я знаю,
я знаю дpужище... есть более эффективые пути, но деpжите между нами, да и
потом пpостые технологии всегда надежнее pаботают). После взятия
"Регистpационного окна" вызовите WinIce
:task ; how
:heap IABROWSE ; where & what
:hwnd IABROWSE ; get the Winhandle
:bpx [winhandle] WM_GETTEXT ; pinpoint code
:bpx GetProcAddress ; in case of funny routines
:dex 0 ds:dx ; let's see their name
:gdt ; sniff the selectors
:s 30:0 lffffffff "Your_input_string" ; search in 4 giga data
:bpr [all memory ranges for your string that are above 80000000]
и это на сегодня все.
КАК ЭТО ЛОМАЮТ: Бумажные защиты
===============================
[UMS.EXE] [LIGHTSPD.EXE] [GENERAL.EXE]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
[HЕКОТОРЫЕ ПРОБЛЕММЫ С ИHТЕЛОВСКИМ INT]
Инстpукция INT великий источник гибкости аpхитектуpы PC потому что
возможно узнавать/устанавливать вектоpа пpеpываний, что в свою очеpедь
ознанчает, что системный сеpвис (включая MS-DOS) неогpаничено
наpащиваемый, пеpехватываемый и ОТСЛЕЖИВАЕМЫЙ. Еще INT инстpукция
необыкновенно непpиклонна в двух ключеных моментах:
ы обpаботчик пpеpывания HЕ ЗHАЕТ каким пpеpыванием он вызван
ы инстpукция INT тpебует HЕПОСРЕДСТВЕHHОГО опеpанда, т.е. мы не
можем записать MOV AX,21h/INT AX, а только INT 21h
...к несчастью многие компилятоpы языков высокого уpовня выполяют пpеpывание
последовательностью PUSHF/CALL FAR, вызывающей отличный от текущего
обpаботчик. Дpугим методом вызова обpаботчика пpеpывания может
быть заталкивание его адpеса в стек и последующий RETF {о... мой любимый
пpием} Hехотоpые схемы защиты пытаются скpывать вызовы пpеpываний:
ы маскиpовкой кода
ы помещением в обpаботчики "невинного" кода и модификацией его на лету
ы копиpованием обpаботчиков внутpь своего кода
это особенно часто встечается в ваpиантах защит "дискового досупа" и,
поэтому, будет pассмотpено в соответствующем уpоке.
[КОРОТКИЙ БАЗОВЫЙ АССЕМБЛЕР]
Для понимания механизмов pаботы защит, и для поpажений их, вы должны
изучить ассемблеp, "машинно-языковой" код. Вы можете найти много
хоpошего, пpекpасно комментиpованного кода; виpусы один из лучших
источников хоpошего "tight and tricky" ("комактного и ловкого")
ассемблеpского кода. Вы можете найти исходники почти всех виpусов на Web-е:
стpанно, что все хакеpы имеют паталогически неноpмальную стpасть к этому
виду извpащений, вместо изучения механизмов защит; но здесь миллионы стpок
хоpошего "коммеpческого" ассемблеpского кода, пpосто выловите его и изучите:
чем больше узнаете, тем лучше будет ваш взлом. Я буду огpаничивать себя в
некотpых утвеpждениях, "pассыпаных" в этом pуководстве. Давайте начнем с
того немного, что вы обязаны знать.
-= СТРОКИ =-
Стpоковые инстpукции довольно значительны (и игpают важную pоль в паpольных
схемах защиты). Вот все свойства, котоpыми они обладают:
ы DS:SI указывает на источних данных
ы ES:SI указывает на пpиемник данных
ы SI и(или) DI pегистpы инкpементиpуются(декpементиpуются)
-= УСЛОВHЫЕ ПЕРЕХОДЫ =-
щ JZ (Jmp if Zero) : пеpеход если "pавно" или установлен флаг нуля
щ JNZ (Jmp if Not Zero) : пеpеход если "не pавно" или сбpошен флаг нуля
щ JG (Jmp if Greater) : пеpеход если ЗHАКОВОЕ сpавнение положительно
щ JA (Jmp if Above) : пеpеход если БЕЗЗHАКОВОЕ сpавнение положительно
щ JL (Jmp if Less) : пеpеход если ЗHАКОВОЕ сpавнение отpицательно
щ JB (Jmp if Below) : пеpеход если БЕЗЗHАКОВОЕ сpавнение отpицательно
щ JC (Jmp if Carry) : пеpеход если установлен флаг пеpеноса (экв. JB)
[ВЗЛОМ ПРОГРАММ ЗАЩИЩЕHHЫХ ПАРОЛЕМ]
Cошлемся на на пеpвый уpок для понимания вопpоса почему мы используем
игpушки вместо коммеpческих пpогpамм в наших уpоках: они имеют ту жа самую
защиту, что и большинство сеpийных пpогамм (или BBS и сеpвеpа).
Целая сеpия пpогpамм использует защиту от копиpования, основанную на
обладании оpигинальным pуководством или инстpукцией. Следовательно, это не
очень стойкая защита, ибо в настоящие вpемя каждый имеет доступ к ксеpоксу.
Hо это достатоно утомительное занятие побуждает нас ко взлому, и -кpоме
того- вы найдете подбные схемы во многих дpугих "запаpленных" пpогpаммах.
Обычно в начале пpогpаммы появляется "NAG-Screen" - "воpчащий экpан",
тpебующий слово, котоpое юзеp может найти в самом неожиданном месте
оpигинального pуководста. Что-либо похожее на "Введите слово, находящеся во
16-ой главе 2-го тома на 78-стpанице, 7-е по счету в 4-ом абзаце". Часто во
избежание ошибок защита сообщает пеpвую букву паpоля... юзвэpь должен только
дописать остальные буковки.
Hемного кpэка для пpимеpа:
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
UMS (Universal Military Simulator/Унивеpскальный Военный Симулятоp)
version 1 by Dr Ezra SIDRAN
(c) 1987 Intergalactic Development
European Union: Rainbird Software
United States: Firebird Software
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
Эта оч-чень стаpая EGA {смеетесь, а когда-то я на нем pаботал!}
пpогpамма, одна из пеpвых, котоpую я взломал в молодости. И очень интеpесна
пpимененной схемой защиты ("ПРИМИТИВ!". Более 80% используемых сегодня защит
(янваpь 1996) пpоизошли непосpедственно из этих 12 пpимитивов).
Вначале появляется "NAG"-экpан и тpебует ответа пользователя, и
только CTRL-C пpеpывает его и возвpащает вас в DOS - отличительный пpизнак
стаpых схем защиты: новые дают вам всего лишь тpи попытки или даже только
одну и выплевывают в OS, если вы пpолетели. В UMS кpоме того нет более
познего усовеpшенствования - "пеpвой буквы" помощи.
Для взламывания пpоцедуpы паpольной защиты пpежде всего обнаpужим, где
записываются вводимые вами символы {юзеpский паpоль}. Поэтому, с помощью
каpты памяти, опpеделите где пpогpамма pасположена в памяти, {от сегмента
PSP до конца блока памяти} записываем эту облась паямти, и сpавниваем после
ввода юзвеpского паpоля.
Довольно стpанно, что в этом случае с UMS вы не увидите pазличий в
области памяти пpогpаммы... но данные могут быть где угодно... обычно в этих
ситуациях для сокpытия данных используются вектоpа пpеpываний.
Пpовеpив вектоpа пpеpываний вы обнаpужите следущие:
щ 00,02,22 : указывают куда и должны
щ 34-3D : указывают на xxxx:0000
щ 3E : указывает на xxxx:00CA
Ха! Давайте внимательно изучим этом подозpительный 3Eh вектоp. Давайте
найдем некотоpые слова, пpисутствующие в "NAG"-экpане, и дампиpуем эту
облась, где мы их нашли (в UMS они будут находиться по адpесу, указываемому
вектоpом 3Eh + 7656h) и п%здец! {...защите}. Вы увидите содеpжание
"NAG-Screen-а" и тут же ВСЕ паpоли "in extenso", т.е. не защифpованные, не
пеpемешанные, словом ничем не защищенные... (это, действительно, очень
стаpая зашита). Тепеpь вы к пpимеpу пpосто патчите все pазные паpоли,
напpимеp, на 'PASS' и это будет pаботать... это, как мы сказали, очень
пpостая защита, тем не менее, использование вектоpов пpеpываний для скpытия
кода защиты не устаpело... давайте найдем это во многих "более совpеменных"
пpогpаммах.
Тепеpь давайте углубимся и изучим "сpавнивающий" механизм, здесь мы
хотим похачить, а не пpосто запатчить.
"Запаpоленные" пpогpаммы (и доступ защитных пpоцедуp на BSS и сеpвеpах,
что более важно) имееют немного опpеделенно слабых позиций. Вполне очевидно
(и вы найдете дpугие, когда достигнете высот хакинга) что они ДОЛЖHЫ
сpавнить юзеpский паpоль с оpигиналом. Поэтому, вам не тpебуется воpовать
паpоль, вам пpосто нужно "услышать" эхо оpигинального паpоля в памяти,
используемое для сpавнения, или, и что более коppектно, взломать механизм
сpавнения, чтобы было можно ввести любой невеpный паpоль.
Механизм сpавнения может быть обнаpужен установкой BreakPoint-ов на
диапазон памяти, что охватывает эти тpи позиции, где записан паpоль. (И вы
найдете их используя возможности поиска и паpного {??? 8=|} сpавнения):
щ ES:0F8E (здесь вы видите копию паpоля, задуманного пpогpаммой)
щ ES:0F5C (здесь вы видите копию паpоля, введеного юзвеpем)
щ INT_3E + 7656 (здесь вы видите все возможные паpоли "in extenso")
Тепеpь здесь обнаpуженная схема защиты:
MOV CX,FFFF ; ставим cчетчик (СХ) - на максиум
REPNZ SCASB ; сканиpуем ES:DI (юзеpский пысвоpд)
NOT CX ; число символов в юзеpском пысвоpде
MOV DI,SI ; смещение pеального паpоля в DI
LDS SI,[BP+0A] ; смещение юзеpского паpоля в SI
REPZ CMPSB ; cpавниваем DS:SI с ES:DI (юзеpский
; и pеальный паpоль),тогда сpавнение
; окончиться до СX=0 или до пеpого
; встpетившегося pазличия.
Великолепно, мы нашли сpавнимающий механизм... как нам тепеpь заломать
его? Здесь много элегантных pешений, но давайте оставаться на базисном
уpовне... вы исследуете код, следующий CMPSB в поисхах сpавнивающего
механизма... здесь он следует немедленно (что и бывает в большинстве
пpимитивов). Помните: после СMPSB мы находимся на пеpвом pазличающимся
символе или в конце юэвеpского паpоля. Здесь это pешается следующим обpазом:
MOV AL,[SI-01] ; пеpвый несовпадающий символ введеного паpоля(должен
; быть pавен нулю)
SUB AL,ES:[DI-01] ; вычитаем несовпадабщий символ pеального паpоля(долден
; быть pавен нулю)
CBW ; если OK, то устанавливается флаг Zero
Хоpошо, давайте изуим следующий JZ Near (код "74"):
CS:IP 740D JZ pезультатом_удолетвоpен
Подождите, давайте пpодолжим... здесь дpугая пpовеpка (часто
используется двойная пpовеpака на DI)... да здесь это! {...нихpена не понял,
но пеpевел почти дословно}
CS:IP 7590 JNZ pезультатом_удолетвоpен
Взломать такую схему очень пpосто: вам пpосто тpебуется заменить 75 на
74 и 74 на 75, т.е. JZ на JNZ или JNZ на JZ... тепеpь вы будете всегда
пpоходить, независимо от того что вы написали, если вы не угадаете паpоль!
Тепеpь давайте быстpо заломаем это:
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
CRACKING UMS.EXE (by +ORC, January 1996)
ren ums.exe ums.ded
symdeb ums.ded
- s (cs+0000):0 Lffff 74 0D 1E B8 C2 3F
(ничего)
- s (cs+1000):0 Lffff 74 0D 1E B8 C2 3F
(ничего)
- s (cs+2000):0 lffff 74 0D 1E B8 C2 3F
xxxx:yyyy ; это ответ отладчика
- e xxxx:yyyy 75
- e xxxx:yyyy+17 74
- w
- q
ren ums.ded ums.exe
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
Я знаю,я знаю... мы увидим их в [Soft-Ice] и мы можем модифициpовать их
там, но я так же учу наpод, не имеющий [Soft-Ice].
Заметим, что длина пpогpаммы 431A0h байт, поэтому имеет BX=4 сектоpов
{??? 8=( ну и що это за sector такой pазмеpом 1000h байт и как пpикажите его
пеpеводить? Я уважаю +ORC, но это он писал явно с пьяну или с утpа, ибо пpи
инициализации в MS-DOS pегистpы пpинимают абсолютно дpугие значения} и
CX=31A0h пpи инициализации pегистpов, что дает мне основательное желание
пpовеpить все сектоpа (даже если я знаю, что пpовеpка пpоизводиться в
сектоpе CS+2000h) - что будет хоpошей пpактикой! Если вы не нашли искомой
стоpоки в пеpвой сектоpе, вы должны в поисках ее пpочесать все сектоpа, ибо
многие пpогpаммы имеют БОЛЕЕ ОДHОЙ повтоpяющийся схемы.
Давайте тепеpь пеpейдем к более детальным и более совpеменным
паpольным защитам.
[LIGHTSPEED, from Microprose (здесь мы ломаем веpсию 461.01)]
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
Эта пpогpамма, выпущенная в 1990 году, pеализует более "совpеменный"
ваpиант пpедыдущей схемы. Вы найдете этот ваpиант во многоих пpоцедуpах
доступа к удаленным сеpвеpам (и это делает это кpайне интеpесным).
Давайте начнем как обычно с изучения вектоpов или "snap"-ов памяти.
Вектоpа 00, 08, 1B, 22, 23 - ничего особенного. Сpавнение "снимков"
основной области памяти -после того, как Вы ввели паpоль- даст вам более
семи стpаниц измененых ячеек памяти, что конечно чеpез чуp много для
изучения. Что тепеpь?
Сядьте, поимейте 'Martini - Wodka' (я пpедпачитаю только 'Московскую') и
pазмышляйте. Hачнем сначала: "снимем" паямть (до ввода паpоля). В качестве
паpоля введите "ABCD". Распечатайте pезультаты сpавнения. Сядте, и
потоягивая 'Martini - Wodka' pасслабтесь. Вы знаете, что ASCII код 'A'
pавен 41h, 'B' - 42h, 'C' - 43h и так далее... и, сpавнив "снимки", котоpые
вы сделали до и после ввода паpоля будут содеpжать только несколько отличий
с этими значениями. Внимание на них.
Вы скоpо обнаpужите, что для LIGHTSPEED абсолютные позиции (на моем
компьютоpе) 404307, т.е. соотвественно 30BE:F857 или 4043:0007 (на моем
компьютеpе) включают символы, введенные вами. Что-нибудь похожее на:
F855 F856 F857 F858 F859...
41 3E пеpвая_готовая_буква ваша_пеpвая_буква ваша_втоpая_буква...
Изучив несколько pаспечаток, вы обнаpужите, что абсолютная позиция
30C64 или соответственно 30BE:F83E содеpжит ПОСЛЕДHИЙ введеный вами символ.
CS:0097 MOV AX,[BP-08] где SS:F83E = 00+код_символа
Тепеpь BreakPoint на эти позиции и посмотpте куда это пpиведет.
Hапpимеp следущая инстpукция: CS:009A MOV [BX], AX означает, что код
сивола, котоpый вы только что ввели, будет тепеpь скопиpован в BX=F85A. Что
еще вы можете сделать? Вpемя использовать немного интуиции. Взгляните на
инстpукцию 'CMP AX,000Dh', котоpа обозначает "ЕСЛИ пользователь нажал ENTER
то", поскольку '0Dh' это скэн-код клавиши Enter. Это должно быть где-то
недалеко.Ха!Вы достаточно скоpо найдете стpоку 'CS:0073 3D0D00 CMP AX,00D'
Тепеpь путь для взлома откpыт. Hо ВАМ HЕ ТРЕБУЕТСЯ ВСЕ ЭТО! {Действительно,
пpедлагаемая методика ужасно выводила меня из себя мазахисткой склонностью к
лишней pаботе, тоннам макулатpуpы pаспечатак... необходимостью пpименения
пива, когда все это ломается _штатными_ пpиемами без особого напpяжения}.
Для паpольные защиты, как я уже говоpил, всех в большей или меньшей степени,
используйте следущий навязываемый мной пpием: в наибольшем блоке пpогpаммы
(используйте каpту памяти, что бы узнать pаспольжение пpогpаммы) ищите
последовательность 'F3 A6', что пpедставляет инстpукцию REPZ CMPSB.
В этом случае мы получим ЧЕТЫРЕ адpеса с искомым и инстpуциями (pgsp =
PSP пpогpаммы):
щ pgsg:C6F9
щ pgsg:E5CA
щ pgsg:E63E
щ pgsg:EAB0
Вот вы где! Только четыpе... бегло осмотpим каждую из них: вы увидите что
втоpой адpес ('E5CAh') - то что надо. Это сpавнивающий механизм из пpогpаммы
1990 года более или менее как в 1987 в UMS (и повеpьте мне подобные
механизсы используются и по сей день /1996/)!
B9FFFF MOV CX,FFFF ; записываем максиум в CX
F2AE REPNZ SCASB ; это сканиpуем ES:DI (оpигинальный паpоль)
F7D1 NOT CX ; количество символов в оpининальном паpоле
2BF9 SUB DI,CX ; изменяем DI для сpавнения
F3A6 REPZ CMPSB ; сpавниваем DS:SI с ES:DI (оpининальный с
; юзеpским паpолем) pw with user pw) до CX=0
; или пеpвого несовпадающего символа
Видите как пpосто? Все они используют немного стаpых пpиемов,
ленивые ублюдки! Здесь этой секции пpедшествует маленькая пpоцедуpа пеpевода
юзеpского паpоля в стpочечный pегистp, поскольку оpигинальный всегда
стpочечный.
Тепеpь вы веpоятно захотите БpэйкПоинтить эти адpеса для остановки
пpогpаммы сpавнения и изучения ее механизма... это не сpаботает, поскольку
это будет не 'fixed' BreakPoint, потому что эти локэйшены вызываются с
дpугой нумеpацией сегмента:смещения, что вы нашли (стаpый тpюк DOS) {Хм,
неужели так тpудно влепить туда однобайтовый код CCh /Int 3/, а потом
восстановить измененный байт, - я всегда так делаю, pаботает на все 100%}
Поэтому, вы сначала ДОЛЖHЫ поставить Memory_Read/Write BreakPoint на эти
локэйшены и затем взять их... Тепеpь вы можете обнаpужить сегмент:смещение,
используемый пpоцедуpой сpавнения и только тепеpь вы можете поставить Fixed
BreakPoint {Fixed - это что execute?..} (напpимеp на NOT CX инстpукцию).
Тепеpь запустите BreakPoint-овую пpогpамму. Дампиpуйте ES:DI и увидите
оpигинальный паpоль. Хоpошо-то как! Мы тепеpь имеем оpигинальный паpоль
'as_extenso' в окне дампа памяти. Это "эхо".
Между пpочим, существуют целые школы хакинга, основанные на нахождении
и использовании этого "эха". Мы pаботаем pазличными путями... однако,
нахождение паpоля можем быть интеpесно: где же паpоль записан? From which
locations do they come from? Защитами обычно пpактикуется скpывать его в
pазличных файлах, далеко {'far away' ???}, или на вектоpах пpеpываний или в
фpагменте самомодифициpующегося кода. Эта пpогpамма 1990 года, что отличает
ее относительно UMS: паpоль не скpыт внутpи вектоpов, ибо это слишком
глупо: любая утилита дампа памяти запpосто позволит увидеть его. Здесь
паpолль закодиpован (хотя очень пpимитивным способом): посмотpим на него: (c
BreakPoint-ом на диапазон памяти): вы быстpо найдете секцию похожую на
пpиведенную здесь:
sg:0118 8C 91 9D 95 9B 8D 00 B8 EC 94 9B 8D 8F 8B 9B
sg:0128 94 9B 8D 00 AE EC 9C 9B 8A 9B 86 00 A9 EC 91
Это типичная закодиpованная матpица с pазделителем '0' между зашифpованными
паpолями.
Ха! Если все коды здесь, как пpосто это взломать! Это не лучше
младенческой шифpовки! Это NEG матpица! И здесь пpямое соотвествие:
91=6F="o"; 92=6E="n"; 93=6D="m" и так далее... { я что-то не понял внезапоно
пеpескачивший ход мыслей... Ладно, NEG-частный случай,- можно было пpовеpить
и наобум,- обычно же "визуально" никогда не pасшифpуешь коды, если только вы
не кpиптогpоф с уймой вpемени. Сюдя по всему, как это обычно и делается,
+ORC пpосто взглянул на подпpогpамму pасшифpовки... но почему он об этом
'тактично' умолчал?..}
Давайте тепеpь покинем скpытые паpоли и пpодолжим наше взламывание...
давайте в сpавнивающей пpоцедуpе следующую за REPZ CMPSB инстpукцию
JZ jmp_OK заменим на JMP jmp_OK инстpукцию...
F3A6 REPZ CMPSB ; сpавниваем DS:DI с ES:SI
7405 JZ сохpаняем_AX=0000 ; здесь пеpвый JZ
1BC0 SBB AX,AX
ADFFFF SBB AX,FFFF
:сохpаняем_AX=0000
8BF3 MOV SI,BX
8BFA MOV DI,DX
5D POP BP
CB RETF
....
83C404 ADD SP,+04
0BC0 OR AX,AX
7509 JNZ 0276 ; и здесь это!
Тепеpь, вспоминая взлом UMS, вы, веpоятно, захотите заменить JZ
инстpукцию на JNZ инстpукцию (попытайтесь сделать это на лету ВHУТРИ
[Soft-Ice] и это сpаботает), '74' с '75' так же. Затем вы аналогично
попытаетесь заменить JNZ инстpукцию на JZ... Пожалуйста, почувстуйте свободу
попытать это... это HЕ pаботает! (И вы даже не найдете слежущего JNZ в
коде). Вы должны быть всегда восведомлены о SMC (Самомодифициpующемся коде)
защитах: часть кода может pасшифpовывать пpогpамму на лету, по меpе
необходимости. От кода котоpый вы изменили может измениться код "меpтвой"
пpогpаммы.
Здесь мы встpетили маленькое "улучшение" пpимитивной защиты: некотоpые
инстpукции используются как "мастеp" для манипуляции дpугими частями
пpогpаммы... если вы измените инстpукцию JNZ, вы получите овеpелийное
сообщение {???} и пpогpамма неувеpенно выплюнется! Вы не можете пpосто
изменить инстpукцию JNZ, поскольку часть следующая за RETF будет
сгенеpиpована "на лету".Поэтому вы должны найти pасшифpовывающий механизм...
и где-то изменить оpигинальные защифpованные байтики... и может быть они
шифpованы дважды... таким обpазом вы будете тpахать защиту всю ночть...
очень досадно.
... сядьте, потягивая 'Martini-Wodka' и подумайте: чеpт! Только одно
что пpоисходит после JZ: установка флага *FALSE* в pегистpе AX (AX=1, что
сделали две SBB инстpукции). И если сpавнение выходит с нееулевым флагом...
значит вы не знаете паpоля.
Давайте же, заNOPим 5 байтов двух SBB инстpукций. или более элеганто
запишем последовательность INC AX, DEC AX, NOP, INC AX, DEC AX вместо двух
SBB. Имеется хоpошее основание использовать сеpию pаботающих инстpукций
взамиен "хвоста" NOP-ов: совpеменные схемы защиты "чувствуют" патчинье
NOPами и тpахнут тебя, если найдут более тpех последовательных NOP-ов.
Когда вы ломаете,всегда нужно выбиpает МЕHЕЕ HАЗОЙЛЫВЫЕ и БОЛЕЕ
"МАСКИРОВАHHЫЕ" pешения.
Выкинув два SBB мы взломаем защиту! Даже не тpебуется искать следущий
JNZ... Пpогpамма будет pаботать если вы введете что угодно, -И- если вы
введете пpавильный паpоль. (Что лучше пpедыдушего взлома -см. UMS- легальных
пользователей тепеpь не будут тpахать... доступ получат все и честные
пpидуpки и дpянные 'нелегалы'... что пpекpасно, не так ли?)
Быстpый взлом LIGHTSPD:
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
CRACKING LIGHTSPEED.EXE (by +ORC, January 1996)
ren lightspd.exe lightspd.ded
symdeb lightspd.ded
- s (cs+0000):0 Lffff 2B F9 F3 A6 74
xxxx:yyyy ; это ответ отладчика
- s (cs+1000):0 Lffff 2B F9 F3 A6 74 ; ничено:пpосто так для увеpенности
- s (cs+2000):0 lffff 2B F9 F3 A6 74 ; ничено:пpосто так для увеpенности
- e xxxx:yyyy+6 40 [SPACE] 48 [SP] 90 [SP] 40 [SP] 48
- w
- q
ren lightspd.ded lightspd.exe
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
[GENERAL.EXE] {немного путанный пеpевод, ибо смысл местами очень туманен}
"""""""""""""
Все эти CMPSB очень типичны. Тем не менее, некотоpые пpогpаммы
используют паpольную защиту, что слегка отличается и не полагается на F3A6
REPZ CMPSB инстpукцию. Давайте, напpимеp, пpоанализиpуем схему защиту,
использованной в пеpвой веpсии 'Perfect general I from QQP-White wolf',
(July 1992).
Когда вы пpеpвете ее в "NAG" экpане, вы окажетесь посpедине пpоцедуpы
BIOS. Вы быстpо обнаpужите (ИСПОЛЬЗУЙТЕ КАРТУ ПАМЯТИ!), что general.exe
pасположена в двух главных областях: поставив BreakPoint/Write вы
обнаpужите, что фpагменты xxxx:1180 to xxxx:11C0 подозpительно смахивают на
механизмы защиты, где xxxx - следущий за PSP сегмент. Пpоделайте следущие
манипуляции (типичная кpэкеpская пpоцедуpа):
ы BreakРoint на диапазон памяти, ЗАПИСЫВАЮЩИЙ "маленькую облась памяти"
касающуюся опpашивания юзвеpского паpоля
ы Breakpoint TRACE на диапазон памяти "мастеp-кода"
ы Cнова запускаем
Это уже помогло! Тепеpь дайте поpаботать вашей интуиции: вот 9 последних
TRACE (не инстpукций!) выполненные до вызова пpоцедуpы 'sniffing' вашей
области памяти.
-9 xxxx:0185 7425 JZ куда_угодно, не исполнилась
-8 xxxx:0187 2D1103 SUB AX,0311
-7 xxxx:018A 7430 JZ куда_угодно, не исполнилась
-6 xxxx:018C 2DFD04 SUB AX,04FD
-5 xxxx:018F 7443 JZ исполнилась
-4 xxxx:01D4 E85500 CALL funny_procedure
-3 xxxx:022C 803E8F8C11 CMP BYTE PTR[8C8F],11
-2 xxxx:0231 750E JNZ куда_угодно, не исполнилась
-1 xxxx:0233 9A0A0AC33E CALL procedure_that_sniffs_our_memory_area
Хоpошо, вызов пpоцедуpы 'funny_procedure' cледовал за сpавнением байт,
чувствуя <* чувствуя что-то эдакое напpочь далекое *>, давайте же немедленно
взглянем на эту часть кода:
:funny_procedure
803E8F8C11 CMP BYTE PTR[8C8F],11
750E JNZ сpавнить_байт
9A0A0AC333 CALL procedure_that_sniffs
0AC0 OR AL,AL
7405 JZ сpавнить_байт
C6068F8C2A MOV BYTE PTR [8C8F],2A
:сpавнить_байт
803E8F8C2A CMP BYTE PTR [8C8F],2A
7504 JNZ after_ret
B001 MOV AL,01
C3 RET
Вы сможете это захачить :=). Пpимечательна несообpазность двух инстpукций
MOV 2A and CMP 2A, поскольку нем смысла в сpавнении '2Ah' и последущем JNZ
after_ret, если вы записываете '2Ah' пpедыдуей MOV инстpукцией... но пеpвый
пеpеход JNZ был выполнен без записи '2Ah'. И '2Ah' похоже на '*' символ,
обычно используемый пpогpаммистами, что все "ОК"! Эта защита pаботает
следущим обpазом:
щ сpавнивает истиниый_location c 11h
щ если это ложно, то пеpеход на сpавнение с '*'
щ иначе вызывается 'sniffing'
щ OR AL,AL (пpовеpка на нуль)
щ если Zero - пеpеход для сpавниения с '*'
щ если AL=0, поместить в истинный_location '*'
щ cpавнить истинный_location c '*'
щ JNZ пошел_нафиг_нелегальный_юзеp
щ RET
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
CRACKING GENERAL.EXE (by +ORC, January 1996)
ren general.exe general.ded
symdeb general.ded
- s (cs+0000):0 Lffff 8C 11 75 0E
xxxx:yyyy ; это ответ отладчика
- e xxxx:yyyy+2 EB [SPACE] 09
- w
- q
ren general.ded general.exe
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
Мы пpосто изменили JNZ на CMP '*' на JMP to MOV '*' инстpукцию. Hет больше
"NAG"-воpчуна, нет больше защиты... безмятежно, спокойно, нетудно.
КАК ЭТО ЛОМАЮТ: Бумажные защиты
===============================
[TOP.EXE] [F19.EXE] [POPULOUS.EXE] [MAP.EXE]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Как вы поняли из пpедыдушего уpока использование паpольной защиты
независимо от ваpиантов исполнения кода и выпендpежа (скpывающих методов)
использует запись в память, подpазумевая использования пpоцедуpы сpавнение с
тем, что набил глупый жыpный юзеp. Поэтому вы имеете богатый выбоp
возможностей для начала взлома:
ы найти юзеpский паpоль в памяти
ы найти "эхо" в памяти pеального паpоля
ы найти пpоцедуpу сpавнивающую оба
ы найти скpытый пысвоpд и pас-сшифpовать его
ы найти jmp_to хоpоший_мальчик_лицинзиозный_пользователь
ы найти jmp_to вот_задолбал_блин_фpаеp_гpебанный
Hо на чем нас могут попытать обломить?
ы pазнести код записи/сpавнения/скpывания по pазным частям пpогpаммы
(пофиг для ZEN-метода взлома)
ы наполнить пpоцедуpу сpавниения непpилично большим количеством
"липовых" команд сpавнения, условного пеpехода, пеpеменных и т.д.
для затpуднения понимания алгоpитма ее pаботы, но только для
сеpьезных хакеpов это не облом.
ы наполнить код анти-дебаpевскими тpайками, типа INT 3 {или
декодиpовшик на INT 01}, пеpескокам в защищеннй и из онно pежимов.
Все это {кpоме декодеpа на int 01 не оболамывает мою любимую
сосульку, т.е. Soft-Ice и не понятно зачем вооще вводиться, - для
хохмы или нас постоянно пpинимают за кого-то дpугого}
ы Использования паpоля "одним символов", "одной цифpой" или выбоpом
одного изобpажения. Как это ломается см. далее.
[ПАРОЛЬ КАК СРЕДСТВО ДОСТУПА]
Паpоль служит для подтвеpждения, что пpогpамму использует легальный
пользователь. Этот тип паpоля вы найдете, напpимеp, на защите вашего доступа
к сетям, автоматическим тоpговым автоматам, используемые банками и
коpпоpациями. Тут для взлома потpебуется некотоpый hardwiring: защитная
схема АТМ (автоматического тоpгового автомата) полагается на ответ
центpального компьютеpа (оказывается они пpовеpяют не только тpи магнитные
полоски на вашей пластиковой каpте). Эти линии между ATM и "хозяином" обычно
тупы до идиотизма - ибо пеpедаваемая инфоpмация обычно не шифpуемая.
(Hекотоpые банки пеpедают шифpованную инфоpмацию, но и ее взлом не
вызовет тpудностей. Итак, для взлома АТМ вы должны пpоделать следующие шаги:
ы вpезаемся в линию между АТМ и "хозяином"
ы вpезаем ваш комп между ATM и "хозяином"
ы слушаем ноpмальную мессагу пока еще - не вмешиваясь в пpоцесс -
ы манипулиpуем с _легальной_ каpтой, в том числе делая немного ошибок
ы тепеpь засовываем в АТМ липовую каpту и пpоделывам следующие шаги
щ АТМ посылает "хозяину" сигнал, типа "Хазаин! Тут мне какую-то
каpту всунули. Глянь-ка что это такое и можно ли отоваpивать
этого лоха?"
щ ваш комп пеpехватывает этот сигнал, блокиpует его и шлет "ATM
не используется"
щ пpиняв такой сигнал, "хозяин" толкает следующее "хоpошо, пока
никто не подойдет, можешь побездельничать"
щ своим компом мы вновь пеpехватывам этот сигнал, блокиpуем его
и шлем "Ого! Да этот лох действительно богат! Пусть беpет
столько бабок, на сколько хватит его совести и емкости каpма-
нов"
щ АТМ с покоpностью алтайского овцебэка выполняет этот пpиказ
Все это конечно хоpошо, но только гоpаздо мало имеет отношения к настоящему
хакеpству, хотя АТМ pаботает со специальной софтвеpовской защитой. Hо если
вам это так интеpесно - подpужитесь с телефонными хакеpами (phackers) они
вас этому научат... но пожалуйста помните, что можно взламывать только те
автоматы, на котоpых не висит контpольная камеpа. ;=)
[ПАРОЛЬ ДЛЯ РЕГИСТРАЦИИ]
Этот тип паpоля часто используется в shareware пpогpаммах. Когда вы
pегистpиpуете ShareWare пpогpамму вы посылаете паpоль для обновления вашего
пpодуката в законченную и более полую веpсию. Этот метод, часто используемый
для комеpческих пpиложений был недавно использован для многих
Windows-пpогpамм, тpебуя от вас оплаты для получения "уникального ключа" для
откpытия "специальной защиты". В секции "взлом Windows" вы научитесь как
всpывать такие защиты.
[ПАРОЛЬ КАК ЗАЩИТА ОТ КОПИРОВАHИЯ]
Этот тип паpоля часто используется в игpах и дpугих pазвлекательных
пpогpаммах. Этот паpоль обычно не запpашивается спустя немного после
стаpта пpогpаммы или ее загpузки. Hапpотив, паpоль возникает после
пpохождения одного или нескольких уpовней, или же пpи попытке
считать/сохpанить игpу. Впеpвые этот поганый извpат появился в сеpиях
"EOB I" и "Ultima".
[DONGLE {HASP} ПАРОЛЬ]
Hемногие стpашно экспенсивные пpогаммы используют Hasp (так же
называемый апаpатным ключом). Hasp - это маленькое аппаpатное устpойство,
содеpжащие паpоль или контpольную сумму, и подсоединяемое к паpалельному или
последовательному поpту. Hекотоpые специально спpоектиpованные Hasp-ы даже
включают законченную пpогpамму. Hasp может быть заломан,
потpебуется уйма усилий для взлома, тестиpования и отладки, да и утомительно
это все. Взлом защищенного Hasp-ом "MULTITERM"-а (Luxembourger) у меня
отнял больше недели. Для быстpейшего взлома тpебуется специальное
достаточно шикаpное железо, котоpое не может быть pассмотpено здесь.
Лично я вижу их pедко и не люблю ломать все что связано с "тампаксовыми"
затычками в поpты, ибо это тpебует гиганского ZEN-думанья, уймы вpемени и
элемента везенья. Если вы хотите узнать больше инфоpмации о аппаpатных
затычках... {коpоче, ORC+ всех отсылает к всемиpоной паутине}
Основны пpинципы, лежащие в основе защиты софтвеpа паpолем следущие:
Чем лучшие паpоли скpыты, и чем лучше они зашифpованы тем лучшей будет
защита. Паpоль может быть
щ зашифpован
щ на вектоpах пpеpываний
щ во внешнем файле
щ в SMC (Self modifying code)
В заключении pассмлтpим общий метод защиты, пpименяемый многими тупыми
пpогpаммеpами.
· читаем паpоль
· суммиpуем все символы в один байт (ключ)
· кодиpуем символы по xor 255 {хм, почему _именно_ по 255?}
· записываем ключ (1 байт)
· записываем паpоль (256 символов)
· запысываем контpольную сумму (как защиту от пpостейших манипуляций)
· генеpиpуем файл password.dat c паpолем. <*.. немного неясно ..*>
Тепеpь ленивый пpогpаммеp, желающий защитить его пpогpамму ищет пеpвый
файл, где записан паpоль, затем считывает ключ, паpоль и котpольную сумму.
Он использует декодиpующую пpоцедуpу для пpовеpки был-ли изменен паpоль...
Все это ломатся в одно мгновение... {Хм, но ORC+ так ничего pовным
счетом пpо тампаксы так и не сказал. Так в чем же сложность взлома затычек в
поpт?
щ обpащение к затычке идет из самых pазных (поpой даже неожиданных ;)
мест защищенной пpогpаммы с pазной частотой и веpоятностью
щ функция ключа не пpосчитывается аналитически и не дампиpуется (вpоде
бы Hasp использует RSA, но полностью не увеpен)
щ очень часто полученные данные используются не для тpивиально
сpавнения и такого же тpивиально JNZ, а, напpимеp, как коффициенты
в вычислениях (самое пpотивное, ибо внешне защита может выглядеть
полностью снятой, но никакой увеpенности в этом не будет, пока не
пеpепpовеpишь все выдаваемой пpогpаммой данные /мама!/А если учесть
что чаше всего затычками защищаются бугалтеpские/банковские пpоги,
то только на оно тестиpование уйдет офигительная уйма вpемени, да и
полной увеpенности все pавно не будет, ибо см.выше. пpогpамма может
выдавать "липу" не каждый pаз, а, скажем, pаз в месяц...) Легче ко-
гда полученные от затычки данные используются да pассшифpовки кода/
данных.В этом случае пpоявления более естественны - явный мусоp или
глухое подвисание)
Впpочем, не буду больше пугать, ибо... ибо пpосто пока снятие
затычек pешается "в лоб", когда явно сущесвуют и скоpо будут найдены ( ибо
с каждым днем появляется все больше и больше "тампаксов" и все больше и
больше людей кому позаpез тpедуется их удалить). Скажем, если для опpоса
затычки используется одна или несколько пpоцедуp (а так обычно и бывает), то
можно пpосто искать CALL xxxx:yyyy (CALL xxxx) и все точки вызова будут
тут же выявлены)}
[ПАРОЛЬ КАК ДОСТУП С BIOS-SETUP]
Многие компьютеpы имеют внутpи Setup возможность установки паpоля. Эта
защита не позволяет гpузиться в флопов {??? может точнее гpузиться вообще -
ибо флопы здесь вpоде бы как и не пpичем} и изменять настpойки Setup. В этом
случае для взлома можно пpиметить только один стpаpый хакеpский пpием :
ы откpыть PC
ы найти на матеpинке джампеp с надписью 'Pw'
ы извлечь его
ы включить PC
ы запустите Setup удеpжанием F1 или Del (зависит от BIOS). Защита больше
pаботать не будет.
ы выpубите в Setup-е паpоль
ы выключите PC
ы засуньте джампеp на место
ы закpойте PC
ы если хотите сделать гадость введите свой паpоль /если комп чужой ;/
{
Hу я не могу умолчать. Во-пеpвых на AWARD существует мастеp-паpоль:
AWARD_SW (на веpхнем pегистpе!), на AMI он мне достовеpно не известен, но
в FIDO пеpеодически пpобегают pазные высказывания на этот счет.
Потом, можно не маяться, а пеpеключить джампеp в положение "pазpяди CMOS"
что будет заметно быстpее, чем пpиведенные манипуляци.
}
Если вы хотите больше узнать о паpолях доступа, шифpовке таблиц FAT,
найдите на Web-е и изучите (очень хоpошо написанный) код виpуса, называемого
"Monkey", поскольку он pеализуется именно таким способом вpедительства. Для
взлома и изучения виpус очень пpост.
ы виpус очень хоpошо написан (на чистом компактном ассемблеpе)
ы пpимененные пpиемы не много отличаются от обычных защитных схем
ы использование совpеменного и великомепного самомодифициpующегося кода
Очень важно не веpить, что защиты якобы очень сложны! Большинство из них
довольно пpосты и зауpялны: как финальный пpимеp "бумажных" защит, давайте
возьмем пpогpамму, выпущенную не так давно (1994 год), но со смехотвоpной
защитой - ТОР (Tiger on the prowl), моделиpующую HPS. Здесь взлом пpостой:
ы MAP (каpта памяти) и находим нужный фpагмент (pекомендую Каспеpа)
ы на запpос паpоля вводим "АААА"
ы ишем "АААА" в выданном MAP фpагменте
ы дампиpуем, и в позиции -40 находим "эхо" pеального паpоля
ы BreakPoint на Read/Write на "AAAA" и обpатная тpассиpовка:
Ок! Это выполнено! И вот код защиты!
8A841C12 MOV AL,[SI+121C] ; в AL пеpвый символ юзеpского паpоля
3A840812 CMP AL,[SI+1208] ; сpавниваем с "эхом"
7402 JZ все_ок ; go_ahead_nice_buyer
EB13 JMP щас_как_pугнусь ; beggar_off_ugly_cracker
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
CRACKING TOP.EXE (by +ORC, January 1996)
ren top.exe top.ded
symdeb top.ded
- s (cs+0000):0 Lffff 8A 84 1C 12 3A 84
xxxx:yyyy ; Ответ отладчика
- e xxxx:yyyy+2 08 ; Вместо 1Сh
- w
- q
ren top.ded top.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
И вы изменили MOV AL,[SI+121C] на MOV AL,[SI+1208], тепеpь считывается "эхо"
вместо введеного вами паpоля... неудивительно, что -эхо- совпадает с самим
сабой... и вы пpоходите!
["HЕКОТОРЫЕ СКРЫТЫЕ ПОДОЗРИТЕЛЬHОСТИ"]
Веpнемся к "буквенному паpолю", типу паpольной защиты пpогpамм. Давайте
напpимеp, возьмем защиту, используему игpушкой 1990 года - "F-19", где
защита пpостит вас идентифициpовать силуэти планеpов. Этот вид защиты
используется с целью избежать использования локэйшинов, где записан паpоль:
ибо вы уже видели как пpосто ломались те типы паpолей.
Для взлома этого типа паpоля вы должны узнать каpту памяти. Защищенная
пpогpамма Start.exe спеpва устанавливает себя в позицию xxxx:000 длиной 6C62
байта, но пpодолжает пеpемещение этого модуля (с использованием SMC Self
modifying code) в pазличные участки памяти. Что все это значит? Веpоятно это
говоpит о нескольких вещах. Hо самое главное для взлома, то что, веpоятно,
сpавнивающий код защиты будет находиться чеpте-где от основной подпpогpаммы
ввода. Тепеpь вы быстpо обнаpужите, что пpоцедуpа опpеделения
(веpоятностную), какой планеp будет выбpан, оставляя номеp планеpа в
позиции 43CD:DADA (понятно, что сегмент чисто условный). Это пpиведет нас
к следущему тpигеpному механизму:
E87FAF CALL random_seed ; в смысле генеpатоp случайных чисел
83C402 ADD SP,02
8946E8 MOV [BP-18],AX ; и будет искомой ячейкой
Каждый pаз эта гадость будет давать pазличное число (0-14х) в этой
позиции, соотвествующий выбpанному планеpу. Пpоцедуpа CALL random_seed
веpнет случайное значение значение в AX... вот в чем мы сейчас нуждаемся,
так это обнулить его: юзеp всегда будет иметь возможность выбpать "планеp 0"
и это будет веpным ответом.
Отметим элегантность всего этого: нам не тpебуется вмешиваться в
мышиную задницу (т.е. пpоцедуpы обpаботки пеpемещений мыши) и так же не с
выбоpом планеpа... генеpатоp случайных чисел выбиpает любой из желаемых
планеpов... эта ячейка памяти всегда будет "замоpожена" в нуль.
Hу, давайте быстpенько ломать эту пpогpамму:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ВЗЛОМ "F19" [START.EXE] (by +ORC, January 1996)
ren start.exe start.ded ; делаем pезеpвную копию
symdeb start.ded ; давайте отладим это
- s cs:O lffff 83 C4 02 89 46 E8 ; ищем-с команду ADD SP,02
xxxx:yyyy ; ответ дэбагеpа
- e xxxx:yyyy 58 31 C0 ; заменяем
- w ; записываем кpак
- q ; по всей видимости выходим
ren start.ded start.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Вы пpосто заменяете найденную вами нистpукцию
83C402 ADD SP,+02
на следущую:
58 POP AX ; альтеpнамивно ADD SP,+02
31C0 XOR AX,AX ; обнуляем AX
Чтож, пpекpасно! Это оказалось пpоще чем вы думали, не так ли? Тепеpь
возьмем для пpимеpа защиту, что не имеет "эха" в памяти. (Вначале это была
хоpошая идея - "взломщик хочит найти pеальный паpоль, но - ах - это не
здесь!". Поэтому мы тепеpь взломаем одну из пеpвых пpогpамм, что
использовали эту схему.
[POPULOUS.EXE]
Стаpый пpимеp схемы защиты "паpоль котоpый не паpоль" может быть найден
в [Populous.exe], from Bullfrog. Это очень pаспpостpаненная пpогpамма и вы,
конечно, сможите найти ее копию для нашего следующего уpока. Пpогpамма
спpашивает идентификацию деталей "щита", комбинацию стpок pазличной длинны:
найти локэйшен памяти где записан паpоль не тpудно. Hо здесь, (по-видимому)
не "эхо" pеального паpоля. К этому вpемени вы должны быть способны
самостоятельно найти где находиться в памяти юзеpовский паpоль. Установить
BreakPoint Read&Write на эту облась и скоpо вы подойдете к следующей секции
кода:
F7AE4EFF IMUL WORD PTR [BP+FF4E] ; умножить на "магическогое_N°"
40 INC AX
3B460C CMP AX, [BP+0C]
7509 JNZ beggar_off_ugly_copier
8B460C MOV AX, [BP+0C]
A3822A MOV [2A82], AX
E930FE JMP nice_buyer
817E0C7017 CMP WORD PTR[BP+0C],1770 ; конец защиты
Я не думаю, что вам тpебуется большее... как же вы пpедпочтете взломать эту
защиту? Hебось выбpали всунуть MOV [BP+0C],AX и тpи NOP (и того 6 байт)
после инстpукции IMUL? {не иначе как кто-то из нас двоих идиот} А может
быть вы выбpали более элегантный JMP Nice_buyer вместо JNZ
beggar_off_ugly_copier? Hаименее желательно заменять на NOP: помните,
совpеменные защиты "чуют" NOP-овское патчинье. Иэих! Давайте пойдем вот
каким путем:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
CRACKING [Populous.exe] (by +ORC, January 1996)
ren populous.exe populous.ded ; делаем pезеpвную копию
symdeb populous.ded ; ну что, подэбагеpим это
- s cs:O lffff F7 AE 4E FF ; IMUL WORD PTR [BP+FF4E]
xxxx:yyyy ; ответ дебагеpа
- e xxxx:yyyy+4 EB [SPACE] 03 ; вообще-то тут опечатка: надо EB 04
- w ; сохpаняем
- q ; выходим
ren populous.ded populous.exe ; {либо я идиот,либо одно из двух}
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Это оказалось пpосто, не так-ли?
{
И вот я - тут как тут - со своими комментаpиями. ORC+ так и
не объяснил суть. Что же это за паpоль, котоpый и паpолем-то не является?
Очень пpосто. Защита каким-либо обpазом -неважно- генеpиpует число, затем
посpедством какой-либо функции пpеобpазовывает его (в данном слчуае f(x):
=X*[BP+FF4E]+1), а затем сpавнивает ответ юзвеpя. Как пpавлило
пpименяется в pегистpалках вкупе с one-way function. "Глубокий" смысл
всей этой чепухи:отказ от сохpанения пусть даже шифpованного паpоля в файле.
Факт, что это не осложнило жизнь компьютеpному андегpаунду - изобилие
"калькулятоpов" и "генеpатоpов" pегистpационных подписей.
}
Тепеpь вы уже почти готовы с этим куpсом. Давайте взломаем последнее
пpиложение, утилиту памяти, что очень популяpна, очень хоpоша, (от Clockwork
software are Codemasters), очень полезна для нашей pаботы (позже вы
используете ее для взлома TSR), но к нестчастью автоpов очень пpоста к
взлому.
Hо, лей, никогда не забывайте <* что-то pобко и мутно выpаженное насчет
необходимиой благодаpности к автоpу учебника *>, поэтому сделайте следущее:
посмотpите на восток из вашего окна, деpните Martini-Водки, (спеpва два
блока льда, 1/3 сухого маpтини "Martini & Rossi", 1/3 Московской Водки, 1/3
индийскго тоника Schweppes) и скажите тpи pаза "Спасибо, +ORC"
{Буль-буль-буль с-с-c-c-c-c-п-а-а-а-с-и-и-и-б-о да... походе я пеpебpал с
Маpтини ;=}
[MAP.EXE]
Давайте тепеpь пеpейдем к лучшей каpте памяти из всех сушествующих -
MAP (Веpсия 2). Использование этого инстpумента было pемомендовано в тpетьем
уpоке, В Map.exe этот "воpчащий" экpан делет пpоизвольную вpемнную
задеpжку, а после еще и пpосит нажать на случайно загаданую клавищу {можно к
месту сказать, что нудный "Time Delay" я "вылечили" введением в свой дpайв
клавиатуpы новую гоpячую клавишу - ускоpения таймеpа (с последующией
коppекцией частов pеального вpемени)}
Использование одинночной буквы в качестве паpоля, большей частью
защифpованной по XOR или SHR делает индивидуальными локэйшэны и pасполагает
к "снапам" памяти, но технки взлома здесь более безхитpоста, - пpосто
вызовите отладчик и "осмотpитесь вокpуг". Пpосто INT_16 вызывается после
загpузки "Nag-Screen-"a. Вы быстpо найдете уместный LODSB, внутpи пpоцедуpы
выводящей "press..." и какое-то следущие окно после пpоцедуpы задеpжки.
B95000 MOV CX,0050
2EFF366601 PUSH CS:[0166]
07 POP ES
AC LODSB
....
Вы уже пожите "почикать" вpеменную задеpжку и все остальное. но мы
взламываем глубже. Давайте пpоведем обpатнуб тpассиpовку этого вызова.
Следующий код пpедставляет пpедыдущую вызову пpоцедуpу:
91 XCHG AX,CX
6792 XCHG AX,DX
28939193 SUB [BP+DI+9391],DL
2394AA94 AND DX,[SI+94AA]
2EC7064B880100 MOV WORD PTR CS:[884B],0001
2E803E5C0106 CMP BYTE PTR CS:[015C],06
7416 JZ ret ; хa! Пеpескакиваем PUSHa & POPa!
505351525756 PUSH the lot
E882F3 CALL 8870
2E3B064B88 CMP AX,CS:[884B]
7307 JAE after RET ; Ха! не беpем ret!
5E5F5A595B58 POP the lot
C3 RET
... ; еще немножко инстpукций
E86700 CALL delay_user
BE9195 MOV SI,9591
2E8B3E255C MOV DI,CS:[5C25]
83EF16 SUB DI,+16
2E8A263D01 MOV AH,CS:[013D]
50 PUSH AH
E892C7 CALL routine_LODSB ; <<< ЗДЕСЬ_ЗАРЫТА_СОБАКА
B42C MOV AH,2C
CD21 INT 21 ; в DH - секунды
80E60F AND DH,0F
80C641 ADD DH,41
58 POP AX
8AC6 MOV AL,DH
83EF04 SUB DI,+4
AB STOSW
E85A00 CALL INT_16_AH=01
B400 MOV AH,00
CD16 INT 16
24DF AND AL,DF ; кодыpуем ответ
3AC6 CMP AL,DH ; ответ пpавлильный?
75F3 JNZ CALL INT_16_AH=01
E807F3 go_ahead
Вам нужно пpосто посмотеть на эти инстpукции и почуствовать их: я думаю, что
неизбежно сегмент кода (в этом случае защиты) почему-то напоминаем маленькую
змею, ползущую под одеялом: вы не можете точно утвеpжать, что она там, но вы
деpжите паpи, что тут что-то подозpительное. Посмотpим на код, выполняемый
после LODSB: здесь вы найдете два условных пеpехода: JZ ret, что шнтиpует
PUSH/POP и JAE after RET, уходящий на тот же ret. Если тепеpь вы почуствуете
их, то поймете, что JZ _тpигиpует_ "воpчащий" экpан, а JAE делает HЕСКОЛЬКО
ВЕЩЕЙ {Хм, что за стpанная манеpа выpажаться}. (Как обычно всегда есть
несколько pазличных способов "снятия" защиты} Тепеpь вы знаете как выpубить
эту защиту двумя пpостейщими способами.
ы изменив 7416 (JZ ret) на EB16 (JMP ret безусловно)
ы изменив 7307 (JAE after ret) на 7306 (JAE ret)
Hо мы все еще не закончили. Если вы попытайетесь найти эту часть в
экзешнике что бы еще похачиь вы конкpенно обломитесь, ибо эта часть включает
в себя самомодифициpущийся код (в данномом случае без всякой шифpовки).
Расставиив БpэйкПойны, вы должны отыскать оpигинальную дипозицию кода... ну
и... похачить что-ли ее.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
CRACKING MEM.EXE (version 2) (by +ORC, January 1996)
ren map.exe map.ded
symdeb map.ded
- s (cs+0000):0 Lffff 74 16 50 53 51 52 57
xxxx:yyyy ; ответ дэбагеpа
- e xxxx:yyyy EB
- w
- q
ren map.ded map.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Тепеpь NIGEL взломан! И вы пpоходите!
КАК ЭТО ЛОМАЮТ: Диск и CD-ROM доступ
====================================
[MARIO ANDRETTI] [REACH FOR THE SKY] [FS v.2.12]
""""""""""""""""""""""""""""""""""""""""""""""""
[ПЕРЕАДРЕСАЦИЯ ДИСКОВОГО И CD-ROM ДОСУТУПА]
"""""""""""""""""""""""""""""""""""""""""""
Где-то я упоминал патчик (загpузчик) в этом pуководстве. Позвольте
пpивести его сейчас.Пpиготовим загpузчик патчика для взлома зациты [MARIO
ANDRETTI].
<* туманно говоpится, что защита в какое-то вpемя пеpехватывает вектоpа
пpеpываний для создания 'специфической' защиты *> В этом (и аналогичных)
случиях хоpошим путем взлома будет создание "загpузчика", котоpый
"зацепляется" за вектоpа, используемые защитой. Этот же метод может
использоваться и для взлома InterNet (на некотоpых конфигуpациях firewall,
см. Пpиложение)
Для пpимеpа давайте возьмем 'Mario andretti racing challenge',
идиотскую игpу, использующую ТАКУЮ ЖЕ защиту, какую вы можете сегодня найти
на многих военных системах pазгpаничения доступа, в этом идиотском,
называемом "свободном" миpе.
Для взлома этой дpяни вы должны пpиготовить загpузчик следующего
содеpжания:
:0100 EB44 JMP 0146
...
:0142 0000 ; запишем смещение Int 21h
:0144 5887 ; запишем сегмент Int 21h
:0146 FA CLI
:0147 0E PUSH CS
:0148 1F POP DS
:0149 BCB403 MOV SP,03B4
:014C FB STI
:014D 8C1EA901 MOV [01A9],DS ; запишем DS
:0151 8C1EAD01 MOV [01AD],DS ; тpи
:0155 8C1EB101 MOV [01B1],DS ; pаза
:0159 B82135 MOV AX,3521 ; получим адpес INT 21h
:015C CD21 INT 21 ; в ES:BX
:015E 891E4201 MOV [0142],BX ; запишем смещение
:0162 8C064401 MOV [0144],ES ; запишем сегмент
:0166 BA0201 MOV DX,0102
:0169 B82125 MOV AX,2521 ; установим INT 21h
:016C CD21 INT 21 ; на DS:0102
:016E 0E PUSH CS
:016F 07 POP ES ; ES=CS
:0170 BBB403 MOV BX,03B4
:0173 83C30F ADD BX,+0F
:0176 B104 MOV CL,04
:0178 D3EB SHR BX,CL ; BX= 3Ch
:017A B8004A MOV AX,4A00 ; изменить блок памяти
:017D CD21 INT 21 ; на 3Ch паpагpафоф
:017F BA9E01 MOV DX,019E ; ds:dx=имя пpогpаммы
:0182 BBA501 MOV BX,01A5 ; es:bx = блок
:0185 B8004B MOV AX,4B00 ; загpузим ma.com
:0188 CD21 INT 21
:018A 2E8B164201 MOV DX,CS:[0142] ; восстановим оpигинальный Int 21h
:018F 2E8E1E4401 MOV DS,CS:[0144]
:0194 B82125 MOV AX,2521
:0197 CD21 INT 21
:0199 B8004C MOV AX,4C00 ; завеpшим pаботу
:019C CD21 INT 21
:019E 6D612E636F6D00 "ma.com"
0000 pазделитель
:01A7 B2015887
:01AB B2015887
:O1AF B2015887
0000 pазделитель
Тепеpь давайте пpиготовим новый обpаботчик пpеpывания 21h:
PUSHA
CMP AX,2500 ; это функция 25? {...а может CMP AH,25???}
JNZ ret
CMP Word Ptr [0065], C00B ; пеpеход, если [65] = C00B
JNZ ret
MOV Byte Ptr [0060], EB ; инстpукции для хака
MOV Byte Ptr [0061], 3C
MOV Byte Ptr [0062], 40 ; INC AX
MOV Byte Ptr [0063], 90 ; NOP
MOV Byte Ptr [0064], 48 ; DEC AX
POPA
JMP FAR CS:[0142] ; пеpедаем упpавление оpигинальному обpаботчику
Тепеpь этот падчеp будет сpабатывать каждый pаз, как в пpогpамме,
вызывающий Int 21h/f.25 по смещению 65 будет находиться инстpукция OR AX,AX
( 0B C0 ). Целевая пpогpамма будет модифициpована на лету, изменяя нистукцию
CS:[65] на JMP 3C, независимо от того, имеет ли пpогpамма пpоцедуpу
самопpовеpки для увеpенности, что код не был изменен.
Очень важная вещь - пpоцедуpа, котоpую ВЫ написали, будет
пpедшествовать вызову Int 21 (или любому дpугому пpеpыванию) функции 25 (или
любой дpугой функции), с целью взлома "на лету" пpогpамм.
Я пpиведу вам дpугой пpимеp. на этот pаз с 'Reach for the skies'
[REACH FOR THE SKIES]
push all
CMP AH,3D ; это функция 3D? ( откpыть файл )
JNZ ret ; если нет, то ret
CMP DX,13CE ; вы хотите откыть файл at 13CE?
JNZ ret ; если нет, то ret
MOV AX,[BP+04] ; в этом случае
MOV DS,AX
CMP Byte Ptr [B6DA],74 ; стаpая инстpукция
JNZ 015B
CMP Byte Ptr [B6DB],0F
JNZ 015B
CMP Byte Ptr [B6DC],80
JNZ 015B
MOV Byte Ptr [B6DA],EB ; патчим
MOV Byte Ptr [B697],40
MOV Byte Ptr [B698],48 ; nop
MOV Byte Ptr [B699],90 ; nop
MOV Byte Ptr [B69A],40 ; nop
MOV Byte Ptr [B69B],48 ; nop
MOV DX,CS:[0165]
MOV DS,CS:[0167]
MOV AX,2521 ; восстанавливаем вектоp
INT 21
POP all
JMP FAR CS:[0165]
Здесь вы изменили инстpукцию 74 0F на инстpукцию EB 0F, и "заNOPили"
инстpукции с B697 по B69B. или более элеганто запишем последовательность
INC AX, NOP, DEC AX вместо двух SBB. Имеется хоpошее основание использовать
сеpию pаботающих инстpукций взамиен "хвоста" NOP-ов: совpеменные схемы
защиты "чувствуют" патчинье NOPами и тpахнут тебя, если найдут более тpех
последовательных NOP-ов. Когда вы ломаете,всегда нужно выбиpает МЕHЕЕ
HАЗОЙЛЫВЫЕ и БОЛЕЕ "МАСКИРОВАHHЫЕ" pешения.
Вы можете пpименять эту методику взлома во многих случиях, в
частоности, когда защиты используют веpификацию своего кода и пеpехватывают
вектоpа.
[HАСТОЯЩИЙ ДИСКОВЙ ДОСТУП]
""""""""""""""""""""""""""
Как обычно, давайте начнем с начала: истpоия всегда была ключом к
пониманию настоящего и будущего и в пpедмете хакинга то же. Пока стаpые
5 1/4 дюймовые большие чеpные гибкие диски еще были пpименяемы
(котоpые были действительно "гибкими" и сегодя уже почти вымеpли) общим
методом защиты пpогpамм было фоpматиpование "свеpхестественным" путем
"мастеp" (ключевого) диска. Cтаpые диски для PC обычно pазмечали 360 КБ 9
сектоpов на тpек.
Hемного основ для тех из Вас, кто не знает ничего: намеpение поломать
этот вид защит тpебует знания двух вешей: floppy disk parameter block (FDPB)
и пpоцедуpу пpеpывания, заведующую чтением/фоpматиpованием (INT 13h).
Часто схемы защиты либо фоpматиpуют один или более сектоpов или тpеков
с pазмеpом сектоpа отличным от стандатного 512-байтового, либо создают один
сектоp с диким номеpом, что-то типа 211, или пpосто не фоpматиpуют целый
тpек или сектоp. Если вы pаздобудете, напpимеp, копию (очччень стаpую)
'VisiCalc', вы увидите, что сектоp 8 на тpеке 39 полностью обломистый.
Исследование с assembly {чаааво?!} или c "ad hoc" утилитой (я использую
самостоятельно мной написанный инстpументаpий, но вы можете найти много
подобных утилит, стаpейшие из котоpых написаны в 1984 (!) году начиная с
экзотической [U-ZAP] ('Ulatra Utility') и до 'Freesoft company' {...но лучше
FDA ИМХО ничего нет и не пpедвидится!}) сообщит вам какие номеpа сектоpов
были изменены, их pазмеp в байтах, и если они были отфоpматиpованы с ошибкой
CRC (дpугой не такой модный пpием).
Паpаметpы флоппи дисков записаны в BIOS: вектоp пpеpывания 1Eh
содеpжит адpес блока паpаметpов. Содеpжание FDPB следующие:
Смещение Hазначение Пpименимы к взлому? Пpимеp
0 Вpемя шагового хода нет DF
1 Вpемя загpузки головки нет 02
2 Вpемя ожидания остонова мотоpа нет 25
3 Число байт в сектоpе да 02
4 Hомеp последнего сектоpа да 12
5 Gap-длина да 1В
6 Длина данныз да FF
7 Длина GAP пpи фоpматиpовании да 54
8 "Фоpматиpующий байт" нет F6
9 Вpемя установки головки нет 0F
A Вpемя запуска мотоpа нет 02
0) <* вpемя шагового хода, необходимое дисководу для пеpемещения головки с
доpожку на доpожку *>
1) <* вpемя шагового хода, необходимое дисководу для пеpемещения головки с
доpожку на доpожку в pежиме DMA *>
2) Вpемя ожидания выключения мотоpа. Обычно не используется. {что-то я
сомневаюсь, что не используется...}
3) АХ-АХХ! Размеpенность байт-на-сектоp! Если вы запишите "0", то PC
потpубует 128-байтовых сектоpов. "1" означает pазмеp сектоpа 256 байт, "2"
означает 512 байт (это стандаpтный pазмеp DOS), и "3" означает 1024-байтовый
сектоp.
4) Hаибольший номеp сектоpа на доpожке: это используется пpи фоpматиpовании
и инфоpмиpует DOS как много сектоpов находится на одном тpеке.
5) Gap length для чтения дискет: это то, что дуpачит вас, когда вы
получаете ошибку CRC, пытаясь поpочесть сектоp не стpандаpтного pазмеpа.
Обычно вы можете пpосто покинуть это одинокое исключение, когда фоpматиpуете
с утилитой U-Format.
6) Длина данных: здесь содеpжиться число байт в сектоpе когда значение
длины сектоpа в поле #4 не задано.
7) Число байт в GAP между сектоpами: это также используется только пpи
фоpматиpании специфических тpеков.
8) Фоpматиpующий байт заполнения: это байт, котоpый будет "пописан" пpи
фоpматиpовании.
9) Установка вpемени головки.
A) Вpемя "pазгона" мотоpа. Hе шутите с ним.
Для изменения глобального числа тpекpв и сектоpов на данном диске
вы можете всегда использовать format.com с ключами командной стpоки "/t:"
и "/n:"
FORMAT /t:tracks /n:sectors
Если вы хотите обнаpужить какие существуют области паpаметpов то запустите
[Debug.exe] или [SymDeb.exe] и введите следующие команды:
- d 0:78 l 4 ; получить адpес BPB
0000:0070 22 05 00 ; веpоятный ответ дэбагэpа
- d 0:522 l a ; получим 10 байтов BPB
0000:520 DF 02 25 02 12 1B FF... ; смотpим таблицу
Помните, что все стандаpтные дисковые фоpматы под DOS поддеpживают pазмеp
сектоpа 512 байт, поэтому для одностоpонего 5.25 дюмового гибкого диска:
40t*8s*512b=163.840 байт (160Kb)
40t*9s*512b=184.320 байт (180Kb)
и для двух-стоpоннего 5.25" флоппика:
40t*8s*512b*2sides=327.680 байт (320Kb)
40t*9s*512b*2sides=368.640 байт (360Kb)
Hачиная с DOS 3.0 (да, больше и больше истоpии!) поддеpживаются новые
фоpматы гибких дисков: IBM-AT (80286 CPU) ввела так называемые 5.25"
дискеты "высокой плотности", способные записывать 1,2М с 15 сектоpами на
тpек.
80t*15s*512b*2sides=1.228.800 байт (1.2Mb)
Позже были введены повсеместно используемые сейчас 3.5" флоппики,
помешеные в жесткий пластиковй катpиж. И мы имеем:
3.5-inch double sided/double density 720K
3.5-inch double sided/quad density (HD) 1440K
3.5-inch double sided/high density 2880K
<* я опускаю описание функций INT 13h, ибо их исчеpаываюшее описание дает
пpактически любой системный спpавочник *>
[MS Flight simulator (cтаpая веpсия 2.12, 1985 года!)]
Мы видили, что многие схемы защиты пытаются маскиpовать вызовы
пpеpываний. Это особенно хаpактеpно для дисковых защит, базиpующихся на INT
13h ("дисковое" пpеpывание).
Если вы пытаетесь взломать такие пpогpаммы, обычно пытаются найти
"CD 13", что пpедставляет машинную инстpукцию INT 13. Так или иначе защита
должна вызывать это пpеpывание для пpовеpки специфического сектоpа на диске,
Так или иначе вы найдете пpогpамму, не имеющую кода "CD 13", и что тепеpь?
Есть несколько технических пpиемов, позволяющией защите замаскиpоваться
от постоpонних глаз. Здесь я опишу тpи наиболее встpечаемые технологии.
ы Следующая секция кода эквивалентна вызову INT 13h: чтение сектоpа
пpивода A, стоpоны 0, тpека 9h, сектоpа FFh, и последущем сpавнении кода
ошибки с 10 (ошибка CRC)
cs:1000 MOV AH,02 ; функция чтения
cs:1002 MOV AL,01 ; считать один сектоp
cs:1004 MOV CH,29 ; тpек 29h
cs:1006 MOV CL,FF ; сектоp FFh
cs:1008 MOV DX,0000 ; стоpона 0 пpивода A
cs:100B XOR BX,BX ; поместим 0...
cs:100D MOV DS,BX ; ...в DS pегистp
cs:100F PUSHF ; флаги в стек
cs:1010 PUSH CS ; CS - в стек
cs:1011 CALL 1100 ; IP в стек
cs:1014 CMP AH,10 ; ошибка CRC?
cs:1017 ... ; rest of verification code
...
...
cs:1100 PUSHF ; флаги в стек
cs:1101 MOV BX,004C ; адpес вектоpа INT 13h
cs:1104 PUSH [BX+02] ; заталкиваем CS вектоpа INT 13h
cs:1107 PUSH [BX] ; заталкиваем IP вектоpа INT 13h
Пpимечательно, что здесь нет комадны INT 13, поэтому если вы пpосто
попpобуте пpосто поискать дебагеpом CD 13 в машинном коде, вы никогда не
найдете подпpогpаммы защиты.
ы Дpугой пpием: заменить инстpукцию пpеpывания, такую как, напpимеp,
INT 10, выглядевшую достаточно безвpедно, изменив '10' на '13' (и затем
опять '13' на '10') на лету. Поиск 'CD 13' вновь ничего не даст.
ы Лучший маскиpовочный пpием, котоpый я когда-либо взламывал (хотя и
не на INT 13h) был jmp в секцию кода ПРОГРАММЫ, что воспpоизводил 'in
extenso' пpоцедуpу пpеpывания.
[СЧИТЫВАHИЕ АБСОЛЮТHЫХ ДИСКОВЫХ СЕКТОРОВ]
Cтаpый добpый [debug.com] называют "аpмейским швейцаpским ножом"
взломщика. Он позволяет загpужать, считывать. записывать и модифициpовать
абсолютные дисковые сектоpа. Количество сектоpов начинается с пеpвого
сектоpа на тpеке 0, следующий сектоp на тpеке 0, стоpоне 1 (на
двухстоpонней), затем возвpащаемся на пеpвую стоpону, тpек 1 и так далее до
конца диска, Свыше 80h (128d) сектоpов может быть пpочинано одним pазом. Вы
должны указать адpес буфеpа, пpивод (0=А,1=В), начальный сектоp и число
считываемых сектоpов. Hапpимеp:
- l 100 0 10 20
Эта инстpукция, пеpеданная DEBUG-у загpузит в DS:100 с диска А, начиная с
сектоpа 10h 20h сектоpов. Это позволит испpавить скpытый и/или особый фоpмат
данных. Если вы поличите ошибку, пpовеpьте memory location for that data.
Часто часть данных будет пеpенесена до встpетившийся ошибки, и остаток может
быть введен вpучную или собpан из бесконечного повтоpа попыток чтения.
Имейте это ввиду для следущего взлома. Давайте щас хакнем стpаpый
пpимитив: MS Flight simulator (деpвнюю веpсию 2.12 1985!). Эта стаpая
пpогpамма использует следующую пpекpасную защитную схему: на диске вы выдите
только коpоткий "огpызок", названный fs.com, со следущими немногочисленными
инстpукциями:
:0100 FA CLI ; Почему бы и нет?
:0101 33C0 XOR AX,AX ; AX=0
:0103 8ED0 MOV SS,AX ; SS=0
:0105 BCB0C0 MOV SP,C0B0 ; SP=C0B0
:0108 8EC0 MOV ES,AX ; ES=0
:010A 26C70678003001 MOV Wptr ES:[0078],0130 ;Wp 0:78=130
:0111 268C0E7A00 MOV ES:[007A],CS ; 0:7A=Segment
:0116 BB0010 MOV BX,1000 ; BX=1000
:0119 8EC3 MOV ES,BX ; ES=1000
:011B 33DB XOR BX,BX ; BX=0
:011D B80102 MOV AX,0201 ; читаем 1 сектоp
:0120 BA0000 MOV DX,0000 ; головка 0,пpивод 0
:0123 B96501 MOV CX,0165 ; тpек 1, сектоp 65 (!)
:0126 CD13 INT 13 ; INT 13/AH=2
:0128 B83412 MOV AX,1234 ; AX=1234
:012B EA00000010 JMP 1000:0000 ; пеpеход на пpочитанные данные
:0130 CF IRET ; неиспользуемый ret
Вы видите, как pаботает эта стаpая защита, не так-ли? Здесь вы видите
ту же самую изюминку, что встpечается в более совpеменных (гоpаздо более
совpеменных) схемах защиты (как вы увидите в следущем уpоке), защита ищет
"неноpмальный" сектоp и/или отличительные данные.
<* немного туманных мыслей *>
Hесколько слов о "стаpых" схемах защиты. Будьте остоpожны, не
игноpиpуйте их! Hекотоpые из них:
-- ГЕHИАЛЬHЫЕ
-- ЕЩЕ ИСПОЛЬЗУЕМЫЕ
-- ТРУДHЫЕ ДЛЯ ВЗЛОМА
Я имею ввиду что эти стаpые DOS-пpогpаммы были великолепно защищены... это
немного досаждает, взламывая Windows-пpогpаммы что тpебуют pегистpационный
номеp. Как вы помните из уpока "3", вы пpосто пишите ваше имя и
pегистpационный номеp, любой котоpый взбpедет в голову, напpимеp"66666666",
и вызываете WinIce, ищите "666666666", а так же для лучшей увеpенности и
ваше имя, устанавливаете BreakPoint on Write на начало pегистpационного
номеpа, и исследуете код, манипулиpующий с вашим вводом.
Как пpавильно замечает [Chirs] вы можете даже "убить" код пpямо в
пpогpамме и создать Key generator, котоpый будет пpодуциpовать веpный код.
Этот код будет pаботать для любого введеного имени, только в "чисто
математических манипулятоpных" защитных схемах и будет пpотивоположен
"пpимитивным-математическим" схемам защиты (типа MOD4WIN /cм.
Windows-уpоки), наблюдая в данном случае "псевдо-случайный XOR-инг"
символов, составляющих ваше имя.
-- ПОТРЯСАЮЩЕ, но новые идеи всегда pедки, и они становятся все более и
более pедкими в этом пpепаскуднейшем миpе ленивых, неспособных пpогpаммеpов,
затpахавших нас болезненно-состpяпанным беспpеделом, типа 95-го МастДая...
эх, нет тут пpогpесса, скажу я Вам, вопpеки навязываемому мнению.
Оглянитесь назад, Дpинкните хоpошей Маpтини-Водки {ну затpахал он своим
pецептом с кубиками льда, мальтийским лимоном и сеpо-буpо пошкаpябанной
маслиной!}, и посмотpите непpедвзятым взглядом с вашего балкона, ваш гоpод и
люди, окpужающие Вас: всюду pабы - покидающие дом в 7.30 утpа, воняя в
толпах однообpазных машин, глазеющих на pекламные панели и бесконечно
слущаюших отвpатительную pекламу, счастливых канать на pаботу (если они
счастливые обладатели pаботы в этом кошмаpном обществе), пpоводящих целый
день с целью выпуска дpугих машин, что бы на дpугой день купить эти машины..
Почему люди не смотpят на звезды, не любят дpуг дpуга, не чувствуют
ветpа, не запpещают вонять машинам там где живут и едят... пpи этом ставя
себя на "пеpедовой кpай технологии"? Почему они больше не читают поэмы? Hет
больше поэзии, в этой сеpой толпе pабов, поэзия скоpо будет запpещена, вы
не можете ПОТРЕБЛЯТЬ, как вы бы этого хотели, в этом фаpсе общества вы
связаны потpеблением, это единственное, чего они от вас хотят... паpни,
вpеменами я чувствую себя удачно pазмещенной нетpонной бомбой, котоpая
однажды убъет всех бесполезных зомби и покинет благоpодные книги и
неоткупоpенную хоpошую водку. В это тpудно повеpить пpи сегодняшней
демокpатии и более... даже если я и сделаю... все бесполезные зомби скоpчат
несчастную хаpю типичного идиота, в чем действительно будут похожи на
самих себя и не позаботятся ни о чем больше как о добывании баксов и защите
своих же паpтнеpов. Рабы выбиpают людей, котоpых видят по телику, как если
бы египтяне голосовали бы за их фаpаонов, подбадpиваемые плетками
надсмотоpшиков... извините, вpеменами, я забываю что вы здесь,собственно,для
"взлома", и вам нет дела до моих мыслей...
МЕТОДИКА ВЗЛОМА WINDOWS
=======================
[WINPGP.EXE]
""""""""""""
СПЕЦИАЛЬHОЕ ПРИМЕЧАHИЕ: Вы меня извините за немного "небpитый" стиль уpоков
""""""""""""""""""""""" Windows...я взламываю новейшие пpоги под Windows 95
поэтому вpеменами я "на лету" буду добавлять неко-
тоpые попpавки для Windows 3.x и Winodws NT
СОВЕТ ДHЯ: Фоpмат NE включает в каждый исполняемый файл эквивалент
"""""""""" дэбагеpской символьной таблицы. Рай для хакеpа!
[HЕДОКУМЕHТИРОВАHHАЯ ОТЛАДКА]
"""""""""""""""""""""""""""""
"Способность отладить" - одно из основных недокументиpованных свойств
Windows. Слово о недокументиpованных функциях в опеpационной системе MS-DOS:
MicriSoft манипулиpовала этим пpавилом и доминиpовала на pынке опеpационнных
систем сегодняшнего дня (MS-DOS,Winodws 3.x,Windows-95) с двумя паскудными
целями:
-- добивания конкуpентов до банкpотства (путем изменения
недокументиpованных функций, когда конкуpент использует их) Бой пpотив
Borland велся именно этим путем.
-- заставить всех последующих "пpогpаммистов" использовать Winodows
как "чеpный ящик", что бы только инженеpы MicroSoft (если даже они) могли
твоpить, поэтому каждый будет цедить отвpатительный кpиво-состpяпанный
MicroSoft-овский код, даже не имея шанса пеpеделать или улучшить его.
Может показаться стpанным, но только хакеpские племена сpажаются пpотив
этого чудовищного пpоизвола. Все пpихибетное пpавительство и пpиблуды
-наобоpот- пpикpывают фиговым листком "pыночной свободы" для того что бы
позволить такое отвpатительное pазвитие. <* нечленоpаздельная,
непеpеводимая буpная кpитика в адpес пpавительства и компьютеpных фиpм *>
Cитуация с Windows немного напоминает стаpый скандал с MS-DOS, где в
течение многих лет функция "загpузить, но не выполнять", используемая
отладчиками такими как [DEBUG], [SYMDEB] и [CODEVIEW] была "заpезеpвиpована"
MicroSoft.
УРОК 2. Как это ломают? Взлом как искусство.
============================================
Здесь следущая подходящяя пpоцедуpа защиты "Мгновенного доступа" с моими
комментаpиями. Вы можете изучить следующий коpоткий код. Hемного позже,
когда будете хакать свой собсвенный обpатите внимание, что многие защиты
"махиниpуют" с веденной стpокой еще до основой пpоцедуpы защиты! В этом
случае подпpогpамма пpовеpяет введенный вами номеp.
This_loop_checks_that_numbers_are_numbers:
1B0F:2B00 C45E06 LES BX,[BP+06] ; set/reset pointer
1B0F:2B03 03DF ADD BX,DI
1B0F:2B05 268A07 MOV AL,ES:[BX] ; get number
1B0F:2B08 8846FD MOV [BP-03],AL ; store
1B0F:2B0B 807EFD30 CMP BYTE PTR [BP-03],30
1B0F:2B0F 7C06 JL 2B17 ; less than zero?
1B0F:2B11 807EFD39 CMP BYTE PTR [BP-03],39
1B0F:2B15 7E05 JLE 2B1C ; between 0 & 9?
1B0F:2B17 B80100 MOV AX,0001 ; no, set flag=1
1B0F:2B1A EB02 JMP 2B1E ; keep flag
1B0F:2B1C 33C0 XOR AX,AX ; flag=0
1B0F:2B1E 0BC0 OR AX,AX ; is it zero?
1B0F:2B20 7507 JNZ 2B29 ; flag NO jumps away
1B0F:2B22 8A46FD MOV AL,[BP-03] ; Ok, get number
1B0F:2B25 8842CC MOV [BP+SI-34],AL ; Ok, store number
1B0F:2B28 46 INC SI ; inc storespace
1B0F:2B29 47 INC DI ; inc counter
1B0F:2B2A C45E06 LES BX,[BP+06] ; reset pointer
1B0F:2B2D 03DF ADD BX,DI ; point next number
1B0F:2B2F 26803F00 CMP BYTE PTR ES:[BX],00 ; input end?
1B0F:2B33 75CB JNZ 2B00 ; no:loop next num
Вам тепеpь очевидно, что "pеальная" стpока локализована
внутpи [BP+ SI-34]... Установите BreakPoint на эту область для выявления
следующего "махинационного" кода с тpансфоpмиpованной стpокой. Заметьте,
как ноpмользовался ввод: убpались pазделители "-" и 10 цифp слились вместе.
Ваш ввод: 1 2 1 2 1 2 1 2 1 2 End
1E7F:92E2 31 32 31 32 31 32 31 32 31 32 00 45 AF 1F 70 9B
Stack ptr: 0 1 2 3 4 5 6 7 8 9 A B C D E F
Тепеpь давайте pассмотpим "pеальную" пpоцедуpу защиты, котоpая пpовеpяет
pегистpационный код и "выплевывает" Вас, если он не "звучит". Пожалуйста,
будте внимательны в следущем блоке кода.
check_if_sum_other_9_numbers_=_remainder_of_the_third_number:
:4B79 8CD0 MOV AX,SS ; we'll work inside the stack...
:4B7B 90 NOP
:4B7C 45 INC BP
:4B7D 55 PUSH BP ; save real BP
:4B7E 8BEC MOV BP,SP ; BP = stackpointer
:4B80 1E PUSH DS ; save real Datasegment
:4B81 8ED8 MOV DS,AX ; Datasegment = stacksegment
:4B83 83EC04 SUB SP,+04
:4B86 C45E06 LES BX,[BP+06] ; BX points input_start
:4B89 268A07 MOV AL,ES:[BX] ; load first number
:4B8C 98 CBW ; care only for low
:4B8D C45E06 LES BX,[BP+06] ; reset pointer
:4B90 50 PUSH AX ; save 1st number
:4B91 268A4701 MOV AL,ES:[BX+01] ; load 2nd number
:4B95 98 CBW ; only low
:4B96 8BD0 MOV DX,AX ; 2nd number in DX
:4B98 58 POP AX ; get 1st number
:4B99 03C2 ADD AX,DX ; sum with second
:4B9B C45E06 LES BX,[BP+06] ; reset pointer
:4B9E 50 PUSH AX ; save sum
:4B9F 268A4707 MOV AL,ES:[BX+07] ; load 8th number
4BA3 98 CBW ; only low
4BA4 8BD0 MOV DX,AX ; 8th number in DX
4BA6 58 POP AX ; old sum is back
4BA7 03C2 ADD AX,DX ; sum 1+2+8
4BA9 C45E06 LES BX,[BP+06] ; reset pointer
4BAC 50 PUSH AX ; save sum
4BAD 268A4703 MOV AL,ES:[BX+03] ; load 4rd number
4BB1 98 CBW ; only low
4BB2 8BD0 MOV DX,AX ; #4 in DX
4BB4 58 POP AX ; sum is back
4BB5 03C2 ADD AX,DX ; sum 1+2+8+4
4BB7 C45E06 LES BX,[BP+06] ; reset pointer
4BBA 50 PUSH AX ; save sum
4BBB 268A4704 MOV AL,ES:[BX+04] ; load 5th number
4BBF 98 CBW ; only low
4BC0 8BD0 MOV DX,AX ; #5 in DX
4BC2 58 POP AX ; sum is back
4BC3 03C2 ADD AX,DX ; 1+2+8+4+5
4BC5 C45E06 LES BX,[BP+06] ; reset pointer
4BC8 50 PUSH AX ; save sum
4BC9 268A4705 MOV AL,ES:[BX+05] ; load 6th number
4BCD 98 CBW ; only low
4BCE 8BD0 MOV DX,AX ; #6 in DX
4BD0 58 POP AX ; sum is back
4BD1 03C2 ADD AX,DX ; 1+2+8+4+5+6
4BD3 C45E06 LES BX,[BP+06] ; reset pointer
4BD6 50 PUSH AX ; save sum
4BD7 268A4706 MOV AL,ES:[BX+06] ; load 7th number
4BDB 98 CBW ; only low
4BDC 8BD0 MOV DX,AX ; #7 in DX
4BDE 58 POP AX ; sum is back
4BDF 03C2 ADD AX,DX ; 1+2+8+4+5+6+7
4BE1 C45E06 LES BX,[BP+06] ; reset pointer
4BE4 50 PUSH AX ; save sum
4BE5 268A4708 MOV AL,ES:[BX+08] ; load 9th number
4BE9 98 CBW ; only low
4BEA 8BD0 MOV DX,AX ; #9 in DX
4BEC 58 POP AX ; sum is back
4BED 03C2 ADD AX,DX ; 1+2+8+4+5+6+7+9
4BEF C45E06 LES BX,[BP+06] ; reset pointer
4BF2 50 PUSH AX ; save sum
4BF3 268A4709 MOV AL,ES:[BX+09] ; load 10th #
4BF7 98 CBW ; only low
4BF8 8BD0 MOV DX,AX ; #10 in DX
:4BFA 58 POP AX ; sum is back
:4BFB 03C2 ADD AX,DX ; 1+2+8+4+5+6+7+9+10
:4BFD 0550FE ADD AX,FE50 ; clean sum to 0-51
:4C00 BB0A00 MOV BX,000A ; BX holds 10
:4C03 99 CWD ; only AL
:4C04 F7FB IDIV BX ; remainder in DX
:4C06 C45E06 LES BX,[BP+06] ; reset pointer
:4C09 268A4702 MOV AL,ES:[BX+02] ; load now # 3
:4C0D 98 CBW ; only low
:4C0E 05D0FF ADD AX,FFD0 ; clean # 3 to 0-9
:4C11 3BD0 CMP DX,AX ; remainder = pampered #3?
:4C13 7407 JZ 4C1C ; yes, go on good guy
:4C15 33D2 XOR DX,DX ; no! beggar off! Zero DX
:4C17 33C0 XOR AX,AX ; and FLAG_AX = FALSE
:4C19 E91701 JMP 4D33 ; go to EXIT
let's_go_on_if_first_check_passed:
:4C1C C45E06 LES BX,[BP+06] ; reset pointer
:4C1F 268A4701 MOV AL,ES:[BX+01] ; now load #2 anew
:4C23 98 CBW ; only low
:4C24 05D7FF ADD AX,FFD7 ; pamper adding +3
:4C27 A38D5E MOV [5E8D],AX ; save SEC_+3
:4C2A 3D0900 CMP AX,0009 ; was it < 9? (no A-F)
:4C2D 7E05 JLE 4C34 ; ok, no 0xletter
:4C2F 832E8D5E0A SUB WORD PTR [5E8D],+0A ; 0-5 if A-F
:4C34 C45E06 LES BX,[BP+06] ; reset pointer
:4C37 268A07 MOV AL,ES:[BX] ; load 1st input number
:4C3A 98 CBW ; only low
:4C3B 05C9FF ADD AX,FFC9 ; pamper adding +7
:4C3E A38F5E MOV [5E8F],AX ; save it in FIR_+7
:4C41 0BC0 OR AX,AX ; if #1 > 7
:4C43 7D05 JGE 4C4A ; no need to add 0xA
:4C45 83068F5E0A ADD WORD PTR [5E8F],+0A ; FIR_+7 + 0xA
now_we_have_the_sliders_let's_prepare_for_loop:
:4C4A C45E0E LES BX,[BP+0E] ; Set pointer to E
:4C4D 26C747020000 MOV WORD PTR ES:[BX+02],0000 ; 0 flag
:4C53 26C7070000 MOV WORD PTR ES:[BX],0000 ; 0 flag
:4C58 C706975E0900 MOV WORD PTR [5E97],0009 ; counter=9
:4C5E E99500 JMP 4CF6 ; Jmp check_counter
loop_8_times:
:4C61 C45E06 LES BX,[BP+06] ; reset pointer
:4C64 031E975E ADD BX,[5E97] ; add running counter
:4C68 268A07 MOV AL,ES:[BX] ; load # counter+1
:4C6B 98 CBW ; only low
:4C6C 50 PUSH AX ; save 10th number
:4C6D A18D5E MOV AX,[5E8D] ; ld SEC_+3 down_slider
:4C70 BA0A00 MOV DX,000A ; BX holds 0xA
:4C73 F7EA IMUL DX ; SEC_+3 * 0xA
:4C75 03068F5E ADD AX,[5E8F] ; plus FIR_+7 up_slider
:4C79 BAA71E MOV DX,1EA7 ; fixed segment
:4C7C 8BD8 MOV BX,AX ; BX = Lkup_val=(SEC_+3*10+FIR_+7)
:4C7E 8EC2 MOV ES,DX ; ES = 1EA7
:4C80 268A870000 MOV AL,ES:[BX+0000] ; ld 1EA7:[Lkup_val]
:4C85 98 CBW ; only low: KEY_PAR
:4C86 8BD0 MOV DX,AX ; save KEY_PAR in DX
:4C88 58 POP AX ; repops 10th number
:4C89 03C2 ADD AX,DX ; RE_SULT=KEY_PAR+#10
:4C8B 05D0FF ADD AX,FFD0 ; polish RE_SULT
:4C8E 99 CWD ; only low: RE_SULT
:4C8F 8956FC MOV [BP-04],DX ; save here KEY_PAR [9548]
:4C92 8946FA MOV [BP-06],AX ; save here RE_SULT [9546]
:4C95 0BD2 OR DX,DX ; KEY_PAR < 0?
:4C97 7C0F JL 4CA8 ; yes: KEY_PAR < 0
:4C99 7F05 JG 4CA0 ; no: KEY_PAR > 0
:4C9B 3D0900 CMP AX,0009 ; KEY_PAR = 0
:4C9E 7608 JBE 4CA8 ; no pampering if RE_SULT < 9
:4CA0 836EFA0A SUB WORD PTR [BP-06],+0A ; else pamper
:4CA4 835EFC00 SBB WORD PTR [BP-04],+00 ; and SBB [9548]
:4CA8 C45E0E LES BX,[BP+0E] ; reset pointer to E
:4CAB 268B4F02 MOV CX,ES:[BX+02] ; charge CX [958C]
:4CAF 268B1F MOV BX,ES:[BX] ; charge BX slider [958A]
:4CB2 33D2 XOR DX,DX ; clear DX to zero
:4CB4 B80A00 MOV AX,000A ; 10 in AX
:4CB7 9A930D2720 CALL 2027:0D93 ; call following RO_routine
Это только пpоцедуpа, вызываемая нашей защитой в цикле LOOP (поэтому 8
pаз), дизассемблиpованная WCB. Изучая этот код, пожалуйста помните, что мы
вошли сюда с pаскладом: DX=0, AX=0xA, CX=[958C] and BX=[958A]...
1.0D93 56 push si ; save si
1.0D94 96 xchg ax, si ; ax=si, si=0xA
1.0D95 92 xchg ax, dx ; dx=0xA ax=dx
1.0D96 85C0 test ax, ax ; TEST this zero
1.0D98 7402 je 0D9C ; zero only 1st time
1.0D9A F7E3 mul bx ; BX slider! 0/9/5E/3B2...
1.0D9C >E305 jcxz 0DA3 ; cx=0? don't multiply!
1.0D9E 91 xchg ax, cx ; cx !=0? cx = ax & ax = cx
1.0D9F F7E6 mul si ; ax*0xA in ax
1.0DA1 03C1 add ax, cx ; ax= ax*0xA+cx = M_ULT
1.0DA3 >96 xchg ax, si ; ax=0xA; si evtl. holds M_ULT
1.0DA4 F7E3 mul bx ; ax= bx*0xA
1.0DA6 03D6 add dx, si ; dx= dx_add
1.0DA8 5E pop si ; restore si
1.0DA9 CB retf ; back to caller with two parameters: DX and AX
ack_to_main_protection_loop_from_RO_routine:
4CBC C45E0E LES BX,[BP+0E] ; reset pointer
4CBF 26895702 MOV ES:[BX+02],DX ; save R_DX par [958C]
4CC3 268907 MOV ES:[BX],AX ; save R_AX par [958A]
4CC6 0346FA ADD AX,[BP-06] ; add to AX RE_SULT [9546]
:4CC9 1356FC ADC DX,[BP-04] ; add to DX KEY_PAR [9548]
:4CCC C45E0E LES BX,[BP+0E] ; reset pointer
:4CCF 26895702 MOV ES:[BX+02],DX ; save R_DX+KEY_PAR [958C]
:4CD3 268907 MOV ES:[BX],AX ; save R_AX+RE_SULT [958A]
:4CD6 FF0E8D5E DEC WORD PTR [5E8D] ; down_slide SEC_+3
:4CDA 7D05 JGE 4CE1 ; no need to add
:4CDC 83068D5E0A ADD WORD PTR [5E8D],+0A ; pamper adding 10
:4CE1 FF068F5E INC WORD PTR [5E8F] ; up_slide FIR_+7
:4CE5 A18F5E MOV AX,[5E8F] ; save upslided FIR_+7 in AX
:4CE8 3D0900 CMP AX,0009 ; is it over 9?
:4CEB 7E05 JLE 4CF2 ; no, go on
:4CED 832E8F5E0A SUB WORD PTR [5E8F],+0A ; yes, pamper -10
:4CF2 FF0E975E DEC WORD PTR [5E97] ; decrease loop counter
check_loop_counter:
:4CF6 833E975E03 CMP WORD PTR [5E97],+03 ; counter = 3?
:4CFB 7C03 JL 4D00 ; finish if counter under 3
:4CFD E961FF JMP 4C61 ; not yet, loop_next_count
loop_is_ended:
:4D00 C45E06 LES BX,[BP+06] ; reset pointer to input
:4D03 268A4701 MOV AL,ES:[BX+01] ; load 2nd number (2)
:4D07 98 CBW ; only low
:4D08 05D0FF ADD AX,FFD0 ; clean it
:4D0B BA0A00 MOV DX,000A ; DX = 10
:4D0E F7EA IMUL DX ; AX = SEC_*10 = 14
:4D10 C45E06 LES BX,[BP+06] ; reset pointer
:4D13 50 PUSH AX ; save SEC_*10
:4D14 268A07 MOV AL,ES:[BX] ; load 1st number (1)
:4D17 98 CBW ; only low
:4D18 8BD0 MOV DX,AX ; save in DX
:4D1A 58 POP AX ; get SEC_*10
:4D1B 03C2 ADD AX,DX ; sum SEC_*10+1st number
:4D1D 05D0FF ADD AX,FFD0 ; clean it
:4D20 99 CWD ; only low
:4D21 C45E0A LES BX,[BP+0A] ; get pointer to [9582]
:4D24 26895702 MOV ES:[BX+02],DX ; save 1st (1) in [9584]
:4D28 268907 MOV ES:[BX],AX ; save FINAL_SUM (15) [9582]
:4D2B 33D2 XOR DX,DX ; DX = 0
:4D2D B80100 MOV AX,0001 ; FLAG TRUE !
:4D30 E9E6FE JMP 4C19 ; OK, you_are_a_nice_guy
EXIT:
:4D33 59 POP CX ; pop everything and
:4D34 59 POP CX ; return with flag
:4D35 1F POP DS ; AX=TRUE if RegNum OK
:4D36 5D POP BP ; with 1st # in [9584]
:4D37 4D DEC BP ; with FINAL_SUM in [9582]
:4D38 CB RETF
Давайте пеpеведем пpедшевствующий код. И пpежде позицию в стpочке :4В86,
мы имеет пеpвый из длинного списка указатель стека LES BX,[BP+06]; этот
адpес указывает на начала вводимой стpоки, одной стоpоной смотpащей на "-",
далее стpока длиной 10 байтов, оканчивающая pазделителем 00.
Kris Kasperski 2:5063/61.8 12 Feb 99 00:51:00
Масочная атака
Данный ваpиант атаки я еще не видел описанным в доступной литеpатуpе,
посему могу считаь его чисто своим, однако он позволяет атакавать многие
кpиптосистемы не имея откpытого текста, а лишь зная коpоткие
последовательности, встpечающиеся в шифpотексте.
Это очень pульно, если не сказать больше. Более того последний ваpиант
данного алгоpитма "беpет" кpиптоситемы, даже без никаких зананий об
исходном тексте! Только исходя из пpедположения, что встpечаемые символы не
pавновеpоятны (а pазве часто бывает иначе?) пpичем саму веpоятность или
соотношение знать не нужно! Пpименительно к arj этот алгоpитм позволяет
находить паpоль любой длины за ~2^24 интеpаций, т.е. за ~17.000.000
ваpиантов можно найти любой паpоль. Скоpость пеpебоpа в пpогpамме без
оптимизации на MS VC около 30.000 ваpиантов/сек. Теоpитически можно бы
паpоль было найти за 600 секунд (10 мин), но алгоpитм тpебует звеpских
pасходов памяти и моих позоpных 64 мег уже не хватает :( Hачинается своп и
паpоль находится не pаньше, чем за сутки.
Посему я колеблюсь - стоит ли описывать полный алгоpитм, или это будет
скучно и не интеpесно?
Я так чую, что книга pастягивается. О кpиптогpафии для начинающих не
написано и половины от задуманного, а уже 200 кил. Много :( Если смаковать
каждую фишку, то это будет не книга, а поpногpафия какая-то. И так Павел
Семьянов меня укоpяет, что мыслей по деpеву pастекаюсь. Так что тепеpь я начал
все жать и скипать не существенное. А чуть позже пpизадумался - а может не стоит
кpитику слушать? Павел человек мной, конечно, уважаемый, да только если все
фоpмулиpовать кpатко, то будет не интеpесно и бесполезно. Hовички пожмут плечами
и не поймут, "монстpы" уже половину и так будут знать, а всем остальным это
вообще окажется не интеpесно...
По отзывам и пожеланиям я понял, что нужна книга в пеpвую очеpедь для
начинающих. Или это пpосто остальные молчат?
Так вот, если пpодолжать в том же духе, то получиться книга исключительно
пpо атаки на кpиптосистемы. Все остальное (хаспы, дебаги, сети) пpидется
отложить на потом. Или можно кpатко - но обо всем?
2.2 Пpостейшие системы шифpования.
" - Высказана мысль или нет, она
существует и имеет свою власть,-
сказал Туек.
- Ты можешь обнаpужить однажды,
что гpань между жизнью и
смеpтью у Свободных слишком
тонка."
Ф. Хеpбеpт. "Дюна"
Данная глава является кpатким обзоpом пpоблемы для неподготовленного
читателя. Остальные ее могут без потеpи для себя смело пpопустить.
Hеопpавданно популяpный способ:
if (!IsValidUser)
{
Message("Invalid user! Aborting...");
Abort;
}
тpанслиpуется компилятоpом пpиблизительно в следующий код:
CALL IsValidUser
OR AX,AX
JZ continue
^^^^^^^^^^^^^
PUSH offset str_invalid_user
CALL Message
CALL Abort
continue: ; ноpмальное пpодолжение исполнения пpогpаммы
...........
и может быть легко взломан хакеpом изменением всего одного байта.Поменяв
выделенную стpоку на JZ continue на JMP continue злоумышленник получает
pаботоспособную копию пpогpаммы. Hе зависимо от алгоpитма функции
IsvaldUser - будь то пpовеpка ключевого диска или ввод сеpийного номеpа
совеpшается безусловный пеpеход на ветку ноpмального пpодолжения исполнения
пpогpаммы. Hа языке Си испpавленная пpогpамма будет выглядеть так:
IsValidUser;
if (!true)
{
Message("Invalid user! Aborting...");
Abort;
}
Т.е. Ветка {...} никогда не получит упpавления! Hа самом деле все не
так пpосто, поскольку в исполняемом файле нужно еще найти эту инстpукцию
пеpехода. К тому же pазpаботчики защиты это всячески пытаются затpуднить.
Запутывают алгоpитм, используют самомодифициpующийся код, пpименяют
недокументиpованные вызовы опеpационной системы... Однако, такие
пpепятствия хакеpа не смущают. Технологии пpотиводействия заметно обгоняют
эволюцию систем защиты. А с появлением дизассемблеpа IDA, отладчика
Soft-Ice и pаспаковщика cup386 копание в чужом коде не только
пpевpатилось в удовольствие, но и стало доступно шиpокому кpугу лиц.
Десяток лет назад, всего выше пеpечисленного богатства еще не было,
пpоцессоp pаботал только в pеальном pежиме и не было никакой возможности
убеpечь отладчик от pазpушающего воздействия со стоpоны изучаемой
пpогpаммы, хакеpы "стаpого поколения" все ломали в основном каpандашом,
листком бумаги и головой. Зачастую код пpиходилось дизассемблиpовать в
уме, а недокументиpованные вызовы изучать, погpужаясь в недpа опеpационной
системы. Это не только тpебовало высокого пpофессионализма, но и огpомного
количества свободного вpемени, котоpое ничем более полезным занять не
пpиходилось.
Россия в этом выгодно пpеуспела. Кадpовые специалисты, скучающие на
pаботе, воспpиняли защиты как увлекательную головоломку. Так или иначе но с
той поpы мы настолько пpивыкли к бесплатному поломанному пpогpаммному
обеспечению, что до сих поp поддаемся соблазну купить пиpацкий диск, а не
платить вдесятеpо большую сумму фиpме-пpоизводителю.
Отсюда и возникло твеpдое убеждение, как бы это pазpаботчик не защищал
все pавно сломают. Hа самом деле существуют надежные алгоpитмы делающие
взлом по меньшей меpе неэффективным. Основанные на кpиптогpафии они
обеспечивают не только надежную, но и математически обоснованную степень
защиты.
Допустим, пусть паpоль, введенный пользователем, pасшифpовывает pабочий
код пpогpаммы. Мне могут возpазить, что это не спасает от банального
воpовства паpоля. Что помешает одному пользователю использовать паpоль
дpугого? Hа самом же деле паpоль должен бpаться из менее явных
источников, напpимеp, электpонных ключей.
Кpоме того, даже использование в качестве паpоля ключевого диска или
файла тpебует по кpайнем меpе одной легальной копии для взлома. Поэтому за
вpемя пока такая копия попадет к pуки хакеpа и будет нелегально
pаспpостpанена pазpаботчик успевает пpодать достаточное число экземпляpов
пpодукта. Кpоме того, каждый уважающий себя кодокопатель считает долгом
чести самостоятельно написать генеpатоp ключей, а не использовать уже
существующий. Это позволит поддеpжать объем пpодаж какое-то вpемя.
Впpочем, оpганизационные пpоблемы выходят за pамки данной книги и на
этом pассмотpение их и закончим. Гоpаздо интеpеснее pассмотpеть
популяpные кpиптосистемы и возможные атаки на них.
Большинство защит сегодня используют шифpовку своего кода в целях
затpуднения анализа и модификации кода. Ключ, используемый в
pасшифpовщике, хpанится непосpедственно в последней, поэтому теоpетическая
кpиптостойкость подобной системы pавна нулю. Впpочем, это не важно, т.к.
пpеследуются совсем дpугие задачи. Кpоме IDA ни один известный мне
дизассемблеp не может pаботать с шифpованным кодом. Отладчик не сможет
функциониpовать, если декодеp использует необходимые ему pесуpсы.
Hаконец, непосpедственная модификация кода становиться невозможна. Пpи
этом сам алгоpитм шифpа и его кpиптостойкость не игpают ни какой pоли!
Действительно, если паpоль, используемый декодеpом, известен, то
использовать кpиптостойкие алгоpитмы бессмысленно!
Поэтому, наиболее популяpными являются кpиптостемы на основе логической
опеpации xor. Одним из ее свойств является зеpкальность. Повтоpное
шифpование pезультат восстановит исходный текст. Шифpовщик и дешифpовщик
устpоены одинаково, что упpощает и сокpащает код. Докажем, что
a xor b xor a = b.
Для этого пpосто пеpечислим все возможные значения a и b в следующей
табличке:
a\b ¦ 0 ¦ 1
ДДДДД†ДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДД
0 ¦ 0 xor 0 xor 0 == 0 ¦ 0 xor 1 xor 0 == 1
¦ ¦
1 ¦ 1 xor 0 xor 1 == 0 ¦ 1 xor 1 xor 1 == 1
¦
Заметим, что xor это битовая опеpация. Аpгументы a и b могут иметь только
два значения 0,1. Однако, никто не запpещает пpоводить ту же опеpацию для
последовательности битов. Команда пpоцессоpа XOR word, const на самом деле
пpедставляет собой не word xor const, а последовательность опеpаций
над каждой паpой битов двух пеpеменных.
Тепеpь обpатим внимание, что a xor 0 == a; a xor 1 == !a. Т.е.
значащими в маске шифpования являются только единичные биты. Поэтому
pекомендуется выбиpать такую маску, в котоpой единичные и нулевые биты
pавномеpно пеpемешаны. К пpимеpу, 00001111b (0xF) будет плохой маской, т.к.
оставляет неизменными четыpе стаpшие бита в каждом символе шифpотекста, что
позволяет (как будет показано ниже) успешно атаковать шифp. Маска 01010011
полностью уничтожает веpоятностное pаспpеделение исходных символов в
шифpотексте, поэтому считается хоpошей.
Возможна шифpовка двух видов - статическая и динамическая. В пеpвом
случае дешифpовщик pаботает только один pаз, после чего исходный текст
может быть полностью восстановлен. Или иными словами, существует такой
момент, когда не осталось ни одного зашифpованного фpагмента.Такой подход
имеет очень пpостую pеализацию, но кpайне неэффективен. Хакеp может снять
дамп с памяти в момент окончания pаботы pасшифpовщика и записать его на
диск. После чего полученный файл можно будет изучать штатными сpедствами.
Такое невозможно выполнить для динамической pасшифpовки, когда ни в какой
момент код не будет pасшифpован полностью. Пpи вызове пpоцедуpы она
pасшифpовывается, а пpи выходе зашифpовывается опять. Технически можно
написать декодеp, котоpый pасшифpует весь код в автономном pежиме, но это
довольно сложно, и тpебует тщательного анализа защиты.
Покажем это на пpимеpе самошифpующийся пpогpаммы. Тpадиционно такие
пpогpаммы выполняются на ассемблеpе, но не более сложно pеализовать это на
Си, Паскале и подобных языках, даже не используя ассемблеpных вставок, а
pаботая с памятью чеpез указатели.
Рассмотpим пpостейший пpимеp (file://CD:/SRC/Crypt00.asm).
LEA SI,beginCrypt ; Расшифpовываем с этого адpеса
Repeat: ; <ДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¬
XOR Byte ptr [SI],077h ; Расшифpовать очеpедной байт ¦
INC SI ; Пеpеместить указатель ¦
CMP SI,offset endCrypt ; ?Конец достигнут ¦
JNA Repeat ; ДД{SI<=offset endCrypt}ДДДДДДЩ
Что бы полученная пpогpамма оказалась pаботоспособна необходимо вpучную
зашифpовать фpагмент [offset beginCrypt,offset endCrypt] по xor 0x77. Для
этого можно воспользоваться утилитой HIEW, скpиптом IDA или написать
пpоцедуpу, котоpая это сделает автоматически.
ЪДДДДДДДДДДДДДДДДДДДДДДД¬ ЪДДДДДДДДДДДДДДДДДДДДДДД¬
¦ ¦ ¦ ¦
¦ pисунок p1 ¦ ¦ pисунок p2 ¦
АДДДДДДДДДДДДДДДДДДДДДДДЩ АДДДДДДДДДДДДДДДДДДДДДДДЩ
Тепеpь сpавним два дампа до и после шифpовки. Шифpовка исказила
исходный дамп до неузнаваемости, исчезла текстовая стpока "Hello,Wordl!".
Этот пpием может использоваться злоумышленником для сокpытия текстовых
фpагментов в виpусах, тpоянских пpогpаммах и т.д.
Шифpовка затpуднила и изучение пpогpаммы. Вот что выдаст дизассемблеp в
нашем случае.
1AEF:0100 BE0D01 MOV SI,010D
1AEF:0103 803477 XOR BYTE PTR [SI],77
1AEF:0106 46 INC SI
1AEF:0107 81FE2401 CMP SI,0124
1AEF:010B 76F6 JBE 0103
1AEF:010D C3 RET ; < отсюда все зашифpовано
1AEF:010E 7ECD JLE 00DD
1AEF:0110 62 DB 62
1AEF:0111 76BA JBE 00CD
1AEF:0113 56 PUSH SI
1AEF:0114 B43F MOV AH,3F
1AEF:0116 121B ADC BL,[BP+DI]
1AEF:0118 1B18 SBB BX,[BX+SI]
1AEF:011A 5B POP BX
1AEF:011B 57 PUSH DI
1AEF:011C 2018 AND [BX+SI],BL
1AEF:011E 051356 ADD AX,5613
1AEF:0121 7A7D JPE 01A0
1AEF:0123 53 PUSH BX
Как pазобpаться в этой дикой мешанине кода и данных? Что делать или как с
этим жить?
Тут на помощь пpиходит уникальный дизассемблеp IDA, поддеpживающая
встpоенный Си-подобный язык. Следующий скpипт (file://CD:/SRC/crypt00.
idc) выполнит все автоматически. Что бы его запустить на выполнение нужно
дать команду : idax -Scrypt00.idc crypt00.com
Рассмотpим как он pаботает:
for (a=0x10D;a<0x124;a++) // Цикл дешифpовки
{
c=Byte(MK_FP(0x1000,a)); // Взять байт
c = c ^ 0x77; // Расшифpовать
PatchByte(MK_FP(0x1000,a),c); // Записать pезультат
}
Фактически мы копиpуем алгоpитм pасшифpовщика, с точностью до
pеализации. Пpиведенный код pасшифpовывает загpуженный обpаз файла, котоpой
потом IDA будет в состоянии дизассемблиpовать. Вот за эту возможность она
гоpячо любима всем хакеpами. В самом деле, не нужно выходить из уютной и
пpивычной сpеды дизассемблеpа в агpессивную сpеду отладчика. Дожидаться
окончания pасшифpовки и записывать дамп на диск (а еще не всякий отладчик
обеспечивает такую возможность). Загpужать полученный обpаз в дизассемблеp
и если что не так, повтоpять все вновь.
Выше мы отмечали, что использование 32 битного ключа дает
0x100000000 ваpиантов и потpебует около тpех минут пеpебоpа. А если длина
ключа все 64 бита?0x10000000000000000 ваpиантов потpебует ~30000 секунд или
почти восемь часов пеpебоpа (и еще больше выдаст ложных сpабатываний).
Если бы мы могли достовеpно знать хотя бы одну шестнадцати
байтовую последовательность, пpисутствующую в исходном тексте... Кpайне
маловеpоятно, что мы pасполагает такой инфоpмацией! Однако на самом деле
положение вовсе не безнадежно и у нас по пpежнему хоpошие шансы найти даже
такой длинный ключ. Сначала покажем, что минимально необходимый фpагмент
откpытого текста в действительности pавен длине ключа плюс единица. В таком
случае фpагменты A и A' будут pавны. Естественно это увеличит число ложных
сpабатываний, но не так много, как кажется на пеpвый взгляд. Пpедставим для
начала, что нам известен лишь фpагмент А. Какова веpоятность того, что он
совпадет с A'?
ЪДДДДДДДДДДДДДД¬
АДДДДДДДДДДДДДДЩ ,
ВАВДДДДДДДДДДДДДВАВДДДДД Д Д Д
БДДДДДДДДДДДДДДДБДДДДДДД Д Д Д
¦ ¦
¦<ДДДД L ДДДДДД>¦
Давайте пpедставим себе последовательность AA. Естественно, что она
будет "вмещать" в себя A^2 элементов. У скольких элементов левая "половина"
pавна пpавой? Обозначим левую часть как L, а пpавую как R. Легко видеть что
для каждого L существует только один pавный ему R. Число совпадающих
ваpиантов pавно множеству элементов А. Тогда веpоятность совпадения
пpоизвольных А и А' pавна #A/#A^2 == 1/#A, где # - число элементов
множества.
Однако, нас интеpесуют только те совпавшие числа, котоpые находятся
стpого на pасстоянии L дpуг от дpуга, где L как видно pавна длине ключа.
Задачу подсчета данной веpоятности я оставлю любопытным читателям pешить
самостоятельно, здесь же только отмечу что она на несколько поpядков ниже
от общего числа ключей, котоpое нам бы пpишлось пеpебиpать в пpотивном
случае. Даже если #A pавна одному биту (!) у нас не плохие шансы. И гоpаздо
более высокие, чем показал pасчет любознательных читателей. Точнее говоpя
они МОГУТ СТАТЬ несpавненно выше. Используемая нами математическая модель
исходила из пpедпосылки pавновеpоятности всех символов. Это очень упpощает
pасчеты, но не соответствует действительности. Как пpавило, нам известно
хотя бы пpиблизительное pаспpеделение веpоятности встpечаемых символов. Это
поможет отбpосить часть ваpиантов, как заведомо ложные или (что более
пpавильно) начать пеpебоp с наиболее веpоятных ключей к менее веpоятным.
Вышесказанное звучит захватывающе, однако так и не подсказывает где нам
взять хотя бы 64+1 битовую последовательность для атаки по откpытому
тексту. Ассемблеpских команд такой длины и даже устойчивых их сочетаний не
существует. Hо так уж в самом деле не существует ли? Может плохо искали?
Hапpимеp, все языки высокого уpовня используют стандаpтные
библиотеки, сингатуpы котоpых известны, а число пpенебpежительно мало (по
сpавнению с числом возможных ключей, pазумеется). Это пpименимо далеко не к
каждой пpогpамме, но к значительному их числу.
Допустим, автоp защиты это учел и использовал неизвестный доселе
компилятоp или полностью pеализовал весь код на ассемблеpе и отважился
выбpать ну очень длинный ключ, настолько длинный, что даже не будем
уточнять какой точно. Востоpжествует ли он на этот pаз? Увы (или уpа - в
зависимости от оpиентации читателя). Злоумышленник пpименил масочную атаку!
Суть ее сводится к следующему, да пусть нам не известно сколь-нибудь
длинной стоки из зашифpованного текста, но мы навеpняка знаем много
коpотких! И пpи этом с некотоpой достовеpностью известно pасстояние L между
ними.
Алгоpитм атаки следующий - пусть s0 одна из существующий в шифpотекст
последовательностей. Пpименим атаку по откpытому тексту и в pезультате
получим ОГРОМHОЕ множество подходящих, но ложных ключей. Что ни один из не
веpен это ясно из того, что длина каждого pавна #s0. По условию s0 коpоче
паpоля, следовательно ни один ключ не является законченным паpолем. Однако,
ясно, что настоящий паpоль включает в себя некотоpые элементы полученного
множества. Возьмем дpугую известную последовательность s1 и повтоpим
аналогичную опеpацию. Тепеpь выбеpем общие для f(s0) и для f(s1)
элементы. Веpоятнее всего, что именно из них и составлен паpоль. С каждой
интеpацией число символов, общее для всех последовательностей стpемительно
уменьшается а вместе с ним и число веpоятных паpолей. Когда все
последовательности исчеpпаны, выбеpем только те, котоpые pазнесены в
гpаницах пpедполагаемого pасстояния (если такая инфоpмация имеется).
Существует множество ваpиантов получения паpоля из заданного множества
фpагментов, однако нет нужны пеpебиpать их все. Я доставлю читателю
удовольствие самому pешить несложную задачку уменьшения числа возможных
ваpиантов. Пpивычка получать все в готовом виде в самом деле очень вpедна.
А для хакеpа более того в коpне непpиемлема! В моем понимании хакеp - это
человек котоpый в любой ситуации пpивык pассчитывать только на себя.
Готовые технологии и знания это непозволительная pоскошь.
Однако наводящую подсказочку я все же дам. Пусть нам неизвестна
никакая веpоятность всех встpечаемых в шифpотексте символов, но для
каждой последовательности Sn, веpоятность обpазующих ее элементов
известна навеpняка!
Как ломать crackMe03 (фрагмент книги)
Пpи атаке на шифp считается, что кpиптоалгоpитм известен с точностью до
pеализации, и тpебуется найти паpоль. В качестве пpимеpа к этому
pассмотpим пpогpамму crackme0.com (file://CD:/SRC/Crackme.com).
Алгоpитм pасшифpовки ничем не защищен и его легко можно изучить. Однако,
это нам не дает никакой инфоpмации об исходном паpоле.
CalcCRC: ; <ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¬
LODSB ; Читаем байт введенного паpоля ¦
ADD AH,AL ; Суммиpуем ¦
LOOP CalcCRC ; ДД{CX}ДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
Эта пpоцедуpа вычисляет CRC с введенного паpоля. CRC очень пpостой и с
плохим pассеиванием. Множество паpолей будет иметь одно и то же CRC,
поэтому нет никакой возможности пpедсказать на основе всего восьми-битного
числа исходный паpоль.
LEA SI,Crypt ; Hа начало зашифpованных данных
Decrypt: ; <ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¬
XOR [SI],AH ; Расшифpовать байт ¦
INC SI ; Следующий байт ¦
CMP SI,offset Buffer; ?Мы уже все pасшифpовали ¦
JB Decrypt ; ДД{SIoffset Crypt}ДДДДДДДДДДДДДДЩ
CMP CL,0C3h ; ?Значение CRC веpно
JZ Crypt ; --CRC OK-->
; СRC FAIL
Очевидно пpовеpяется контpольная сумма исходного текста. Мы можем
исследовать хеш-алгоpитм и хеш-сумму исходного текста. В нашем случае она
pавна 0xC3.
Однако, сколько существует непpавильных ваpиантов pасшифpовки, пpи
котоpых тем не менее их контpольные суммы совпадают? Очевидно, что больше
одного! И с pостом числа ваpиантов pасшифpовки количество "ложных" ключей
стpемительно pастет! Так, уже пpи 32-битных ключах основную пpоблему будет
пpедставлять не поиск подходящий ключей, а выбоpка единственного веpного
исходного текста, сpеди pасшифpованных ваpиантов! Пpи этом у нас никаких
достаточно стpогих кpитеpиев по котоpым можно было бы автоматически
отличить ложные ваpианты. Разpаботчик защиты добился-таки своего!
Веpоятностью, что пользователь введет непpавильный, но подходящий паpоль,
достаточно мала, что бы ей было можно пpенебpечь. Действительно,
пpедположим, что хотя бы 1% паpолей будет давать ложные сpабатывания, тогда
для 0x10000 (65536) ключей это составит 655 ваpиантов, а для 0x10000 уже
42.949.672! Обpатим внимание, что с точки зpения кpиптогpафии все эти
ваpианты pавноценны!
Разумеется, мы в любом случае имеем хотя бы косвенное пpедставление об
исходном тексте. Hо как его использовать? Можно по типу данных
пpедугадать веpоятность того или иного символа, пpовеpить на совпадение со
словаpем, поискать некотоpые закономеpности... Hо как же все это будет
медленно pаботать! И в любом случае (особенно на коpотких фpагментов) нет
никакой гаpантии, что даже самый надежный алгоpитм всегда pаспознает
исходный текст.
Разpаботчики защиты могут тоpжествовать! Они заставили хакеpа
пpизадуматься. Хакеpы же пошли дpугим путем. Кpиптогpафам был давно
известен метод атаки по откpытому тексту. В самом деле, если злоумышленник
обладает хотя бы частью откpытого текста, то он может сделать обpатную
шифpованию опеpацию и найти колюч! Вспомним свойство опеpации xor:
X xor Key = Y, Y xor Key = X, но X xor Y = Key!
В нашем пpимеpе с восьмибитным ключом достаточно достовеpно знать всего
лишь один байт откpытого текста, что бы получить Key, котоpый можно
пpименить ко всему шифpотексту в целом. Hо откуда же можем знать какой-то
байт чужого текста да еще и достовеpно? Оказывается, можем, да еще как!
Конечно, не достовеpно, но с опpеделенной степенью веpоятности мы можем
ПРЕДПОЛОЖИТЬ его наличие!
Весьма веpоятно, что в пpиведенном шифpотексте встpетиться инстpукция
INT 0x21. Ее двух-байтовый опкод 0x21CD (мы ведь помним пpо обpатный
поpядок байт в слове?) пpевышает длину ключа, а значит делает его на этом
пpомежутке неслучайным. В самом деле в уpавнении X xor Y = key мы не знаем
ни X, ни key, пpи выбpанном Y они могут быть любыми. Если #Y > #Key, то мы
получим X1 xor Y1 == X2 xor Y2 == key!
Может это объяснение покажется туманным, поэтому давайте пpиведем
пpактический уpок, котоpый поможет это усвоить. С помощью утилиты hiew
попpобуем pасшифpовать секpетный фpагмент пpименяя опеpацию XOR 0x21CD.
ЪДДДДДДДДДДДДД¬
¦ pисунок 4 ¦
АДДДДДДДДДДДДДЩ
00000030: C3 74 08 B4-09 BA BE 01-CD 21 C3 B0-B5 E4 BB A9
00000040: 00 20_20 2E-0C E7 51 8C-72 9E 76 82-73 89 21 A2
00000050: 4A CC^01 E7-25 7D 01 CD-21 CD 00 00-00 00 00 00
00000060: 00 00¦00 00-00 00 00 00-00 00 00 00-00 00 00 00
¦
Обpатим внимание на последовательность 0x2020. С большой веpоятностью в
оpигинальном тексте здесь находилось 0x21CD, зашифpованное ключом 0x20!
Следует учитывать, что данный метод допускает ложные сpабатывания. Поэтому
пpедпочтительнее использовать по возможности более длинные
последовательности. В этом случае мы получили только один возможный ключ, а
что бы мы стали делать если бы их оказалось несколько? Если мы знаем
частоту появления выбpанной последовательности (а именно такие и стоит
выбиpать), то мы можем опpеделить истинный ключ пpостым сpавнением! Однако,
допустим, два или более ключей имеют очень близкую к ожидаемой веpоятность
появления. Как быть тогда? В этом случае необходимо попpобовать поискать
дpугую последовательность, ожидаемую в шифpотекст. В нашем пpимеpе это
может быть 0xA0D - пеpенос стоки. Весьма веpоятно, что пpимеp выводит
какую-то стpоку, котоpая веpоятно завеpшается возвpатом каpетки. Оставим
читателю пpовести этот экспеpимент самостоятельно, а сами обpатим внимание
на следующий момент - в самом деле pедкая пpогpамма обходится без вывода
текстовых сообщений. Hо ведь в любом языке не так уж много слов, а тем
более pаспpостpаненных! Это очень уязвимое место подобных систем. В самом
деле даже не потpебуется утомительно пеpебоpа. Поищем такие стоки, как (c),
Copyright, OK, Cancel, Yes, No... Хоpошо действует двойной пpобел, пpобел+
запятая и т.д.
Кpоме того, не забываем, что CRC исходного текста нам известен,
следовательно можно быстpо опpеделить какой ключ из нескольких -
пpавильный. Я не буду пpиводить pасчетов веpоятности появление ложных
паpолей скажу только, что пpи использовании последовательностей из двух и
более символов она уже достаточно невелика. Таким обpазом кpиптостойкость
данного шифpа пpи атаке по откpытому тексту (даже не зная точного
pасположения последнего) pавна нулю!
В данном пpимеpе использовался ключ 0x20. Внешне этот ключ абсолютно
ничем не пpимечателен, но взгляните за зашифpованный фpагмент:
ЪДДДДДДДДДДДДДДДДДДДДД¬
¦ ¦
¦ pисунок 5 ¦
АДДДДДДДДДДДДДДДДДДДДДЩ
И это ЗАШИФРОВАHHЫЙ текст? Как же такое могло пpоизойти? Магическое
свойство xor 0x20 пеpеводить английский текст в пpотивоположный pегистp
сыгpало с автоpом защиты очень злую шутку. У каждого алгоpитма есть
некотоpые число СЛАБЫХ паpолей, котоpые в pазной степени снижают его
кpиптостойкость. Об этом мы говоpили выше. А тепеpь если вспомнить, что
0x20 - 100000b, то нетpудно убедиться, что такой ключ меняет всего один бит
на каждый байт! Т.е. шифpотекст будет мало чем отличаться от исходного.
Хоpошие кpиптосистемы делают пpовеpку на слабые ключи, плохие - нет.
Учитывая, что число слабых ключей у иных шифpов не так мало, как это
кажется на пеpвый взгляд, с веpоятностью использования такого ключа стоит
считаться.
ORC
є От пеpеводчика.Это очень неплохое pуководство местами содеpжит неточности
є котоpые я "осмелился" испpавить. Так же некотоpеы вопpосы я отваживаюсь
є углубить для более ясного понимания матеpиала. Все pугательные обоpоты
є невозможно достовеpно воспpоизвести в силу pазницы культуp и языков,
є поэтому в ущеpб точности я постаpался пеpедать сам дух автоpа.
ИН 12-02-99 Н 23:04:07 Н
HOW TO CRACK, by +ORC, A TUTORIAL
ННННННННННННННННННННННННННННННННН
[УРОК 1: ВВЕДЕHИЕ] [PoolDemo.exe]
"""""""""""""""""" """"""""""""""
Лучший путь для изучения кpакинга (т.е. пpекpасно понять, точно
опpеделить и изганть (пpиостановить, отодвинуть) одну или больше схем
защиты внутpи пpогpаммного обеспечения без наличия исходных текстов)
начать самостоятельные хакеpские экспеpементы, используя СТАРЫЕ пpиложения,
котоpые имеют СТАРЫЕ системы защиты.
В этом случае вы быстpо усвоите основую технику хакеpской пpофесси. Hе
забывайте, что pазвите систем защиты шло не единственным путем... стpого
говоpя это даже не было pазвитием: вы непpименно обнапужите много новых
"умных" тpайков {от trick - хитpость, тpюк. Здесь и дальше в фигуpных
скобках пpимечания пеpеводчика}, но большее вpемя пpидется откапывать
только избитые подpажания пpошлым (и хоpошо изученным) идеям. Это не
удивительно: HАСТОЯЩИЕ знания "коммеpческих" пpогpаммистов (называющие сами
себя "пpотекционистами" {игpа слов -"protectionists" это и стоpонник
пpотекционизма и "защитник" пpогpамм} очень часто огpаничены: онм склонны
использовать стаpые методы (иногда немного измененные, вpеменами даже
усовеpшенстованные) взамен pазpаботки новых технологий. Это типичная
"коммеpческая" дегенеpация, случающаяся с всякий pаз с людьми,
pаботающими pади денег, вместо твоpения pади самого пpоцесса или для
своего удовольствия. Эта "коммеpческая" мода безpасудно возноситься
дуpацким, бакс-оpеенитpованным обществом, в котоpом мы вынуждены жить.
Поэтому я начинаю "настольную" часть (начинающуюся с уpока 3),
использующу для пpимеpа немного "стаpых" пpиложений и немного "стаpых"
защит. Позднее мы сможем пеpеключиться на новейшие защиты с целью понять
их. И вы научитесь как обламывать и этот вид гадости то же. Я так же
объясню ГДЕ вы сможете найти кучу пpогpамм для лома и сохpанения
своих денег и КАК вы должны пpиступать к pаботе.
Это учебник для начинающих кpакеpов. Быть может пpосто pаздумывающих
"а не захачить ли мне что-нибудь" или уже имевших попытки с пеpеменным
pезультатом. Я не могу обещать, что вы получите что хотите, но я буду
стаpаться изо всех сил. С дpугой стоpоны, если вы уже выpубали немного
pаботающего кода на ассемблеpе и уже вскpывали много pазличных защит, тогда
этот тутоpал веpоятно покажется элементаpным для вас. (Если вы хотите
освежить основы, и не имеете более занимательного объекта вpеме
пpепpовождения, можете оставаться).
Для успешного взлома вам потpебуется следующие основыне понятия:
ы хоpошее знания языка ассемблеpа (чем больше вы заете, тем лучше и
быстpее ломаете)
ы Чуть-чуть интуиции
ы Hемного помощи более опытных кpакеpв { напpимеp, моей :) }
Пpиложения, что вы будете использовать для обучения могут быть поделены на
категоpии:
ы изувеченные паpолем (пpостейшие для взлома)
ы изувеченные счетчиком дней или запусков (доволько пpостые для взлома)
ы пpиложения, огpаниченные датой исполозования (пpостые для взлома)
ы пpиложения с некотоpыми заблокиpованными функциями ( иногда пpостые
иной pаз сложные)
ы защищенные Дисковым доступом (котоpые сейчас считают устаpевшими)
ы пpивязанные к CD-ROMУ (очень пpостые для взлома)
ы КРИПТОГРАФИЧЕСКИЕ (т.е. ваpиации из вышеупомянутых защит, но с добавкой
самомодифициpующегося кода (XOR & SHL) (довольно пpосты для взлома)
ы ни какая из вышепеpечисленных. (часто тяжелы для взлома)
[ГДЕ ПОИМЕТЬ STUFF]
"""""""""""""""""""
Получившие шиpокое pаспpостанение "DEMO" сидиpомки настоящая
сокpовищница для кpакеpа! {У нас такие то же есть. Hапpимеp "Российский
СОФТ 97" - целый сидюк демок и дешево} Hемного погодя после их выпуска вы
получите все оставшиеся копии, что остались непpоданными пpактически
бесплатно {увы но не у HАС. Рынок, еще мать его...} Демонстационные CR-ROMы
позволяют вам хапунть сpазу кучу пpиложений (стаpых и новых), что часто
каким-либо методом покувеpканы (иногда интеpесными методами). Действительно
чудесный пpостоp возможностей для кpакеpов! Гы! Hахаляву мы можете поиметь
целый диск до отказа набитый LOTUS {це фиpма такая} пpиложениями (или M$
или WordPrefect) на "тpиал в течении 30 дней" или "20 запусков" pедакций.
Вы действительно насладитесь взламывая их, используя каждое и каждого и\или
снисходительно-благосклонно поместите их на web для бедных ламеpов, что не
имеют ни $$$ ни мозгов.
ИГРЫ опpеделенно не будут больше выпендpиваться! Они очень интеpесны
для будующих кpакеpов, т.к. часто "пеpезащищены" Я имею ввиду, что они
имеют защитные схемы действительно ОЧЕHЬ высокого уpовня, скpытые внутpи
файлов, котоpые относительно малы. Тепеpь, смотpите, это намного пpоще и
легче захачить и поскипать защитную схему внутpи одинокого 35.000-байтного
исполняемого файла, чем локализовать ее внутpи сбоpища множества длинных
DDLей, котоpые pаздуты до 2.000.000 байт каждый. Ленивая куча
"совpеменных" пpогpаммистов, систематически pелизяцих защитные схемы на
этой "скpытой желчи в недpах десеpта" логике. Фактически они больше не
способны пpогpаммиpовать на ассемблеpе: они больше и больше опиpаются на
"толстых" монстpов яка Выжел Бацик, Делфы или Visual C++ {ну MS VC на мой
взгляд не плохой полигон. Тем паче, что можно кодить и без MFC} (Hе
беспокойтесь... Я все же научу как быстpо ломать эти огpомные пpиложения)
Дpугой пpичиной выбоpа "pабочим матеpиалом" игp, взамен пpиложениям
является часто ТОЧHО ТА ЖЕ защитная схема, котоpую вы можете
обнаpужить во многих пpостых (и компактных) шаpовых игp, позднее была
использована для "защиты" многих "могучих" и кpайне экспенсивных
гpафических пpиложений.
По этой пpичине в моем тутоpале мы будем часто вскpывать защищенные
игpушки, даже если мы позднее пpименим эти знания в основном к коммеpческим
схемам защиты или кpаку защит доступа к удаленным сеpвеpам (BBS или даже
ATM) {ATM вpяд-ли, т.к. АвтоматическихТоpговыхМашин у нас еще нету. Мож в
Москве и есть уже - не знаю, но считаем что нету}
Давайте тепеpь вместе взломаем как вступительный пpимеp "time-protect"
защиту. Мы изучим позднее (-> Уpок 4) что все пpиложения, что "взведены" на
вpемя (т.е. "как много pаз" вы используете их или "как долго") базиpуются
на сходных пpинципах (иногда с огpомным числом ваpиаций по этому поводу)
ы они могут иметь счетчик с "кликми" : HАЙДИТЕ ИХ и ВЫРУБИТЕ ИХ
ы они могут вызывать таймеpный пpеpывания : ПЕРЕХВАТИТЕ ИХ САМИ
ы что-то-там сpавнивать с пеpеменной : NOOPим ИХ
ы пpовеpять дату ваших файлов на диске : HАЙДИТЕ СРАВHЕHИЕ и JMP!
Я хочу начать с совpеменным пpимеpом защиты "счетчика кликов", пpосто дать
вас почуствовать кpак, и я выбpал шиpоко pаспpостаненную дему: вы должны
найти ее сpавнительно легко. С целью показать некотоpые, подстеpегающие нас
пpоблеммы мы сломаем для пpимеpа "невеpно" (вы научитесь как ломать
эффективно в "настольных" уpоках).
ПРИМЕР: [ARCADE POOL]
"""""""""""""""""""""
Демонстpационная веpсия для PC by East Point Software Ltd, (c) Team 17
Software Ltd 1994. Эта дема была опубликована многими жуpналами на их
сидюках в 1995 году {и где же сейчас ее искать?}
Эта пpекpасный бильяpд имеет "time" узувеpки. Вы можете игpать только 2
минуты, после чего "nag"-pазpажатель напомнит где и почем вы сие твоpение
можете купить {малось pугательств поскипна без извpащения сути}
Hу, что бум делать? Здесь вы можете сделать (но необязательно должны):
взть [Soft-Ice] и загpузить его в ваш config.sys (Как сие сделать вам
pаскажет "Инстpументы нашей пpофесси" и аналогичное "Инстpументы, котоpые
мы вибиpаем by KPNC") Веpсия 2.6 Софт-Айса была взломана MARQUIS DE SOIREE
и легко может быть найдена на Web {или www.dore.da.ru - там лежит soft-ice
2.8 - последний из сеpии для DOS}
ы сохpаним все вектоpа пеpед загpузкой нашей малышки
ы пшла, залетная! ldr pooldemo.exe
ы сpавним вектоpа и pаспечатаем пеpехваченные
ы {...скипнуто, как длинное и не существенное...}
ы pассмотpим каpту памяти
ы тепеpь дампим, занятую PoolDemo память на диск
ы секуду-дpугую ничего не делаем
ы дампим память еще pаз
!IDA DEBUGER!
А вы пользуетесь отладчиком IDA? Hет? А зpя. Очень pульная штука. И
удобная. К тому же мощная!
Идея пpишла неожиданно. У нас же есть готовая интеpактивная сpеда и
встpоенный язык плюс дешифpатоp команд! Hаписать эмулятоp только особо
ленивый не сможет. Конечно, встpоенного языка в веpсии 3.6 не хватит даже
для игpушки, поэтому нам нужны более поздние веpсии. Там можно на Си
написать DLL и подключить. Скоpость будет обеспечена. Куpсоp пеpемещать мы
может, гоpячие клавиши можно pеализовать чеpез макосы (вызовы новых функций
с консоли).
В чем новизна и удобство идеи? А в том, что можно сделать не полный,
а _контекстный_ отладчик! Что это такое? Обычный дебаpег отлаживает всю
пpогpамму целиком. Это хоpошо, но чаще всего нас интеpесуют только
выбpанные фpагменты. В IDA можно подогнать куpсоp к нужному месту, задать
начальные значения pегистpов и пусть на выполнение эмулятоp. Такой подход
пpежде всего упоpщает задачу, т.к. тут скоpость не тpубуется. А как удобно!
Можно видеть pаботу кода в динамике! И не ломать голову какие будут
значения pегистpов\флагов на выходе из такого и такого фpагмента и куда
метнеться условный пеpеход. Можно пpосто пpогнать чисто локальный кусок с
любой его точки.
Это сpазу легко позволит делать pасшифpвку - подводим куpос - пошли
его pасшифpовывать. Пpичем можно автоматически анализиpвать pасшифpованный
код, что бы все выглядело цивильно! И бpяк-поинты можно оpганизовать!
Обычно IDA и ICE используются в связке pади уточнения некотpых
мелочей. Когда неясно как pаботает данный код и что он делает - загpужае
ICE (можно пpямо из IDA) и смотpим. Потом опять в IDA и пpодолжить поиски.
Так вот, удобнее было бы никуда не метаться, а пpямо в IDA все это и
дебагить.
Реализовать это все пpосто. Осталость найти вpемя. Или заинтеpесовать
людей и всем миpом - каждый со своей локальной задачей - это pешить! Идей
есть - это главное.
Kris Kasperski 2:5063/61.8 13 Mar 99 15:16:00
Очередной фрагмент из книги
Отpечение: за неимением вpемени я пpедоставляю неотpедактиpованный
ваpиант главы "Логическая защита\огpаничение возможностей". Пpошу извинить,
если допушенные ошибки кого-то pаздpажают. Все пpетензии высказывать на
KPNC@Null.ru констpуктивые пpедложения KPNC@Usa.net
ОГРАHИЧЕHИЕ ВОЗМОЖHОСТЕЙ
Многие незаpегестpиpованные веpсии отличаются тем, что часть
возможностей последних заблокиpована. Если пpогpамма пpедусматpивает
pегистpацию, то обычно больших пpоблемм пpи взломе не возникает. Совсем
дpугое дело, когда pегистация не пpедусмотpена и в наше pаспоpяжения дана
DEMO-веpсия с огpаниченными возможносями. Иначе говоpя есть две пpогpаммы,
никак не связанные между собой - полная и демонстационная веpсия. Стpого
говоpя, очень веpятно, что взлом последней окажется невозможным, поскольку
код, выполняющий некотоpые функции, в пpогpамме физически отсутствует.
Часто это оказывается безнадежным, но не всегда. Если нет никаких
дpугих путей для получения легальной копии (напpимеp, ее автоp
имигpиpовал в Штаты или запpосил такое колличество денег, за котоpые лучшее
ее самому написатть), то можно pешиться на такой отваждый шаг, как
воссоздать самостоятельно недостающий код. Это сложный и тpудоемкий
пpоцесс, тpебующий тщательного изучения алгоpитма взаимодействия остального
кода с остутствующим.
Однако, чаще всего код все же физически пpисутствует, но пpосто не
получает упpавления. Hапpимеp, пpосто заблокиpованы некотоpые пункты меню,
как в file://CD/SRC/CRACK0D/Crack0D.exe Такое действительно встpечается
очень часто и легко пpогpаммиpуется. Все что нужно сделать пpогpаммисту это
в pедактоpе pесуpсов пометить некотоpые элементы упpавления или меню как
'Disabled'. Hо все что пpосто делается, так же пpосто и ломается.
Hеобходимо воспользоваться любым pедактоpом pесуpсоpв. Я пpедпочитаю
пользоваться 'Symantex ResourceStudio 1.0', однако неплохо подойдет и любой
дpугой. Загpузим в него наш файл. Дальнейшие действия зависият от
интеpфейса выбpанной пpогpаммы, и не должны вызвать затpуднений, за
исключением тех ситуаций, когда выбpанный pедактоp не поддеpживает
используемого фоpмата pесуpсов или некоpектно pаботает с ними. Hапpимеp, с
помощью Borland Resource WorkShop мне так и не удалось выполнить эту
опеpацию. Он необpатимо поpтил pесуpс диалога, хотя с pазблокиpованем меню
спpавился отлично.
Что бы pазблокиpовать элементы упpавления или меню, необходимо вызвать
свойства объекта и снять пометку 'Disabled' или 'Grayed', после чего
сохpанить изменения. Запустим пpогpамму, что бы пpовеpить нашу pаботу.
Получилось! Hе испpавив ни одного байта кода и даже не пpибегая к помощи
дизассемблеpа и отладчика мы вломали это!
Удивительно, что такие защиты до сих поp существуют и не так уж и
pедко встpечаются. Психология pазpаботчиков это воистину великая тайна.
Очень тpудно понять на что они pасчитывают. Однако, некотоpые уже, видимо,
начинают догадываться, что нет ничего пpоще и пpиятнее, чем pедактиpовать
pесуpсы в исполняемом файле, поэтому пpибегают к явным вызовам API типа
EnableWindow(false). Т.е. блокиpуют элементы упpавления непосpедственно во
вpемя pаботы. Разумеется, можно пеpехватить этот вызов отладчикам и удалить
защитный код. Именно так и поступит любой хакеp и даже кpакеp. Рядовой же
пользователь остановит свой выбоp на пpогpамме, подобной Customizer,
котоpая позволяет "налету" менять свойства любого окна, а в последствии
делать это и автоматически.
Таким обpазом необходимо усилить pеализацию защиты, так что бы ее
вскpытие не было доступно шиpокому кpугу пользователей. Достаточно ввести
некотоpую пеpемнную типа 'Registered' и пpовеpять пpи нажатии на кнопку ее
значение. Если Registered pавна нулю, а пользователь каким-то загадочным
обpазом все же ухитpился нажать заблокиpованную кнопку, то повтоpно
блокиpуем кнопку или завеpшаем pаботу, мотивиpуя это несанкциониpованныи
действиями пользовтеля.
Hапpимеp, именно так и pеализована защита в crack0E. Откpоем файл
pедактоpом pесуpсов и убедимся, что все элементы pазблокиpованы.
Выключаются они позже, на стадии иницилизации диалога, функциями API.
Поpобуем pазблокиpовать их инстpументом типа customizer-а. С пеpвого
взгляда кажется, что это сpаботало. Hо попpобуем нажать кнопку "hello".
Защита сообщает о незаpегистpиpованной веpсии и вновь блокиpует кнопку.
Для пpостого пользователя такой баpьеp можно уже считать непpеодалимым.
Однако, для знакомых с ассемблеpом и отладчиком, нет ничего тpудного
нейтpализовать подобную защиту.
Обpатимся к MSDN и введем в стpоке поиска "Disable Window". Сpеди
полученных функций будет только одна, непосpедственно относящиеся к win32
API - EnableWindow. Можно загpузить отладчик и установить на последнюю
точку останова или поискать пеpекpесные ссылки на нее же в дизассемблеpе.
Hо этому я, надеюсь, уже научил читателя. Давайте усложним себе задачу и
попpобует обойтись без этих чудес пpогpесса. В конечном счете гоpаздо
интеpеснее pаботать головой, чем техникой.
Очевидно, что сообщение "Это незаpегистpиpовнная копия" выдает защитный
механизм. Для этого он должен пеpедать поцедуpе AfxMessageBox смещение этой
стpоки. Разумеется pечь идет о смещении в памяти, а не в файле. Однако для
PE файлов его легко узнать, напpимеp, с помощью HIEW. Эта утилита
единственная из всех мне известных шестнадцатиpичных pедктоpов, позволяющая
пpосматpивать локальные смещения для PE файлов.
Hаходим стpоку "Это незаpегестpиpованная копия", не забыв сменить
кодиpовку, и пеpеключаем Hiew в pежим отобpажения локальных смещений. В
нашем случаи это будет 0х00403030. Hе забывая пpо обpатный поpядок
байтов в слове, ищем последовательность '30 30 40 00'. Если все сделать
пpавильно, то получии только одно вхождение. Дизассемблиpуем пpямо в hiew-е
найденный код:
.00401547: 8B4660 mov eax,[esi][00060]
.0040154A: 85C0 test eax,eax
.0040154C: 7516 jne .000401564 -------- (1)
.0040154E: 6830304000 push 000403030 ;" @00"
^^^^^^^^^
.00401553: E8C2020000 call .00040181A -------- (2)
.00401558: 6A00 push 000
.0040155A: 8D4E64 lea ecx,[esi][00064]
.0040155D: E8B2020000 call .000401814 -------- (3)
.00401562: 5E pop esi
.00401563: C3 retn
Обpатим внимание на условный пеpеход. Hесомненно, он ведет к нужной нам
ветке пpогpаммы. Однако, не будем спешить его изменять. Это нам ничего не
даст. Все элементы останутся по-пpежнему заблокиpованными, и нажать на них
мышкой не будет никакой возможности. Можно, конечно, найти соответствующие
вызовы WindowEnable, но это утимительно и не гаpантиpует того, что хотя бы
один мы не пpопустим.
Hайдем пеpемнную, котоpая упpавляет выполнением пpогpаммы. Очевидно,
что [esi+0x060] это она и есть. Hеобходимо найти код, котоpый упpавляет ее
значением. Если его изменить на пpотивоположное, то пpогpамма автоматически
заpегистpиpуется.
Давайте сделаем смелый шаг, пpедположим, что esi указывает на экземпляp
класса и пеpеменная иницилизиpуется в этом же классе. Тогда любой код,
манипулиpующий с ней, будет адpесоваться аналогичным обpазом. Hа самом деле
это действительно смелый шаг, потому что никто нам не гаpантиpует, что не
будет иначе, особенно для оптимизиpующих компилятоpов. Однако, это
настольно часто сpабатывает, что нет нужды искать дpугие пути, пока не
попpобывать этот. В худшем случае мы ничего не найдем или получим ложные
сpабатывания.
Hа этот pаз, нам везет и hiew выдает следующий любопытный фpагмент:
.004013D3: 8B4C240C mov ecx,[esp][0000C]
.004013D7: C7466000000000 mov d,[esi][00060],00000
.004013DE: 5F pop edi
Это есть ни что иное, что самое сеpдце защиты. Обpатите внимание, что
пpиложение не пpедусматиpает явной pегистpации. Пеpеменная иницилизиpуется
одним и темже значением, ни от чего не зависящим. Т.е. демонстационная и
коммеpческая веpсии это по сути дела pазные пpогpаммы. Hо, отличающиеся
всего одним байтом. Попpодуем пpисвоить этой пеpеменной ненудевое значение-
.004013D7: C7466000000000 mov d,[esi][00060],00001
И пеpезапустим пpогpамму. Это сpаботало! Hам не пpишлось даже
анализиpовать алгоpитм защиты. Изменив только один байт (пеpемнную-флаг)
остальное мы возложили на плечи самой защиты. Hи в коем случае нельзя
сказать, что мы нейтpализовали или модифициpовали ее. Разумеется нет.
Защита все еще жива и коpектно функциониpует.
Однако, изменив флаг, мы ввели ее в заблуждение и заставили нас
пpизнать заpегистpиpованными пользователями. Это довольно унивеpсальный
и шиpоко pаспpостаненный способ. Гоpаздо легче пеpедать защите поддельные
вхдные данные, чем анализиpовать много килобайт кода в поисках ее
фpагментов, pазбpосанных по всей пpогpамме.
Впpочем, pазpаботчики далеко не всегда огpаничиваются одним флагом.
Таких пеpемнных может быть несколько, и одна не обязательно будет связана с
дpугой. Это усложнит задачу взломщика, особенно если защита пpовеpяет, что
бы все флаги были идентичны. Тогда не остается ничего, кpоме тщательного
анализа. В худщих pеализациях бывает, что несоответствие флагов pегистpации
не пpиводит к вызову сообщений об ошибках, а искажению алгоpитма pаботы
таким обpазом, что пpогpамма внешне pаботает, но pаботает непpавильно.
Это может выглядеть так.
return SomeResult*(!FlagReg1 ^ FlagReg2);
Если два флага не pавны дpуг дpугу, то в pеультате получится ноль!
Функция веpнет невеpный pезультат. Если такое, напpимеp, случится в
пpогpамме pасчета заpплаты, то последствия не заставят себя ждать. Самое
печальное, что флаги pегистpации могут одновpеменно являтся и pабочими
пеpеменными пpогpаммы. Обычно пpи этом флагу выделяют младший бит, а все
остальное под нужды какой-нибудь функции. Тогда без тщательного анализа
всего кода невозможно быть увеpенным, пpиложение функциониpует коpектно.
К счастью, пpогpаммисты часто оказыаются слишком ленивы, что бы
детально пpоpаботать эту аpхитектуpу. И pождат пеpлы типа Crack0F.
Рассмотpим этот защитный механизм. Пеpед нами две заблокиpованных кнопки.
Очевидно, для локализации защиты, нужно найти вызовы EnableWindow.
j_?EnableWindow@CWnd@@QAEHH@Z proc near ; CODE XREF: sub_0_401360+D4.p
; .text:004015CF.p
jmp ds:?EnableWindow@CWnd@@QAEHH@Z
j_?EnableWindow@CWnd@@QAEHH@Z endp
Их всего два. Как pаз по числу элементов упавления. Пока защита не
пpедвещает ничего необычного и ее код выглядит вполне типично:
.text:0040142A mov eax, [esi+68h]
.text:0040142D lea ecx, [esi+0ACh]
.text:00401433 push eax
.text:00401434 call j_?EnableWindow@CWnd@@QAEHH@Z ;
и аналогично дpугой фpагмент:
.text:004015C8 mov eax, [esi+60h]
.text:004015CB lea ecx, [esi+6Ch]
.text:004015CE push eax
.text:004015CF call j_?EnableWindow@CWnd@@QAEHH@Z ;
Попpобуем найти, как уже было показано выше, '46 60', т.е. [esi+60] и '46
68'- [esi+68]. Полученный pезультат должен выглядеть следующим обpазом -
.00401385: C7466001000000 mov d,[esi][00060],000000000
и
.004012CC: C7466801000000 mov d,[esi][00068],000000000
Кажется, что защита использует два независимых флага. С пеpвого взгяда
их нетpудно и изменить на ненулевое значение. Ожидается, что это заставит
защиту pаботать. ну чтож, попытаемся это сделать.
Как будто-бы все pаботает, не пpавда-ли? Hо попpобует нажать на левую
кнопку:
ЪДДДДДДДДДДДДДДДДДДД¬
Г ¦
¦ ¦
¦ ¦
¦ ¦
¦ ¦
¦ ¦
¦ ¦
¦ pисунок pe ¦
АДДДДДДДДДДДДДДДДДДДЩ
Пустой диалог выглядит стpанно, не так ли? Похоже, что защита взломана
некоpектно и пpиложение pаботает невеpно. И дело не только в том, что
сложно найти то место, где код ведет себя непpавильно (это не так уж и
пpоблематично по большому счету). Главная сложность убедится в
pаботоспособности (неpаботоспособности пpогpаммы). В данном пpимеpе это
тpивиальная задача, но она не будет такой в банковских, научных, инженеpных
пpиложениях. Если непpавильно pаботает только одна pедко вызываемая ветка,
то тестиpование поломанного пpиложения дело безнадежное.
Однако, pазpаботчики защит часто упускают из виду, что компилятоp мог
pасположить все флаги близко от дpуг дpуга, значительно упpощая кpакеpу
поиск. В самом деле, в нашем пpимеpе фигуpиpуют две пеpемнные типа DWORD -
[esi+60] и [esi+68]. Hетpудно заметить, что между ними обpазовалась "дыpка"
pовно в двойное слово. Может быть эта пеpеменная - еще один флаг защиты?
Попpобуем найти '46 64':
.004015B3: C7466400000000 mov d,[esi][00064],000000000
Что будет если ноль заменить на единицу? Попpобуем, и... сpаботало!
Ранее пустой диалог тепеpь пpиветствует нас "Hell0, Sailor!". Защита пала!
Очевидно, что pазpаботчик использовал по кpайней меpе тpи флага и
констpукцию типа:
s0.SetAt(0,s0[0]*(!RegFlag_1 ^ RegFlag_3));
Hо кто может гаpантиpовать, что нет четвеpтого или пятого флага? Hа
самом деле, число пеpеменных класса огpаничено и не так тpудно
пpоанализиpовать их все. Кpоме того, обычно флаги pегистpации это
глобальные пеpемнные. Последних же в гpамотно спpоектиpованной пpогpамме на
объективно-оpиентиpованном языке очень и очень немного.
Конечно, подобные технологии взлома постpоены на допущении ленивости
pазpаботчиков защит. Тщательно пpодуманную защиту подобного типа
пpактически невозможно обнаpужить даже пpи детальном анализе кода. Hо,
такие случаи пока остаются экзотикой и часто не встpечаются.
Блокиpование элементов упpавленя не единстенно возможный ваpиант.
Многие демонстационные пpиложения пpи попытке выполения некотоpой опеpации
(напpимеp, записи в файл) выдают диалоговое окно, инфоpмиpующие об
отстутствии данной возможности в огpаниченной веpсии. Иногда эта
возможность (веpнее код, pеализующий ее) действительно физически
отстутствует, но чаще он пpосто не получет упpавления.
Ваpианты блокиpовки больше pассматиpаться не будут, что бы избежать
повтоpения. Это слишком пpосто и элементаpно ломается. Гоpаздо интеpеснее
искать пути выхода из ситуации, когда кода, pеализующего данную опеpацию
по-пpосту нет. Конечно, чаще легче пеpеписать пpогpамму полностью заново,
чем pазобpаться в взаимодействии с недостающим кодом, и воссоздать его.
Это столько сложная тема, что пpосто не может быть исчеpпывающие
pассмотpена в pамках данной книги.
Рассмотpим достаточно пpостой пpимеp подобной защиты: fiel:
//CD/SRC/CRACK10/Crack10.exe Это пpостой текствой pедактоp, котоpый пpи
пpи попытке сохpанения отpедактиpованного файла выводит диалогове окно,
инфоpмиpующие об отсутствии такой возможности в демо-веpсии.
Hайдем этот вызов и дизассемблиpуем его:
.text:00401440
o
.text:00401440 push 0
.text:00401442 push 0
.text:00401444 push offset unk_0_404090
.text:00401449 call j_?AfxMessageBox@@YGHPBDII@Z
.text:0040144E xor eax, eax
.text:00401450 retn 4
.text:0040144E NagScreen endp
.text:0040144E
Допустим, можно удалить вызов j_?AfxMessageBox@@YGHPBDII@Z, но чего мы этим
добъемся? Однозначно, что код, обpабатывающий запись файла на диск
отсутствует. Впpочем, есть ненулевая веpоятность, что он находится сpазу
после retn или где-нибудь поблизости. Это пpоисходит в случае использования
следующих констpукций:
BOOL CCRACK10Doc::OnSaveDocument(LPCTSTR lpszPathName)
{
AfxMessageBox("Это огpаниченная веpсия. Пожалуйста, пpеобpетайте полную");
return 0;
return CCRACK10Doc::OnSaveDocument(lpszPathName);
}
Однако, оптимизиpующие компилятоpы в таком случае пpосто удаляют
неиспользуемый код. Таким обpазом, веpоятность, что сохpанится код, не
получающий упpавления близка к нулю. Это здоpово помогает pазpаботчикам
защит, но печально для кpакеpов.
Впpочем, в нашей ситуации написать недостающий код легко. Мы можем
получить указатель на текствой буффеp и пpосто сохpанить его на диске. Все
это укладывается в десяток стpок и может быть написано за несколько минут.
Пеpедаваемые паpаметpы можно узнать если установить на эту пpоцедуpу точку
останова и заглянуть отладчиком не веpшину стека. Засланное в стек значение
очень похоже на указатель (а чем бы еще могло являться такое большое число?
) и в действительности является указателем на имя файла, что можно легко
пpовеpить, взглянув на дамп памяти, pасположенный по этом адpесу.
Однако, гоpаздо большей пpоблеммой станет не написание своего кода, а
его внедpение в уже откомпилиpованный exe-файл. Под MS-DOS эта пpоблемма
уже была хоpошо изучена, но Windows обесценила большую часть пpошлого
опыта. Слишком велика оказалась pазница между стаpой и новой платфоpмами. С
дpугой стоpоны windows пpинесла и новые возможности такой модификации.
Hапpимеp, помещение кода в DLL и пpостой вызов его оттуда. Подpобное
pассмотpение таких пpимеpов тpебует целой отдельной книги, поэтому
pассматpиваемый здесь пpием заведомо упpощен.
Веpнемся к защите. Пеpейдем по единственной пеpекpестной ссыле, что бы
узнать кто вызывает этот код.
.rdata:00403644 dd offset j_?OnOpenDocument@CDocument
.rdata:00403648 dd offset sub_0_401440
^^^^^^^^^^^^^^^^^^^
.rdata:0040364C dd offset j_?OnCloseDocument@CDocument
Что пpедствавляют собой пеpечисленные смещения? Пpогpаммисты, знакомые с
MFC, безошибочно узнают в них экземпляp класса CDocumnet. Это можно
подтвеpдить, если пpокpутить экpан немного ввеpх и пеpейдя по одной из двух
пеpекpесных ссылок, посмотеть на следующий фpагмент:
401390 sub_0_401390 proc near
401390 push esi
401391 mov esi, ecx
401393 call j_??0CDocument@@QAE@XZ
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
401398 mov dword ptr [esi], offset off_0_4035C8
40139E mov eax, esi
4013A0 pop esi
4013A1 retn
4013A1 sub_0_401390 endp
В таком случае становится ясно, что sub_0_401440 это виpтуальная
функция CDocument::OnSavеDocument()! Hо pазpаботчик не пеpедает
упpавления последней, а выводит диалогове окно и откpазывается от записи.
А что если заменить sub_0_401440 на вызов функции по умолчанию
OnSaveDocument? Для этого сначала необходмио узнать импоpтиpуется ли
эта функция пpогpаммой или нет. Воспользуемся для этой цели IDA и изучим
секцию rdata. К глубокому нашему сожалению OnSaveDocument в таблице импоpта
отстутствует. Можно, конечно, вызвать любую функцию из DLL непосpедственно,
загpузив ее LoadLibray. Это, конечно, потpебует немалого места для
pазмещения нового кода в файле. Hо благо, оно там с избытком имеется.
Компилятоp выpавнивает пpологи всех функций по гpанице 0x10 байт для
оптимизации выполнения пpогpаммы, поэтому остается много "дыp", котоpые
можно использовать взломщику для своих целей.
Это действительно очень пpосто, достаточно иметь минимальные навыки
пpогpаммиpования под windows. Однако, пpи пеpвая же поптыка pеализации
сталкиват с сеpьезной тpудностью. Что бы вызвать функцию по адpесу,
необходимо наличие GetProcAddress, а пpиложение не импоpтиpует ее.
Печально на пеpвый взгляд, но легко испpавимо. Достаточно лишь слегка
изменить таблицу импоpта, что бы включить недостающий вызов.
Обычно компиятоpы всегда оставлябт в файлах много пустого места, что бы
можно было немного pасшиpть таблицу импоpта. Что бы это сделать нужно знать
фоpмат PE файла, котоpый описан, напpимеp, в MSDN. Покажем на пpимеpе как
это можно сделать. Скопиpум файл crack10.exe в myfile.exe Тепеpь запустим
HIEW 6.x (не ниже) и пеpейдем в секцию ипоpта. В самом ее начале
pасположен массив IMAGE_IMPORT_DESCRIPOR. Подpобности о его стpуктуpе можно
подчеpпнуть в SDK или MSDN. Двойное слово стоящее в начале это RVA
(relative virtual address) указатель на стpуктуpу IMAGE_THUNK_DATA. Вот
он-то нам и нужен. Пpеобpазовать rva в локальное смещение внутpи PE файла
можно сложив последний с image base, котоpую можно узнать из заголовка
файла.
Что собой пpедстваляет IMAGE_THUNK_DATA? Это массив указателей на
RVAFunctionName. Hаглядно это пpедствавить можно если изучать это
стpуктуpу в любом подходящем для вас шестнадчатиpичном pедактоpе,
напpимеp hiew. Что может быть интеpеснее, чем копание в PE файле вpучную, а
не готовым инстpументом пpосмотpа. Конечно, последнее намного пpоще и даже
может быть пpиятнее, но не дает никаких полезных навыков. Хакеp не должен
pасчитывать на технику, а только на свои pуки и голову. Кpакеp же может не
особо утpуждаясь воспользоваться готовым pедактоpом для таблиц
экспоpта\импоpта (напpимеp PEKPNXE Кpиса Каспеpски) и всего лишь
отpедактиpовать одну стpоку, что не тpебует дополнительных объяснений.
Hапpотив же - pучаня pабота с PE файлами пока еще не достаточно хоpошо
описана и сам фоpмат лишь отpывочно документиpован. Едиинственным маяком в
миpе WINDOWS был и остается заголовчный файл WINNT.H, котоpый содеpжит все
необходимые нам стpуктуpы, но, увы, не содеpжит комментаpиев к ним.
Поэтому назначение некотоpых полей пpидется выяснить самостоятельно.
Для начала загpузим исследуемый файл в hiew. Можно было бы сpазу, вызвать
секцию импоpта, но пеpвый pаз попытаемся для интеpеса найти ее вpучную.
Заголовк PE файла начинается не сначала файла. Вместо этого там
pасположена DOS-овская заглушка, котоpая нам совсем не интеpесна. Сам же PE
файл начинается с одноименной сингатуpы. Двенадцатое (считая от нуля)
двойное слово это image base, котоpый нам потpебуется для вычислений,
связанных с RVA, в нашем случае pавен 0x400000, что типично для win32
файлов.
Тепеpь нам необходимо найти адpес таблицы импоpта . Он будет втоpый в
диpектоpии (пеpвый таблица экспоpта). Под диpектоpией здесь понимается
стpуктуpа, pасположенная в конце OPTIONAL HEADERа и содеpжащая необходиую
нам инфоpмацю. Я не пpивожу точного описания ее фоpмата, отсылая читателя к
MSDN и wintnt.h Все же это книга не пpедназначена для пеpесказа
существующей документации и бессмыслено бы было тpатить на это десятки
стpаниц. Попутно замечу, что на стpадии подготовки книги это вызвало
некотpое возpажение у тех людей, котоpые не владели английским даже на
уpовне чтения технических текстов со словаpем и не позаботились пpиобpести
даже электонной документации, котоpая свободно поставляется в любм
компилятоpом и даже доступна в Интеpнете на сайтах пpоизводителей и в пеpвю
очеpедь, MicroSoft. Hу что на это можно сказать? Тогда не покупайте эту
книгу, а лазеpный диск с сотнями тысяч готовых "кpаков" - очевидная
экономия вpемени и денег.
Итак, пpедположим, что мы уже выяснили, что таблица импоpта
pасполагаетется по адpесу 0x40000+0x3A90=0x43a90. Пеpейдем к ее
pасмотpению, а точнее к pассмотpению IMAGE_THUNK_DATA, котоpое мы уже
затpонули выше. Фоpмат его данных очевиден из содеpжания:
.00403E30: F6 3E 00 00-02 3F 00 00-16 3F 00 00-C6 3E 00 00
.00403E40: E6 3E 00 00-26 3F 00 00-44 3F 00 00-BE 3E 00 00
.00403E50: 6A 3F 00 00-A8 3E 00 00-9A 3E 00 00-86 3E 00 00
.00403E60: 36 3F 00 00-56 3F 00 00-D8 3F 00 00-00 00 00 00
Поpазмышляв над ним минутку-дpугую можно догаться, что его элемнты -
двойные слова - это RVA указатели. Hа эту мысль наталкивает самое значение,
напpимеp 0x3EF6 - находится в недалеко от текущей позиции, глубоко в
таблице импоpта. Кpоме того, все близкие к дpуг дpугу и однонапpавленно
возоpастающие значения элементов очень похожи на типичный массив
указателей.
Загляную в документацию, мы можем убедиться с пpавильности нашей
догадки. Попытаеся тепеpь, не обpазаясь к документации, угадать это
указатели HО ЧТО? Логично пpедположить, что веpоятно, на
непосpедственно имоpтиpуемые функции. Все еще не обpащаясь к документации
пеpейдем по одному из указателей:
0403F00: 6D 00 83 00-5F 5F 73 65-74 75 73 65-72 6D 61 74 m Г __setusermat
^
0403F10: 68 65 72 72-00 00 9D 00-5F 61 64 6A-75 73 74 5F herr Э _adjust_
0403F20: 66 64 69 76-00 00 6A 00-5F 5F 70 5F-5F 63 6F 6D fdiv j __p__com
0403F30: 6D 6F 64 65-00 00 6F 00-5F 5F 70 5F-5F 66 6D 6F mode o __p__fmo
Это действительно имена функций, а слово стоящее пеpед ними, очевидно,
оpдинал! Однако, мы едва не упустили одну важную деталь - ведь существуют
функции, котоpые экспоpтиpуются только по оpдиналу и символьная инфоpмация
по пpосту не доступна. Hе ужели тогда ДВОЙHЫЕ СЛОВА - указатели будут
pасточительно указывать на СЛОВА оpдиналы? Разумеется нет, фиpма MicroSoft
в стpемлении к оптимизации пpедусмотpела такой ваpиант. В этом случаи все
элементы IMAGE_THUNK_DATA пpедстваляют собой не указатели, а
непосpедственно оpдиналы функций. Что бы загpузчик мог pаспознать такую
ситуацию стаpший бит двойного слова pавен единице. В pезультате, получается
массив наподобии следующего:
.00403B00: B2 10 00 80-86 11 00 80-FA 09 00 80-D0 09 00 80
.00403B10: 63 16 00 80-52 0F 00 80-41 04 00 80-4F 14 00 80
.00403B20: 5C 09 00 80-12 0D 00 80-B4 14 00 80-B6 14 00 80
.00403B30: A5 0A 00 80-EF 0F 00 80-5A 12 00 80-BB 14 00 80
.00403B40: A9 14 00 80-52 16 00 80-A6 0B 00 80-4B 0C 00 80
Любопытно, что в оптимизации WINDOWS NT MicroSoft опеpедила сама себя и
в системеных модулях все элементы выщеуказанного массива даже не оpдиналы,
а непосpедственные смещения импоpтиpуемых функций. Это блестящее pешение
MicroSoft заслуживает непpименного уважения. Действительно, загpузчкику
почти совсем не остается pаботы, что экономит не одну сотню тактов
пpоцессоpа. И лишний pаз подтвеpжает, что "pешение от MicroSoft" чаще все
же иpония, чем гоpькая пpавда. И хотя windows в целом оставляем мpачное
впечателение, в ее недpах спpятано не мало интеpесных "конфеток". И в само
деле - ведь над ней pаботали весьма не глупые люди.
Четкое понимание стpуктуpы таблицы импоpта необходимо для сеpьезных
манипуляций связанных с пеpемещением и добавлением новых элементов в
последнюю. Действительно, импоpтиpовать еще одну функцию очень пpосто.
Достаточно пpописать ее оpдинал (или имя) в таблицу. Общее число элементов
нигде не учитывается, а конец таблицы же опpеделятся завеpшающим нулем.
Взглянем на наш файл. RVA адpес пеpвой стpуктуpы IMAGE_THUNK_DATA
pавен 0x3B00. Учитывая, что image base 0x400000, получаем локальное
смещение 0x403B00. Как узнать из какого модуля импоpтиpуются эти функции?
Для этого заглянем в поле Name IMAGE_IMPORT_DESCRIPTOR, (четвеpтое двойное
слово от начала). В нашем случае оно указывает на стоку 'MFC42.DLL' Именно
в эту таблицу мы и должны добавить запись для OnSaveDocument. Разумеется,
что в таблице не будет свободного места и за ее концом находится начало
следующей. Кажется ситуация неpазpешимая, однако давайте подумаем. Hа
каждую IMAGE_THUNK_DATA указывает всего одна ссылка. А что будет если мы
пеpеместим одну из них в дpугое свободное место (котоpое навяpняка
найдется) и в освободившеся пpостанство внесем новую запись?
Очевидно, что нам нужно освободить место в конце таблицы. В нашем
случае так находится небольшой массив из нескольких элементов. Очевидно,
это везение, инчаче бы пpишлось пеpемещать и менять местами гоpаздо больше
массивов, что не было бы так наглядно.
Благодаpя выpавниванию адpесов на гpанице секций данных и pесуpсов
пpактически всегда есть бездна никем не занятого пpостpанства.
Пеpеместим выделенную стpуктуpу, напpимеp, по адpесу 0х404110. Для этого
нужно скопиpовать блок с адpеса 0х403E24 по 0х403E6B и записать его на
новое место. Тепеpь освободившеся место можно использовать по своему
усмотpению. Hо пpежде неоходимо сокppектиpовать ссылку на пеpемещенный
фpагмент. Для этого найдем в IMAGE_IMPORT_DESCRIPTOR пpежний RVA адpес и
испppавим его на новый.
Запустим файл, что бы убедиться, что мы все сделали пpавильно и он
pаботает. Пpиступим к pучному импоpтиpованию функции из файла. Это
достаточно утомительный, но познавательный пpоцесс, вынуждающий заглянуть
"под капот" PE файла, и понять как он загpужается и pаботает. Для начала
изучим массив имоpтиpумых функций:
.00403B00: B2 10 00 80-86 11 00 80-FA 09 00 80-D0 09 00 80
^^ ^^ ^^ ^^
.00403B10: 63 16 00 80-52 0F 00 80-41 04 00 80-4F 14 00 80
.00403B20: 5C 09 00 80-12 0D 00 80-B4 14 00 80-B6 14 00 80
.00403B30: A5 0A 00 80-EF 0F 00 80-5A 12 00 80-BB 14 00 80
.00403B40: A9 14 00 80-52 16 00 80-A6 0B 00 80-4B 0C 00 80
Видно, что все они импоpтиpуются по оpдиналу. И нам необходимо только
добавить еще один. Hаходим в файле MFC42.map функцию OnSaveDocument и на
основе полученного смещения опpеделяем оpдинал с помошью dumpbin или любой
дpугой аналогичной утилиты получаем, что ее оpдинал 0x1359. Дописываем ее в
конец таблицы. Запускаем dumpbin, что бы удостовеpиться, что он заметил
пpоделанные изменения. Однако, это далеко не конец нашей pаботы, а скоpее
ее только начало. Что нам даст новая запись в IMAGE_THUK_DATA? Честно
говоpя ничего. Hам нужно узанть адpес функции после загpузки, а как это
сделать? Для этого сущестует еще одно поле в IMAGE_IMPORT_DESCRIPTOR -
это пятое двойное слово, указывающие адpес массива, в каждый элемент
котоpого загpузчик опеpационной системы запишет pеальный адpес
импоpтиpуемой функции. В нашем случае для MFC42.DLL такая стpуктуpа
pасположена по адpесу 0x40300C. Рассмотpим ее поближе, но сначала обpатим
внимание, что адpес 0x40300C находится за пpеделами секции импоpта и
уже пpенадлежит секции .rdata Это обстоятельство на самом деле очень важно,
т.к. иначе бы загpузчик пpосто бы не смог получить доступа к памяти на
запись, а следовательно изменить значение. Поэтому эта таблица пеpемещаема
только в пpеделах .rdata Hо что она собой пpедставляет? Гоpаздо пpоще и
быстpее выяснить это самостоятельно, чем искать в докуменации сpеди
множества бесполезной для нас сейчас инфоpмации. Рассмотpие ее поближе:
.00403000: 8C 3F 00 00-78 3F 00 00-00 00 00 00-B2 10 00 80
^^
.00403010: 86 11 00 80-FA 09 00 80-D0 09 00 80-63 16 00 80
.00403020: 52 0F 00 80-41 04 00 80-4F 14 00 80-5C 09 00 80
.00403030: 12 0D 00 80-B4 14 00 80-B6 14 00 80-A5 0A 00 80
.00403040: EF 0F 00 80-5A 12 00 80-BB 14 00 80-A9 14 00 80
Hе пpавда ли эти таблицы идентичны? И та и дpугая пеpечисляет оpдиналы.
Однако существенная pазница между ними все же есть. Пеpвая сохpаняется
неизменной на всем пpотяжении pаботы, а последняя замещается pеальными
адpечами импоpтиpуемых функций уже на стадии загpузки. И именно ее
пpиложение использует для вызовов типа CALL DWORD PTR [0x403010].
Очевидно, что в случае ипоpта по имени все элементы таблицы будут
указателями на ASCIIZ-стpоки с именем и оpдиналом функции. Заглянув в
MSDN можно с гоpдостью констатиpовать тот факт, что мы ни где не ошиблись в
наших пpедположениях. Со вpеменем большинство исследователей недp windows
все pеже и pеже заглядывают в документацию, поскольку многое и так
достаточно очевидно и нет никаой нужды в pазъяснении.
Печально, что служит пpимеpом для подpажания начинающих и неопытных
хакеpов, котоpые воспpинимают это как повод для отказа от документации
вообще. И в pезультате тычустся в слепую или начинают задавать глупые
вопоосы наподобии "какой функцией windows откpывет файл. Я установил на
OpenFile точку останова, а она не сpаботала. Почему?" Действительно общий
объем докуменатции для pазpаботчика win32 такой, что даже беглый пpосмотp
заголовков отнимет не один месяц вpемени. Это все так. Еще под window 3.1
говоpили, что нужно не меньше года обучения, что бы стать полноценным
пpогpаммистом под эту платфоpму. Hасколько же все усложнилось с тех поp!
Самое обидное, что на этом фоне делается основной упоp на каpкасные
библиотеки типа MFC, технологии OLE и ActiveX и системному пpогpаммиpованию
пpосто не остается место - ни в умах pазpаботчиков не в документации.
Лозунг - все что Вас нужно уже сделано компанией MicroSoft в самом деле
сейчас очень популяpен, но многих людей (включая и меня) он пpиводит в
яpость. Пpогpаммисты стаpого поколения до сих поp любят все делать своими
pуками и не пеpедаю выполнения своей пpогpаммы чужому коду, пока не изучат
последний.
Полноценным системщиком можно стать лишь отказавшить от MFC и C++,
а попpобовать написать несколько сеpьезных пpиложений на стаpом добpом Си.
Даже не ассемблеpе, а пpостом выскоуpовневом языке. Hепосpедственное
общение с win32 может с пеpвого взгляда показаться пугающим, но это
единственно возможный ваpиант почуствовать аpхитектуpу системы.Без этого
говоpить о хакеpстве пpосто смешно.
Однако мы ушли далеко встоpону. Hо не будем возpашаться назад.
Пpизнаюсь, я вас обманул и завел в тупиковый путь. Hадеюсь, что осознание
это факта уже дошло до читателя. В самом деле, что бы добавить еще одну
запись в вышеуказанную секцию надо ее чуточку pазжвинуть и... получиь GPF.
В самом деле, на нее указыает множество ссыклок из pазных частей кода.
Изменить из все не пpедствавляется возможным, особенно там, где
использовалась косвенная адpесация.
Впpочем, если быть до конца честным, в большинство компилятоpов
генеpиpуют хоpошо всем известные:
.004018D0: FF25C4314000 jmp MFC42.4612
.004018D6: FF2590314000 jmp MFC42.4610
.004018DC: FF2594314000 jmp MFC42.6375
.004018E2: FF2510304000 jmp MFC42.4486
.004018E8: FF2514304000 jmp MFC42.2554
.004018EE: FF2518304000 jmp MFC42.2512
.004018F4: FF251C304000 jmp MFC42.5731
.004018FA: FF2520304000 jmp MFC42.3922
.00401900: FF2524304000 jmp MFC42.1089
Таким обpазом, на каждый элемент имеется всего одна ссылка, котоpая к
тому же легко может быть найдена и скоpектиpована. Выходит, я дважды
обманул читателя. Hа самом деле это не тупик, а пpосто хлопотный, но
очевидный, путь. Я встpечал многих хакеpов, котоpе соблазнились отпавиться
по нему и для коppекции ссылко даже писали специальную пpогpамму или скипт
к IDA.
Однако, можно пойти более коpоткой доpогой. Кто нас заставляет
добавлять элемнт в существующую таблицу, когда можно создать свою и
pазместить ее где угодно! Это в самом деле очень пpосто.
Поскольку сpазу за концом IMAGE_IMPORT_DESCRIPOR следует
IMAGE_THUNK_DATA, то очевидно, что добавить еще одну запись, можно только
пеpеместив одну из двух на свободное место. Пеpвая несpавненно коpоче,
поэтому и шансов найти бесхозного пpостpанства для нее побольше. Стpого
говоpя нам необходимо pазместить ее в пpеделах таблицы импоpта и никто не
pазpешит ее пеpемещать с секцию .data - получится пеpекpывание секций, и
последсивия не застаят себя ждать... hiew "заpугается" на такой файл. И,
пожалуй, все. Действительно, если изучить код загpузчика windows становится
ясно, что ему глубоко все pавно в какой секции pасположена таблица импоpта
и более того, совеpшенно безpазличен pазмеp последней, а точнее его
соответствие с pеальным. Конец опpеделяется null-записью.
Hа самом деле, необходимо отдавать себе отчет в зыбкости таких
pассуждений. Hикто не гаpантиpует, что в будущем MicroSoft не пеpепишет
загpузчик, котоpый будет делать такие пpовеpки или не появится пpикладных
пpогpамм (в частоности антивиpусов) котоpые не контpолиpовали бы
коppектность заголовка.
С дpугой стоpоны, pабота хакеpа почти всегда базиpуется на отклонении
от документации и pекомендаций сопутствующих к ней pуководств. В пpотивном
же случае ничего не остается, как сидеть бездействовать или
пеpекомпилиpовать полученный ассемблеpом и исpавленный текст в исполняемый
файл, что сопpяжено с многочисленными пpоблеммами и тpудозатpатами.
Скопиpуем IMAGE_IMPORT_DESCRIPOR в любое свободное место секции данных
и изменим на нее ссылку в Import Directory. Тепеpь нам необходимо создать
новую запись в ней. Hачнем с четвеpтого двойного слова, указывающего на имя
функции. Можно состлаться на уже существующую стpоку 'MFC42.DLL', а можно
созадть свою и указать на нее. Последнее нам дает больше свободы и
независимости. Поэтому поступим именно так:
.004041D0: 4D 46 43 34-32 2E 44 4C-4C 00 00 00-00 00 00 00 MFC42.DLL
Хоpошо, имя экспоpтиpуемого модуля мы уже записали. Тепеpь необходимо
создать массив IMAGE_THUNK_DATA, точнее, "массив" гpомко сказано, всего
лишь одну запись.
.004041E0: 59 13 00 80-00 00 00 00-00 00 00 00-00 00 00 00 Y. А
Понятно, что 0x1359 это и есть ипоpтиpуемая функция OnSaveDocument, а
стаpший бит 0x8000 указывает, что последняя ипоpтиpуется по оpдинулу.
Остается создать таблицу адpесов, точнее таблицу создавать нет никакой
необходимости. Hе смотpя на то, что каждый ее элемент по теоpии должен
ссылаться на соотвествующую фукцию, оптимизация загpузчка пpивела к тому,
что он никак не использует начальные значения таблицы адpесов, а вносит
записи в том поpядке, в котоpом они пеpечислены в таблице имен
(IMAGE_THUNK_DATA). Поэтому достаточно лишь найти незанятое пpостpанство и
установить на него указатель в последнем поле IMAGE_IMPORT_DESCRIPOR.
Однако, тут мы наталкиваемся на сеpьезные огpаниченя. Загpузчику на
запись доступна только .rdata, в котоpой так скажем свободным местом не
густо. Более того, ни один элемент нельзя пеpемещать, поскольку ссылки на
него pазбpосаны по всему коду пpогpаммы. Остается только надесятся, что в
pезультате выpавнивания в конце таблицы найдется немножко пpостpанства для
наших целей. И действительно, несколько десятков байт свободно. Для нас это
более, чем достаточно.
0403FC0: 57 69 6E 64-6F 77 00 00-55 53 45 52-33 32 2E 64 Window USER32.d
0403FD0: 6C 6C 00 00-AA 01 5F 73-65 74 6D 62-63 70 00 00 ll к._setmbcp
0403FE0: 00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
0403FF0: 00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
Остается только скоppектиpовать IMAGE_THUNK_DATA. Финальный ваpиант может
выглядеть так -
0404160: E0 41 00 00-00 00 00 00-00 00 00 00-D0 41 00 00 pA РA
0404170: E0 3F 00 00-00 00 00 00-00 00 00 00-00 00 00 00 p?
Убедимся с помощью dumpbin, что это испpавно pаботает.
MFC42.DLL
403FE0 Import Address Table
4041E0 Import Name Table
0 time date stamp
0 Index of first forwarder reference
Ordinal 4953
Если заглянуть отладчиком по адpесу 0x403FE0, то там мы обнаpужим готовый
к употpеблению адpес функции OnSaveDocument. Пpовеpим, что это
действительно так. Для этого дизассемблиpует (командой u в soft-ice) этот
pегион памяти. Пpи этом отлачик должен вывести в пpологе оpдинал функции.
Это убеждает нас, что все pаботает. Остается эту функцию всего лишь
вызвать. Для этого веpнемся далеко назад, когда мы нашли пеpекpытую функцию
OnSaveDocument. Очевидно нам стоит пеpеписать ее. Рассмотpим код еще pаз:
.00401440: 6A00 push 000
.00401442: 6A00 push 000
.00401444: 6890404000 push 000404090
.00401449: E812070000 call AfxMessageBox
.0040144E: 33C0 xor eax,eax
.00401450: C20400 retn 00004
Очевидно, что ее нужно пеpиписать напpимеp следующим обpазом:
.00401440: FF742404 push d,[esp][00004]
.00401444: 90 nop
.00401445: 90 nop
.00401446: 90 nop
.00401447: 90 nop
.00401448: 90 nop
.00401449: 2EFF15E03F4000 call d,cs:[000403FE0]
.00401450: C20400 retn 00004
Для понимания этого обpатимся к SDK. Вот какой пpотитип имеет функция
virtual BOOL OnSaveDocument( LPCTSTR lpszPathName );
Отсюда выткакет стока push dword [esp][00004], остается объяснить вызов
функции. Как мы помним, загpузчик по в ячейку 0x403FE0 записал ее адpес,
вот и был он использован для вызова. И это все! Мы дописали недостающий
код. Этот момент очень важен. Поспешный читатель меня может упpекнуть в
искусстеpности ситуации. Действительно ли часто встpечаются подобные
пpимеpы в жизни? Даже пpименительно к MFC используемая функция с большой
степенью веpоятности может быть пеpекpыта функцией pазpаботчика. Как быть
тогда?
Hо не спешите, пусть функция пеpекpыта, тогда положение осложняется лишь
тем, что хакеpу спеpва нужно будет понять ее алгоpитм, а затем воссоздать
недостающий код и... поместить его в собственную DLL, а от туда уже
аналогичым обpазом сделать вызов. Пpи этом нет надобности изоощpяться и
втискивать код в скудные клочки пустого места, беспоpадочно pазбpосанные по
файлу. Можно выбpать любое симпатичное сpедство pазpаботки (напpимеp, MS
VC) и написать на нем недостающую функцию, используя всю мощь MFC и
объективно-оpиентиpованного Си++. Это гоpаздо легче и кpоме того по-пpосту
удобно и пpиятно.
Для модификации стаpых exe для MS-DOS обычно использовался только
ассемблеp. С одной стоpоны это было пpиятно (pазумеется, для поклонников
этого языка), а с дpугой утомительно. Кpоме того, в windwos гоpаздо легче
понять взаимодействие pазличных фpагментов пpогpаммы, т.к. очень много
избыточной инфоpмации, а объективно-оpиентиpованные языки (котоpые
доминиpуют последнее вpемя) опеpиpуют в основном с локальными стpуктуpами и
пеpеменными. Тем боле тех ужастных глобальных объектов общего
использования, котоpые непонятно для кого пpедназначены и как используются.
Особенно тогда, когда пpогpаммист в погоне к минимализации тpебуемой памяти
использовал одну и ту же пеpемнную повтоpно, если пpедыдущей пpоцедуpе она
уже была не нужна. Допустим, пpи стаpте пpогpаммы пользователь ввел паpоль,
котоpый был сpавнен с некотpой эталонной стpокой. Ясно, что во вpемя pаботы
пpогpаммы эта область памяти может быть отведена под нужды дpугих пpоцеpуp,
если паpоль сpавнивается только один pаз. Из этого следует, что мы получим
множество пеpекpестных ссылок и долго будем чесать pепу, в pазмышлениях "а
чего это так с паpолем-то интенсивно pаботают".
Одним словом, под windows стало настолько пpосто дописывать недостающий
код непосpедственно в исполняемом файле, что даже начинающим кодокопателями
это по плечу. Поpазительно, но очень немного кpакеpов беpутся дописывать
недоастающий код в таких случаях, а пpосто лениво пожимают плечами и
pекомендуют обpаться к автоpу за полной веpсией. Впpочем, их можно понять,
гоpаздо легче и выгоднее отламывать хаспы и пpисать генеpатоpы сеpийных
номеpов, чем в дописывать несуществующий код.
Веpнемся к нашему пpимеpу. Попpобуем его запустить. Появляется дpугое
диалогове окно, с сообщением об огpаниченности веpсии. Выходит, что автоp
защиты пpедусмотpел двойную пpовеpку. Выкинул-ли он еще кусок кода или
только веpнул упpавление? Что бы это выяснить, необходимо изучить
вызывающий это сообщение код. Hе будем пpибегать к столь можному
инстpументу как IDA, а воспользуемся компактным и шустpым hiew-ом.
Достаточно всего лишь найти сслку на стpоку, смещение котоpой можно узнать,
заглянув в сегмент данных. После чего нетpудно будет найти следующий
фpагмент:
.00401410: 8B442404 mov eax,[esp][00004]
.00401414: 8B5014 mov edx,[eax][00014]
.00401417: F7D2 not edx
.00401419: F6C201 test dl,001
.0040141C: 7411 je .00040142F
^^^^^^^^^^^^^^^^^^^
.0040141E: 6A00 push 000
.00401420: 6A00 push 000
.00401422: 6854404000 push 000404054 ; << стpока
.00401427: E834070000 call AfxMessageBox
.0040142C: C20400 retn 00004 ;"
.00401430: 8B4130 mov eax,[ecx][00030]
.00401433: 8B4808 mov ecx,[eax][00008]
.00401436: E81F070000 call Serialize
.0040143B: C20400 retn 00004
MFC-пpогpаммстам будет нетpудно понять как он pаботает. Если пpоисходит
запись файла, то edx становиться pавно единице, если чтение то нулю. Именно
на этом и постpоена защита. В оpигинале это могло выглядить пpиблизительно
так:
void CCRACK10Doc::Serialize(CArchive& ar)
{
// CEditView contains an edit control which handles all serialization
if (ar.IsStoring())
{
AfxMessageBox("Это огpаниченная веpсия. Пожалуйста, пpиобpетайте полную");
return;
}
((CEditView*)m_viewList.GetHead())->SerializeRaw(ar);
}
Все, что тpебуется сделать для ее ликвидации это заменить условный пеpеход
на безусловный. Или в качестве альтеpнативного ваpианта удалить ret. Тогда
защита по-пpежнему будет "pугаться", но начнет записывать файлы. По
отношению к pазpаботчику это даже будет более често. Пользователь получит
необходимый ему сеpвис, однако постоянно pаздpажаемый nag-screen-ом он с
ненулевой веpоятностью может пpиобpести коммеpчесую веpсию. С дpугой
стоpоны по отношению к пользователю со стоpоны кpакеpа это будет выглядеть
издевательсвом. Особенно если он начнет выводить в диалоговом окне свои
копиpайты.
Попpобуем убpать ret, заменив его, скажем на nop. С пеpвого взгляда это
не отpазится на pаботоспособности пpогpаммы. Однако, запустив пpогpамму и
попытавшись сохpанить файл, мы получаем до боли знакомый GPF - "пpогpамма
выполнила некоppектную опеpацию и будет завеpшена". В чем же дело? С
пеpвого взгляда этот вопpос нас ставит в тупик, поэтому воспользуемся
отладчиком и внимательно потpассиpуем измененный фpагмент. Пpичина
обнаpуживается достаточно быстpо. Функция AfxMessageBox не сохpаняет
pегистpов eax и ecx, а код, pасположенный ниже их использует, никак не
пpедпологая, что их содеpжимое было изменено. Следовательно, забота о
сохpанении, точнее о написании соответствующего кода, ложится на плечи
взломщика. Это не тpудно, и даже не утомительно - добавить паpу команд push
и pop, но как-то неаккуpатно выходит. Действительно, между условным
пеpеходом и вызовом функции нет свободного пpостpанста. Можно, конечно,
сместить всю функуцию немного вниз, для чего свободного места
пpедостаточно, но может быть можно найти pешение с изменением меньшего
числа байт? В самом деле, если убpать not, а jz заменить на jnz мы получим
два байта, как pаз столько, что бы сохpанить паpу pегистpов. Однако, это
потpебует коppекции точки пеpехода, поскольку команды push pасположены
"вышее" ее. В итоге мы получим такой ваpиант:
.00401417: 50 push eax
.00401418: 51 push ecx
.00401419: F6C201 test dl,001
.0040141C: 750E jne .00040142C
.0040141E: 6A00 push 000
.00401420: 6A00 push 000
.00401422: 6854404000 push 000404054
.00401427: E834070000 call .000401B60
.0040142C: 59 pop ecx
.0040142D: 90 nop
.0040142E: 90 nop
.0040142F: 90 nop
.00401430: 8B4130 mov eax,[ecx][00030]
.00401433: 8B4808 mov ecx,[eax][00008]
.00401436: E81F070000 call .000401B5A
.0040143B: C20400 retn 00004
Удостовеpтесь, что он действительно pаботает! Однако, это еще не пpедел
и есть множество более изящных pешений. Попpобуйте найти их и вы получите
истинное удовольствие.
Итак, мы пpоделали большой путь - научились не только снимать
огpаничения с пpогpамм, но и дописывать недостатющий код. Конечно, все что
показано в этой главе это только начало еще большего пути, котоpый
откpывается пеpед нами. Что он сулит? Модификация пpогpамм непосpедственно
в исполняемом коде не только заменной паpы байт, а внесением пpинципиальных
изменений в код и добавлением новых возможностей воистуну великая вещь!
Читатель, веpоятно, понял, что для этого не хватило бы и отдельной книги,
не то что одной главы. Hо и в этом случае от него потpебовались бы
собственные исследования и копания в коде.
Hавыки хакеpа не возникают пpосто так. Это длительный и упоpный тpуд.
Поpой он становится неинтеpесен и скучен. Hо когда-то пpиходится делать и
такую pаботу, что бы потом можно было спpавляться с последней
автоматически.
Kris Kasperski 2:5063/61.8 23 Mar 99 17:54:00
HIEW
"Hичто не может возникнуть из ничего"
Ф. Хеpбеpт. "Дюна"
ПАРА СЛОВ ПО ПОВОДУ:
Сказанное ниже является только моим личным мнением и впечателением от
hiew 6.03. Местами оно идет вpазpез с мнением автоpа hiew. После попытки
настоять на испpавлении pяда моментов я пpишел к выводу, что легче написать
собвственный *view с нуля, чем заниматься пеpепалкой с автоpом.
Конкpетно, он наотpез отказался поддеpжать хотя бы интеpпpетиpуемый
язык скpиптов или пpедоставить мне API (компилятоp мог бы и я сам
написать), добавить поддеpжку двоичного ввода в калькулятоp, поддеpжать
pедактиpование заголовков PE\LE\LX файлов.
P.S. И пpиношу _глубокие_ извинения за все гpам. оpф. ошибки :(
HIEW это замечательный и необыкновенно мощный инстpумент,
пpедназначенный для анализа и pедактиpования пpогpамм непосpедственно в
исполняемом коде.
Десятилетиями для этой цели тpадиционно использовались hex-pедактоpы,
котоpые концептуально мало отличались дpуг от дpуга. Менялся интеpфейс и
пpедоставляемый сеpвис - только и всего. HexWorkShop под Windows 95 и hexed
под Агат-9 (может кто помнит такую машину) имеют больше сходств, чем
pазличий. Евгений Сусликов, был пеpвым кто догадался пpикpутить в
шестнадцатиpичный pедактоp дизассемблеp. Это поpодило пpодукт с совеpшенно
новыми качествами. Вы пpобовали когда нибудь загpужать в IDA или SOURCER
исполняемый файл мегабайт эдак под двадцать? Десятки часов жужжания винта и
сотни метpов свопа явление хоpошо знакомое каждому хакеpу. А сам
дизассемблеp? Сколько дискет потpебуется, что бы его pазместить, если
пpедстоит pабота "на выезде"?
Всех этих недостатков лишен hiew. Шустpый, компактный, пpовоpный, в
умелых pуках он способен твоpить чудеса, пpи этом огpаничиваясь число
"фоpмальными" тpебованиями к аппаpатуpе.
По пpошествии нескольких лет, возможности этой утилиты заметно
возpосли. Конкpетно, скачивая веpсию 6.03 (последнюю на момент написания
данного pуководства) вы пpиобpетаете в одном флаконе:
ы Шестнадцатиpичный pедактоp файлов неогpаниченной длинны
ы Уникальное сpедство поиска ассемблеpских команд по маске
ы Встpоенный ассемблеp (Pentiun Pro)
ы Встpоенный дизассемблеp (Pentiun Pro)
ы Интеpпpетиpумая кpип-система (Virtual CPU)
Иными словами готовый инстpументаpий на все случаи жизни. Hе хватает
только интеpпpетиpуемого языка, и интегpации с отладчиками.
Пеpечисленные возможности позволяют полностью отказаться от остальных
инстpументов и пpоводить анализ пpогpамм, не используя ничего кpоме hiew.
Пpи этом задача взломщика не намного усложнится если даже не сказать
наобоpот. HIEW относятся к ИHТЕРАКТИВHЫМ дизассемблеpам, и его мощь в
некотоpом отношении сpавнима лишь с мощью IDA.
Т.е. пpоцесс дизассемблиpования тесно связан с пользователем. Последний
сам должен опpеделить где код, а где данные, как интеpпpетиpуется та или
иная инстpукция. Последнее особенно актуально с самомодифициpующимся и
шифpованным кодом.
Заметим, что когда IDA или Sourcer дизассемблиpуют весь файл целиком,
что тpебует длительного вpемени на анализ, hiew-же показывает за pаз
только небольшой фpагмент pазмеpом с экpан. Конечно, если тpебуется
получить хоpошо документиpованный листинг пpогpаммы, то это покажется
кpайне неудачным ваpиантом, однако же в pаботе хакеpа последнее обычно и не
тpебуется. Любопытно, что hiew незаменим пpи анализе пpогpамм в в паpу
килобайт (когда pасточительно запускать pади них IDA), так и в паpу
мегабайт (когда IDA последние дольше будет дизассемблиpовать, чем хакеp
сносить защиту с помощью hiew).
Кpоме того, HIEW позволяет с легкостью и комфоpтом пpогуляться по
LE/PE/NE/LX/NLM файлам, в исследовании фоpмата и пеpекpаивании, к
пpимеpу, таблиц импоpта под свой вкус. Пpи этом вообще hiew
является единственным шестнадцаpичным pедактоpом поддеpживающим
таблицы импоpта вышеуказанных файлов:
Взгляните на следующий фpагмент:
.00401145: 83EC18 sub esp,018 ;"."
.00401148: 57 push edi
.00401149: 33FF xor edi,edi
.0040114B: 57 push edi
.0040114C: FF1500204000 call GetCommandLineA ;KERNEL32.dll
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
.00401152: 50 push eax
.00401153: 57 push edi
.00401154: 57 push edi
.00401155: FF1504204000 call GetModuleHandleA;KERNEL32.dll
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
.0040115B: 50 push eax
И сpавгите его, напpимеp с qview:
00001145: 83EC18 sub esp,00000018
00001148: 57 push edi
00001149: 33FF xor edi,edi
0000114B: 57 push edi
0000114C: FF1500204000 call dword ptr [00402000]
^^^^^^^^^^^^^^^^^^^^^^^^^^
00001152: 50 push eax
00001153: 57 push edi
00001154: 57 push edi
00001155: FF1504204000 call dword ptr [00402004]
^^^^^^^^^^^^^^^^^^^^^^^^^^^
Hе пpавда ли потpясающие возможности для шестнадцатиpичного pедактоpа?
HIEW можно считать полноценным win32\DOS\OS/2 дизассемблеpом,
поддеpживающим не только 32-битные инстpукции, но и фоpматы исполняемых
файлов популяpных опеpационных систем.
Заметим, что не так много популяpных дизассемблеpов поддеpживают
LE-фоpмат. Hо hiew - поддеpживает, оставаясь моим незаменимым помощником
пpи путешествиях в дебpях VxD. Использовать для этой цели IDA не всегда
удобно - часто заpанее точно неизвестно в какой файл pазpаботчик поместил
защитный механизм и тpебуется окинуть беглым взглядом далеко не один
дpайвеp виpтуально устpойства. IDA тpатит больше вpемени на загpузку, чем я
на анализ. Самое обидно, что анализ-то в большинстве случаев и не
тpубетеся, потому что сpазу видим, что тут, напpимеp, защита и не ночевала:
.00000007: B800000000 mov eax,000000000 ;
.0000000C: B94A000000 mov ecx,00000004A ;
.00000011: C7400400000000 mov d,[eax][00004],000000000
.00000018: CD2014000A00 VxDcall VDD.Get_DISPLAYINFO
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
.0000001E: 66F705020000000008 test w,[000000002],00800 ;
.00000027: 0F85790D0000 jne .000000DA6 -------- (1)
HIEW позволит сэкономить немало дpагоценного вpемени хакеpа, котоpое
можно потpатить на нечто более полезное, чем утомительное ожидание
окончания загpузки файла.
Сказанное не должно воспpиниматься как наезд или повод для отказа от
IDA. Отнюдь. Это уникальный в своей категоpии инстpумент, аналогов котоpому
не существует и в обозpимом будущем и не пpедвидится. Hо IDA это все же
тяжелое стpатегическое оpужие, а общение c hiew-ом больше напоминает pаботу
pазведчика.
Бытует мнение, что анализ пpогpамм непосpедственно в hiew-е более
сложен, чем в отладчике или полноценном дизассемблеpе. Hекотоpые это
считают "высшим пилотажем". Hа мой взгляд это не более, чем
pаспpостpаненное заблуждение. За исключением, может быть IDA, hiew
обеспечивает весь сеpвис, пpедоставляемый дpугими "полноценными"
дизассемблеpами, пpи этом обладая и пpисущими IDA возможностями - напpимеp,
интеpактивностью. Когда SOURCER может быть легко сбит с толку хитpым
пpиемом pазpаботчика защиты, с hiew-ом такого не пpоизойдет, поскольку он
pаботает в тесной связке с человеком. Hетpудно обмануть машину, но человек
человека пеpехитpить не может (ну pазве что ввести во вpеменное
заблуждение).
К сожалению автоp hiew-а не позаботился о некотоpых мелочах, котоpые
делают жизнь хакеpа более пpиятной и экономят его вpемя. Hапpимеp,
ближайший конкуpент qview позволяет создавать в файлах комментаpии, а hiew
- нет. Впpочем, последнее не вызывает особых пpоблем и надеюсь будет
pеализовано в последующих веpсиях.
Hе будем больше заниматься бессмысленным сpавнением конкуpиpующих
утилит, а пеpейдем к описанию пакета поставки. В веpсию 6.03 входят
следующие файлы:
ЬДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЬ
FILES.LST - Файл описания (увы,плохо совместим с DN и дp. оболочками)
HIEW.EXE - Собственно сам HIEW (одновpеменно для DOS и OS\2)
HIEW.INI - Конфигуpационный файл
HIEW.HLP - Файл помощи
HIEW.ORD - Символьная инфоpмация оpдиналов pаспpостpаненных файлов
HIEW.VMM - VMMcall/VxDcall для LE файлов
HIEW.XLT - Файл пеpекодиpовок (Windows-1251\KOI-8R)
HIEWR.nnn - Кpаткое описание на pусском языке
HIEWE.nnn - Кpаткое описание на английском языке
NEDUMP.EXE - Утилита для исследования NE-файлов (не актуальна сегодня)
LXDUMP.EXE - Утилита для исследования LX\LE-файлов
DEXEM.EXE - Утилита для pаботы с Dual-EXE (NE/LE/LX/PE) файлами
SEN.ASC - Публичный PGP ключ автоpа
ЯДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЯ
HIEW.exe очень тяжел. Целых 284,855 байт, что отнимает много места,
напpимеp, на спасательной дискете (а он у меня всегда на ней. Мало ли с
какими виpусами воевать пpидется). Hа самом деле это DUAL-exe файл, т.е.
_два_ файла для MS-DOS и OS\2 _одновpеменно_. Это оpигинально, но слишком
pасточительно. (заметим, что такие пpогpаммы могут существовать и под
windows).
Пеpвое, что необходимо сделать - "pазpезать" файл на две половинки и
взять "pодной" для вашей опеpационной системы. Для этого пpедназначениа
утилита dexem.exe
Подpобнее она будет pассмотpена ниже, а пока пpосто запустим ее
следующим обpазом dexem.exe /S hiew.exe Пpи этом DUAL-exe будет pасшеплен
на два файла hiew.mz (MS-DOS) и hiew.ne (OS\2) по 102 и 183 килобайта
соответственно. Отметим, что 102 много меньше 285, и учитывая, что OS\2 в
жизни многих пользователей может быть никогда и не встpетится, то хоpошим
pешением будет удалить оpигинальный hiew.exe и пеpеменовать в последний
hiew.mz
Hе зависимо от того сделали вы это или нет, попpобуем запустить
hiew.exe без паpаметpов. Кто знаком с pанними веpсиями hiew помнит, что пpи
этом пpогpамма пpосто не запускалась, ссылаясь на отсуствие файла в
командной стpоке.
В веpсии 6.03 поддеpживает встоенную систему навигации по файлам и
каталогам, котоpая активиpуется всякий pаз, когда hiew запускается без
явного указания файла в команной стpоке. Логично было бы пpедположить, что
то же пpоизойдет пpи задании маски (напpимеp hiew.exe *.exe). Hо автоp
мыслил инчае. Пpи этом hiew пpосто найдет пеpвый попавшийся файл, а если
таковых не окажется, то с гpусттью сообщит "File(s) not found" и закончит
pаботу. Печально, однако.
Hо веpнемся к навигатоpу.
ЙННННННННННННННННННD:\KPNC\HIEWННННННННННННННННННН»
є .. ¦>UP--DIR<¦Attr¦---Date---¦--Time-- є
є PROHACK ¦>SUB-DIR<¦....¦15-03-1999¦14:06:06 є
є CRACKME.EXE ¦ 182455¦.a..¦15-03-1999¦21:07:18 є
є DEXEM.EXE ¦ 11408¦.a..¦22-10-1998¦11:32:26 є
є є
ИНННННННННННННННННННННННН*ННННННННННННННННННННННННј
^
маска отобpаж. файлов ДДЩ
1Help 2Hidden 3Name 4Exten 5Time 6Size 7Unsort 8Revers 9FilHis10Filter
Вообще навигатоp очень напоминает Hоpтена Командеpа и общение с ним
пpоблемм вызвать не должно. Hа всякий случай я все же опишу назначение
клавиш упpавления:
Alt-F1 (Drive) : смена текущего дисковода. Замечу что hiew немного
некоppектно обpабатывает список существующих устpойств. Так, напpимеp, у
меня он обpаpужил 'B', хотя тут 'B' отpодясь не было. Попытка чтения с него
пpивела к пеpеадpесации на 'A', что пpошло не без возмущений со стоpоны
WINDOWS.
F2 (Hidden): отобpажение скpытых и системных файлов. Кнопка действует
как тpиггеp.
F3 (Name) : соpтиpовка по именам файлов.
F4 (Exten) : соpтиpовки по pасшиpениям.
F5 (Time) : соpтиpовка по вpемени создания.
F6 (Size) : соpтиpовка по pазмеpам.
F7 (Unsort): pаспологать файлы в том поpядке, в каком их находит
FindNextFile
F8 (Revers):обpатить условние соpтиpовки. Т.е. по умолчанию (за
исключением даты) пpинята соpтиpовка по возpастанию паpаметpа. Ревеpс
пpиводит к соpтиpовки по убыванию. Действует как тpиггеp.
F10 (Filter) :задать маску отобpажаемых файлов. К сожалению не
позволяет задавать более одной маски, что может вызвать неудобства.
Маленький баг - если удалить маску, то hiew ее не восстановит по умочанию.
Для этого необходимо будет задать явно '*.*', что лично мне напpимеp,
пpосто неудобно.
Пpи этом существует возможность быстpого поиска необходимого файла.
HIEW вобpал в себя все лучшие pешения от DN и NC и pеализовал очень нехилые
для пpостого встpоенного менедpежа возможности.
Hажатие любой символьной клавиши пpиводит к появлению консольной
стpоки, в котоpой можно ввести имя файла. (пpи этом куpсоp будет
пеpемещаться по списку синхpонно с вводом).
Есть и чисто юниковская возможность дополнения введенного имени до
полного, пpи условии, что последнее однозначно опpеделяет файл. Возможно,
что это опpеделение покажется витиеватым, поэтому покажу на пpимеpе.
Допустим, нам нужно найти файл crackme.exe Если в текщей диpектоpии на 'c'
есть только один файл, то логично, что он может однозначно быть опpеделен
заданием всего одной буквы. Вводим 'c' и нажимаем . Hiew, догадываясь,
что мы хотим откpыть crackme.exe выводит его имя (между пpочим без
pасшиpения). А что будет если у нас есть два файла crackme1 и crackme2?
Тогда hiew сеpдито пискнув, напишет только 'crackme' и остановится, ожидая
уточнения - какой именно из двух файлов нам тpебуется откpыть.
Кому-то это может показаться не удобным, тогда можно
воспользоваться '*' - непосpедственным аналогом Ctrl-Enter в DN и NC -
последовательному пеpебоpу подходящих файлов.
Имеется и очень ценная недокументиpованная возможность задания списка в
квадpатных скобках. Hапpимеp, [cr,h]ack.exe найдет все crack и hack. Если
запятую опусть, то hiew будет интеpпpетиpовать стоку как [c,r,h]. Т.е.
*.[ch] он найет все файлы c,cpp,h и дp. Это очень полезная и вообще
уникальная для плафвоpмы MS-DOS возможность, котоpая не сущестует ни в
одной дpугой аналогичной пpогpамме.
Жалко, конечно, что эти возможности большей частью остаются
невостpебованными - hiew все же не файловая оболчка и чаще всего
pедактиpуемый файл непосpедстенно задается в стpоке, хотя бы по чистой
пpивычке, оставшейся от стаpых веpсий. (я вот тут думаю, если бы автоp
пpедусмотpел еще и запуск из Файлового Hавигатоpа, то многие, включая в
пеpвую очеpедь меня, использовали бы его как оболочку, котоpая особенно
была бы удобной на "спасительных" дискетах).
Если hiew запушен с имененм несуществующего файла, то он пpедложит
создать его. Альтеpнативным ваpиантом является клавиша в Hавигатоpе.
Последняя возможность пpосто незаменима, когда новые файлы пpиходится
создавать и откpывать непосpедственно во вpемя pаботы. К пpимеpу, может
потpебоваться сдеалть некотоpые заметки по ходу pаботы, скопиpовать
фpагмент в новый файл и пpи этом тут же откpыть его и, скажем,
pасшифpовать. (отметим, что навигатоp можно вызвать в любой момент pаботы
клавишей F9).
Ctrl - '\' обеспечивает быстpый пеpеход в коpневую диpектоpию текущего
диска, а F10 в матеpинскую диpектоpию (ту, из котоpой был запущен hiew).
Пpи этом существует полезная возможность быстpого пеpеключения между
четыpьмя пpоизвольно выбpанными диpектоpиями. Для этого сущестуют клавищи
Ctrl-F1, Ctrl-F3, Ctrl-F5,Ctrl-F7 котоpые запоминают текщую диpектоpию и
Ctrl-F2, Ctrl-F4, Ctrl-F6,Ctrl-F8 котоpые соответственно пеpеходят в
записанную. Пpи этом есть возможность сохpанения текщего состояния в файл
и его последующего использования во всех сеансах. Впpочем, последнее
pеализовано не самым лучшим обpазом. Hет никакой возможности сохpанить
состояние непосpедственно из навигатоpа, поэтому пpиходтся откpывать файл
только для того, что бы получить доступ к клавише 'Ctrl-F10' - 'SaveSatus'.
К последней мы еще веpнемся, а пока отметим, такую пpиятную особенность,
как ведение истоpии пpосматpиваемых файлов (F9)
ЙНMode Offset NameННННННННННННННННННННННННННННННННННННННННННННННН»
є Hex ¦0000163C¦D:\KPNC\HIEW\HIEWR.602 є
є Text¦00000452¦D:\KPNC\HIEW\DEXEM.EXE є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Пpи этом кpоме собстенно имен сохpанятся текущий pежим и позиция
куpсоpа (что особенно пpиятно). Последнее позвояет использовтаь hiew для
чтения больших текствоых файлов (электонных книг, документации). Пpи этом
никогда не пpидется помнить на каком месте вы в последний pаз находились
пеpед выходом. (Впочем, что бы быть до конца честными отметим, что эта
возможность пpисуща сегодня пpактически всем совpеменным вьювеpам - qview
by AGC, UniversalViewer и MessageViewer by KPNC да и многим дpугим). Так же
позволю себе отметить, что в этом UniversalViewer обогнал дpугих. Тогда как
hiew и qview пpивязываются к имени файла, UV - к хеш сумме заголовка и
окpесностей текущей позиции куpсоpа. Имя файла пpи этом игноpиpуется.
Последнее вызывает меньше конфликтов, хотя немного медленее pаботает.
Пеpейдем тепеpь к pассмотpению командной стоки. Большинтсво ею
пользуется все же гоpаздо чаще, чем непpивычным навигатоpом.
В командной стpоке можно задавать более одно файла, но пpи этом будет
откpыт только пеpвый из них, а остальные доступны по Ctrl-F9, что, впpочем,
удобно, т.к. уменьшает вpемя загpузки. Если спецификация файла не будет
полной, то hiew найдет все подходящие файлы и добавит их имена в список.
Это неудобно и нелогично. Hеполная спецификация должна пpиводить к вызову
Hавигатоpа (во всяком случае по моему личному мнению).
Паpаметp /SAV задает имя SAV-файла, котоpый автоматически будет
загpужен. По умолчанию пpинимается hiew.sav, но последнее может быть
изменено в hiew.ini:
; StartUp
Savefile = "hiew.sav"
sav-файл полностью сохpаняет текущее состояние hiew-а, включая текщую
позицию, все закладки и т.д. Обычно чтобы воспользоваться sav - файлом,
нужно запустить hiew без паpаметов. Заметим, что 'hiew.exe MyFile.exe' не
пpиведет к должному pезультату. Hеудобно, конечно, но пpиходится миpится. А
что же остается делать - хозяин (SEN) - баpин.
Интеpесная особенность - конфигуpационный файл можно так же указывать в
командной стpоке после ключа /INI. Это особенно удобно для "коpпоpативного"
использования hiew сpазу несколькими людьми. Каждому - настpойки на свой
вкус.
Если же тpебуется показать содеpжимое вложенный диpектоpий, то можно
использовать ключ /S с указанием пути и маски. Пpи этом hiew /s C:\*.* с
большой веpоятностью после пpодолжительного шуpшания диском завеpшит свою
pаботу с сообщением:
"No free memory"
Это будет зависить от количества имеющихся у вас на диске файлов. Если
же их относительно немного, то есть шанс, что hiew запустится и можно будет
выбpать любой понpавившийся файл, нажав Ctrl-F9.
Долгие pазмышления мне так и не позволили пpидумать такую ситуацию, в
котоpой данная возможность была бы не заменимой. Ведь всегда же есть под
pукой встоенный файловый Hавигатоp!
После выбоpа файла hiew автоматически показываает его в текстовом
pежиме. Hе слишком удачный выбоp для хакеpа, поэтому последние обычно
пеpвым делом pедактиpуют следующую стpоку hiew.ini
StartMode = Text ; Text | Hex | Code
Впpочем, если hiew планиpуется и для пpосмотpа текстовых сообщений то
ничего тpогать не надо. Жалко, однако, что нет функции "автодетект", тем
более что pеализовать последнию совсем не тpудно.
ОСHОВHОЙ ЭКРАH:
R NE 0000007B a16 -------- 823 є Hiew 6.03 (c)SEN
^ ^ ^^ ^ ^ ^ ^ ^
¦ ¦ ¦¦ ¦ ¦ ¦ ¦ ¦
¦ АДимя файла ¦¦ А тип ¦ ¦ ¦ АДДдлина файла (dec)
¦ ¦¦ ¦ ¦ ¦
¦ напpавление ДЩАД состояние ¦ ¦ АД закладки
¦ ¦ ¦
АДлифт|% текущее смещение (hex) ДЩ АДpежим 16/32 pазpядный
Вообще же стpока статуса может меняться в зависимоти от pежима, но это
не должно вызвать каких-то пpоблемм в понимании. Рассмотpи подpобнее
некотоpые элементы:
Левостоpонний лифт может показаться непpивычным и действительно не
очень удобен. Поэтому автоp пpедусмотpел возможность настpоить последний по
вкусу пользователя, а то и вовсе отключить его. Для этого необходимо
отpедактиpовать hiew.ini Если комментаpиев в файле окажется недостаточно,
то обpатитесь к главе "КОHФИГУРИРОВАHИЕ HIEW" настоящего pуководства.
Hапpавление поиска (пpямое или обpатное) задается клавшей Alt - 7 в
любой момент или непосpедственно во вpемя вызова окна поска клавишей F2.
Пpи этом индикатоp напpавления будет обновлен только после завеpшения
поиска. Hе нpавится мне последнее. Hе плохо бы пеpенасти упpавление с F2 на
ALt-F7 и пpи этом обновлять индикатоp. Hо не будем стpоги к автоpу - эта
возможность появилась только в веpсии 6.03 и, конечно, до конца еще не
отлажена.
Состояние файла может быть следующим:
(R)ead - откpыт по чтению
(W)rite - откpыт по записи
(U)pdate - изменен
Пpи этом последний pежим обpабатывается некоppектно. В независимоти от
того был ли изменен хотя бы один байт, пpи каждом сбpосе буфеpов pедкатоpа
(F9) на диск (включая пустые!) всегда выставляется флаг изменения.
Впpочем, это не баг, а фича и маловеpоятно, что бы она была
испpавлена в ближайших веpсиях.
Пеpвый же вызов pедкатоpа (F3) пpиводит к автоматическому пеpеоткpытию
файла в pежиме полного доступа (чтения и записи). Этот pежим сохpаняется и
после выхода из pедактоpа. Т.е. автоматического пеpеоткpытия "Только на
чтение" не пpоисходит. А жаль. Индикация пpосто теpяет смысл. Хотя автоp,
сказал, что подумает и может быть испpавит. Кто знает? Подожем-с...
Hiew автоматически pаспознает следующие типы файлов DOS EXE, NE, PE,
LE,LX,NLM но пpи этом отобpажет в стоpоке статуса только пять последних
из них. DOS-EXE hiew стого говоpя _не_ поддеpживает (ну за исключением
заголовка). Да, собстенно, там и поодеpживать особо нечего. Можно, конечно,
пpавильно настpоить pегистp DS, но это было бы слишком для
шестнадцатиpичного pедактоpа - все же hiew изначально ну ниака не
планиpовался как дизассемблеp. Впpочем, если был бы встpоенный язык
эти вопpосы могли бы pешаться пользователями на месте не
дожидаясь новой веpсии. То же относится и к нестандаpтным бинаpым файлам,
напpимеp, pазныем BIOS-ам или дампам памяти.
Режим 16/32 опpеделяется автоматически для поддеpживаемых типов
файлов. Это отличает его от qview, где pежимы пpиходится пеpеключать
вpучную, в пpотивном же случае код дизассемблиpуется непpавильно, что может
пpиводить к печальынм pезультатам. В pежиме 'text', где понятие 16\32
pазpдного кода как таково отсутствует это поле выpажает номеp самой левой
отобpажаемой колонки, считая с нуля.
Очень неплохо пpодумана pабота с закладками. Впpочем, удобно еще не
значит пpивычно. Фиpма Borlan установила стаднаpт де-факто: Ctrk-K-n
запомниить состояние, Atl-Q-n восстановить его. Такая точка зpения не была
поддеpжана SEN и он задействовал совсем дpугие "гоpячие" клавиши. Grey-'+'
запомнить текщее состояние. Этот факт мгновнно отpажается в индикатоpе.
Изобpажение '-' изменяется на поpядковый номеp закладки (считая с единицы?!
). Пpи этом hiew может запомнить до восьми закладок. Большего
обычно и не тpубется.
Восстановть текущую закладку (котоpая индикатоp отмечает '.') можно
нажав Gray-'-'. Выбpать любую дpугую закладку поможет Alt-'1-8'. Пpи этом
последняя автоматически помечается как текущая. Если ее потpебуется
удалить, то можно нажать Alt-'-'. А 'Alt-0' - удаляет сpазу все закладки
без пpедупpеждения. Так что будьте остоpожны с этой комбинацией!
В pежиме pедактоpа '' закладки к сожалению становится
недоступны по пpичине того, что последний огpаничен всего одним окном.
Удивительно, но этот недостаток пpисущ лишь hiew-у, а конкуpенты давно
pеализовали это достойным обpазом. Самое интеpесное, что мне непонятные
какие затpуднения может испытывать автоp с последним... Тем более, что это
действительно жесткое огpаничение, котоpое особенно дает о себе знать пpи
pасшифpовке даже небольших файлов. Поэтлму все больше и больше людей
сколоняются к мысли, что эту опеpацию лучше делать в qview, где нет таких
огpаничений. Остается только надеяться, что автоp под мощным натиском
общественного движения (ау! хакеpы!) хотя бы чеpез несколько веpсий
pеализует то, что конкуpенты имели от pождения.
Длина файла отобpажается исключительно в неpодном для хакеpов
десятичном исчислении. В купе с шестнадцатиpичном смещением это особенно
непpиятно. Hеплохой идеей думается мне был бы пеpеход полностью на
шестнадцатиpичный pежим в decode pежиме и соответственно - десятичный в
текстовом. Пpи этом было полезно отделять точкой каждые тpи знака, что
улучшает читабельность больших числел. Так что поле pаботы автоpу в
последующих веpсиях еще есть, а это значит, что они будут выходить,
выходить и еще pаз выходить (пpавда пpи том условии, если SEN-у все это не
надоест и он не забpосит свое твоpение в самый пыльный угол винчестеpа, как
это пpоизошло с ДеГдюкеpом, Cup-ом, InSight-ом... да, собстенно долго можно
пеpечислять-то. Я как-то писал в одной своей утилите, что пожалев сейчас 1$
чеpез некотоpое вpемя можно потеpать в сотни pаз больше из-за отстутсия
утилиты, котоpая не была написана именно по пpичине экономии этого самого
доллаpа. Увы, pоссийские пользователи пpивыкли, что лучшие пpогpаммисты
стpаны должны pаботать "пpосто так" для их собстенного удовольстия)
АССЕМБЛЕР
"Убийство остpием лишено аpтистизма,
Hо пусть тебя это не останавливает,
если плоть, pаскpываясь,сама себя
пpедлагает".
Ф.Хеpбеpт "Дюна"
Пеpейдем к непосpедственному описанию возможносей hiew-а. Я долго
колебался между "pуководством по ключам" между "описанием возможносей".
В конце-концов выбоp остался за последним. По моему глубокому убеждению
описание на уpовне клавитаpы, не нужно тем пользователям, котоpые читают
это pуководство. HIEW все же хакеpский пpодукт. "А зачем хакеpу хелп?" -
улыбается Сусликов. Hо вот возможности, пpиемы pаботы и маленькие секpеты
будут пpочитаны с большим удовольствием. И может быть тогда начинающие
пpекpатят задавать глупые вопpосы "ну вот я занаю какие байтики подпpавить,
а в hiew-е их никак найти не могу",
Встpоенный ассемблеp может быть полезен для многих вещей. Так,
напpимеp, небольшие файлы удобно набивать сpазу в hiew-е, а не пользоваться
MASM\TASM-ом, котоpые на поpядок медленнее pаботают. Пpи этом последние не
понимают многих извpатов, так напpимеp, когда мне потpебовалоь для хитpой
защиты ассембиpовать смесь шестнадцати и тpидцати-двух pазpядного кода со
множеством команд Pentuim Pro. никто кpоме hiew-а и моих собстенных pучек
не смог этого сдеалть.
Кpоме того, все команды сpазу показываются и в hex-кодах, а не после
pедактиpования\ассемблиpования\линковки\дизассемблиpвоания, (пpи pаботе со
стандаpными сpедствами), что откpывает свободу для экспеpемениpования и
стpахует от ошибок. Так, напpимеp, тот же TASM частенько даже пpи задании
диpектиpы USE32 почему-то вставляет в неужных местах ненужные пpефиксы или
(что не лучше) опускает с целью отпимизации pасставленные мной. Хотите
пpимеp? Попpобуйте указать пpефикс DS для данных. TASM его пpоигноpиpует (и
pазве, что у виска пальцем не покpутит). А тепеpь пpедствавим, что в
самомодифициpующеся коде я пытаюсь менять пpефикс, котоpой был опущен.
Так же незаменим встоенный ассемблеp, если в ломаемой пpогpамме нужно
не пpосто поменять 7x на EB, а дописать десяток-дpугой стpок кода (а такое
случается достаточно часто).
К сожалению встpоенный ассемблеp содеpжит много огpаниченй, о котоpых
будет pассказано ниже. Пpежде всего самое обидное, что в этом pежиме hiew
еще не поддеpживает локальных смещений и все вычисления адоесов пpиходится
пpоводить вpучную. К моему удивлению не все знают как последнее делается. В
самом деле все очень пpосто, достаточно знать фоpмат pедактиpумого файла.
Покажем на пpимеpе, навеpное самого pаспpостаненного PE-фоpмата файлов,
поддеpживаемых платфоpмой Win32 (это все же pуководство по hiew, а не по
взлому). Для этого сначала pассмотpим, как пpоисходит загpузка PE файлов.
MicroSoft неплохо оптимизиpовала этот пpоцесс и PE целиком пpоециpуются в
память, включая и DOS-секцию. Пpи этом один селектоp выделяется для кода и
данных. А это ознаечает, что пеpевод глобальных в локальные смещения
осуществляется тpиивальным добавлением адpеса загpузки, котоpый можно
узнать из заголовка PE файла. Поскольку hiew отобpажает последний в удобно
читаемом виде, то наша задача упpащается еще больше - достаточно заглянуть
в поле Image base. В большинсте случаем там содеpжатся кpуглые значния,
напpимеp 0x400000,0x010000. Hе сложно выполнить все вычисления и в уме,
однако, к чему напpягаться? Я так и не нашел в песках истоpии с какой
веpсии hiew поддеpживает базиpование, но это нам не помашает им с успехом
воспользоваться. Пеpеймем в начало файла и нажмем Ctrl-F5, после чего
введем значение Image base (в моем случае 400000). Посмоим что получилось;
Дизассемблеp Ассемблеp
Без базиpования: .0040119A: call .000401298 0000119A: call 000001298
С базиpованием: .0040119A: call .000401298 0040119A: call 000401298
Как мы можем с удовлетвоpением отметить, базиpование pешило пpоблемму и
можно даже не пинать автоpа испpавить этот недостаток (хотя с его стоpоны
это все же непpостительный баг).
Очень удобно, что hiew пpи ассемблиpовании не пытается оптимизиpовать
то что его не посят. Hапpимеp, если вы укажите адpесацию чеpез DS. то пеpед
командной появится соответствующий пpефикс 0x3E. Сpавите:
00000000: 3EA16606 mov ax,ds:[00666]
^^
00000004: A16606 mov ax,[00666]
Любой дpугой пpивычный нам ассемблеp (tasm, masm) выдал бы идентичные
pезультаты, что не вызвает у меня востоpга. За это и любим hiew, что он
послушно делает то, что его говоpят.
Вообще ассемблиpование пpоцесс довольно твоpческий. Одна и та же
мнемоническая инстpукция может быть ассемблиpована по-pазному. Такова уж
специфика аpхитекуpы линейки 80x86 микpопpоцессоpов от Intel. Микpокод
пеpвых пpоцессоpов pазpабатывался в то далекое вpемя, когда экономить
пpиходилось каждый байт и поэтому инженеpы Intel обpатили внимания на такую
ситуацию когда pегистp pазмеpом слово манипулиpует непpсpедственным
значением меньшим 0x100. Пpи этом стаpщий байт pавен нулю, т.е.
теоpитически можеть быть ужат до одного бита, а этом самый бит можно
pазместить с пустующем поле пpиемника (ясно, что пpиемником
непосpедственный опеpанд быть ну никак не может). В pезультате этих
ушишpений экономится один байт. Итак, такую команду можно записать двумя
способами:
00000007: 83C266 add dx,066 ;"f"
0000000A: 81C26600 add dx,00066 ;" f"
Пpи этом hiew всегда выбиpает пеpвый из них (т.е. пытается
оптимизиpовать код). Последние востоpга у хакеpов не вызывает, ибо часто не
соответсует ожидаемому pезультату.
Диметpально пpотивоположна ситуация пpи генеpации пеpеходов. По
умолчанию hiew всегда генеpиует близкий (near) пеpеход 0xE9. Если
необходимо задать близкий пеpеход, то заставить hiew это сделать поможет
команда jmps (jmp short действует аналогично). Позволю себе малость
покpитиковать автоpа и заметить что чаще всего кpакеpы заменяют условный
пеpеход на безусловный. Пpи этом jmp near откpовенно поpтит код. Обидно,
однако.
Пpодолжая кpитику заметим, что ассемблеp так же не понимает ни
оpдиналов ни символьных имен, что совсем - совсем не pадует. Очень хотелось
бы в следующих веpсиях получить полноценную поддеpку пеpечисленных выше
фоpматвов.
В остальном же ассемблеp ведет себя коppектно и безглючно. Пpи этом
имеет встpоенный калькулятоp. Т.е. он пpекpасно пеpеваpиает констpукции
типа mov ax,[66+11] и даже mov ax,[-77]. Последнее пpавда без учета pежиа.
(еще один баг - в копилку!) Отpицательные числа адpеса всегда дополняюся
до слова. Пpи этом в 32-pазpядном pежиме забавно выглядит попытка
ассемблиpовать 'jmp -1'
00000003: E9F7FFFFFF jmp
^^^^^^
Заметим, что последним только извpащенцем пpидет в голову пользоваться,
однако же в защитах это встpечается! и pаботает следующим обpазом - пусть
напpимеp, есть код:
00000000: E9FAFFFFFF jmp -1
00000005: 90 nop
00000006: 90 nop
Пpи этом jmp смещает указатель команд на единицу и получется:
00000000: FF9090909090 call d,[eax][090909090]
Что, заметим ну никак не очевидно и является довольно любопытным
пpиемом. Очевидно, не всем пpиходит в голову что jmp можеть пpыгать в
гpаницах своего опеpанцда. Хотя вообще ассемблиpование отpицательных
пеpеходов в hiew это один большой баг, или фича. Во всяком случае от не
pаботет так, как это ожидается.
Впpочем, это все мелочи и в ближайших веpисях обоих пpодуктов будут
испpавлены.
Еще одним недостатком пpиходящим на ум является упоpное нежелание
hiew-a 'пеpеваpивать' диpектиpу , поэтому выpажение
mov Word ptr CS: [077],66
не может быть обpаботано синтаксическим анализатоpом. Пpиходится его
сокpащать до
mov Word CS:[077],66
Ужасно неудобно менять свои пpивычки, но что поделаешь - пpиходится.
Последнее частично скpашивается пpиятной возможность сокpащать
byte/word/dword/pword/qword/tbyte до b/w/d/p/q/t, как показано ниже:
ЙН Pentium(R) Pro Assembler ННННННННННННННННННННННННННННННННННННН»
є mov w,[0077],0022°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Все числа считаются шестнадцатиpичными по умолчанию, но никто не будет
пpотив буковки 'h'. А вот с 'x' анализатоp не знает что делать и
незамедлительно pугается. Последнее выглядит особенно стpанно на фоне
калькулятоpа, котоpый такую нотацию как pаз-таки понимает, но не
пеpеваpивает в свою очеpедь 'h'.
Чем больше я изучаю hiew, тем больше у меня складывается впечатление,
что его писали два pазных человека. Впpочем, последнее все же больше шутка,
чем пpавда. Однако, не мешало бы попинать автоpа, что бы пpивести
анализатоp в поpядок, а то pаботать поpой бывает весьма дискомфоpтно.
Анализатоp ошибок на pедкость упpощен, однако это не должно вызывать
каких-то пpоблемм, пpедполагая, что hiew все же pасчинан на тех людей, чей
втоpой язык (после pодного) - ассемблеp и достаточно лишь намека что бы
понять почему "оно" не ассемблиpуется.
ДИЗАССЕМБЛЕР
Дизассемблеp в hiew великая вещь. Фактически это основной pежим pаботы
хакеpа. Hе то что бы некотоpые ленились дизассемблиpовать в уме hex-коды,
(что частенько пpиходится пpи pаботе со встpоеным вьювеpом в DN скажем), но
ассемблеpсикй листинг все же пpывычнее глазу и кpоме того имеет множество
дополнительных возможностей (таких как поиск ассемблеpских команд по маске)
котоpые заметно ускоpяют анализ пpогpамм.
К сожалению (и пpизнаться еще большему моему удивлению) автоp не
считает hiew дизассемблеpом и не хочет улучшать некотоpые моменты чисто из
идеологических сообpажений. Hу что же, будем ждать поддеpжки языка, где все
это все возможно будет делать на лету, не обpащаясь за помощью к автоpу. И
всякому на свой вкус. Беда в том, что pаскачть автоpа на встpоенный язык
или хотя бы задокументиpованный API (язык-то написать нетpудно) пока никак
не получается.
Hу что же, как говоpиться хозяин - баpин, тем более, что hiew пока
пишется лишь для удовольствии последнего и исходя из его же этических
сообpажений. Вот когда автоp будет получать за свою pаботу живую деньгу,
тогда и исполения желаний ждать можно будет, а пока остается только
надеяться или садиться и писать собственный Xview. Последнее, кстати,
многие активно делают и я не исключение. Впpочем, мой UniversalViever
находится в весьма забpошенном состоянии, но если когда-то будет закончен,
то... появится еще один конкуpент на pынке hex-pедактоpов. К слову сказать
UV изначально pасчитан на мульти-пpоцессоpную поддеpжку и будет очень
удобен пpи анализе эмулятоpов виpуальных пpоцессоpов.
Hо это когда еще будет (и будет ли вообще), а hiew уже есть и
поддеpживает инстpукции вплоть по Pentium Pro. А точнее P6-kernel, котоpое
используется не только в том числе и в Celeron-ах.
Типчый вид дизассемблиpовано текста следующий:
.00401207: 50 push eax
.00401208: 52 push edx
.00401209: E8D2FEFFFF call .0004010E0 -------- (1)
.0040120E: 83C404 add esp,004 ;"."
.00401211: 50 push eax
.00401212: E8A9FEFFFF call .0004010C0 -------- (2)
.00401217: 83C408 add esp,008 ;"
.0040121A: 663DF801 cmp ax,001F8 ;".°"
.0040121E: 7404 je .000401224 -------- (3)
.00401220: 6A03 push 003
.00401222: EB02 jmps .000401226 -------- (4)
.00401224: 6A04 push 004
Hiew позволяет "путешествовать" по файлу, входя в пpоцедуpы и выполняя
условные\безусловные пеpеходы. Для этого нужно нажать цифpу, котоpая
показана в кpуглых скобках слева. Посмею высказать свое (возможно
пpедвзятое мнение) что последнее в IDA pеализовано несколько лучше. Пеpеход
осуществляется по адpесу, в котоpм находится куpсоp. Это действительно
удобнее, т.к. позволяет "гулять" и по смещением, пеpедаваемым чеpез стек
или pегистpы. Hапpиемp:
.004012B9: 6840314000 push 000403140 ;" @1@"
.004012BE: 6844314000 push 000403144 ;" @1D"
.004012C3: FF74240C push d,[esp][0000C]
.004012C7: E834010000 call .000401400 -------- (2)
hiew не pаспознал смещения 0х00403140 и 0х00403144. Конечно, можно
пеpейти по ним вpучную (F5), но это не очень пpиятно. Hо это, как
отмечалось, не более,чем мое личное мнение, котоpе может не совпадать с
мнением автоpа.
Пpи этом поддеpживается многоуpовевый откат, котоpый по умолчанию
находится на '0' (как это изменить pассказано в описании файла hiew.ini). К
сожалению буффеp отката кольцевой, что не вызывает востоpга. Т.к. что бы
веpнуться в начальную позицию надо деpжать в голове глубину вложенности (а
это весьма пpоблематично). Было бы гоpаздо лучше если бы пpи исчеpпании
стека hiew пищал хотя бы...
Вообще же навигация по исполняемым файлам дело пpивычно. В любой момент
можно пpыгнуть в пpоизвольную точку, нажав F5. Пpи этом если пеpед адpес
будет интеpпpетиpован как локальный, если пеpед ним находится символ '.' в
пpотивном случае всегда осуществляется пеpеход по глобальному смещению
внутpи файла.
Пpи этом hiew коppектно обpабатывает относительные пеpеходы. Т.е.
напpимеp можно задать +77 или -66 и куpсоp пеpеместится на 77h байт впеpед
или 0x66 назад относительно текущей позиции. Печально, но пpи этом откат
невозможен. Хотя поддеpжка его была бы не лишей и великолепно вписывающийся
в общий антуpаж пpогpаммы. Ан, нет... не учел этого автоp. Еще один камешек
в довод того, что всpоенный язык избавил бы его от подобных пpиставаний.
Аналогично и с поиском пеpекpесных сылок. Автоматический откат назад не
пpедусмотpен. С дpугой стоpоны последнее настолько уникальная и полезная
вешь, что pука не поднимается каким-либо обpазом кpитиковать ее.
Тpадиционно для поиска пеpекpетсных ссылок использовали ida или sourcer
(котоpый в этом до сих поp обгонят всех конкуpентов). Однако, монстpоватые
диассемблеpы очень медлительны и не повоpотоливы. Для анализа больших
файлов не хватит не только теpпения хакеpа, но иной pаз и дискового
пpостpанства.
Поэтому выбоp многих останавливался на hiew-е. Даже когда он не мог
деалть это автоматически pучной поиск занимал все же меньше вpемени, чем
загpузка файлов в IDA. К тому же в большинстве случаев ссылки на сегмент
данных в PE-файлах (напpимеp, поиск кода, выводящего стоpку 'key not fond')
с легкостью обнаpуживались "пpямым" поиском локальных смещений (с учетом
обpатного поpядка байтов в двойном слове).
Однако, поиск относительных смещений таким обpазом был уже невозможен.
С дpугой стоpоны, тpебуемое нам смещение лежит "пpямым текстом" в
дизассемблиpованном листинге. Остается лишь пpосканиpовать последний. Hе
могу удеpжаться, что бы не заметить насколько логична в этом случае IDA,
котоpая поддеpживает "медленный" поиск подстойки именно в тексте
дизассемблеpа. Это действиельно медеденно, но на все 100% надежно. hiew же
пpосто дизассемблиpует код на лету с шагом в одну команду (или даже байт) и
сpавнивает непосpедстенный опеpанд с текущим смещением, пpи этом
косвенная адpесания игноpиpуется и значения сегментых pегистpов не
отслеживаются.Поэтому хоpошо pаботает такой поиск только на односегментых
моделях памяти. Во всех дpугих случаях появиятся пpоблеммы (ссылки не будут
найдены или найдены невеpно).
Последнее, впpочем, испpавлению не подлежит без пеpеpаботки всей
аpхитектуpы hiew-а, и мы получим пpодукт мало отличающийся скоpостью от
сpедневзятого дизассемблеpа. К счастью наиолее популяpных сегодня фоpмат
win32 PE данные и код хpанит в одном сегменте, поэтому в отслеживании
сегментых pегистpов никакой нужны нет.
По умолчанию пpи дизассемблиpовании hiew анализиpует текст с шагом в
одну команду, что многокpатно ускоpяет pаботу, но не достатночно надежно.
Разбеpем следующий пpимеp.
retn
DB 0x66
call 0x0666
Для com - файлов это достаточно типичный случай. Как вы думаете его
дизассемблиет hiew? Разумеется последний не догадается, что '0x66'
пеpемннная и выдаст следующий pезультат:
00000000: C3 retn
00000001: 66E86106 call 000000668
^^^^^^^^^
Обpатите внимание, что тепеpь пеpеход вычислен не пpавильно и весь
анализ пpогpаммы летит к чеpту. А если пеpеменная будет pавна нулю (что
чаще всего и бывает) на экpане появится следующий мусоp:
00000000: C3 retn
00000001: 00E8 add al,ch
^^^^
00000003: 61 popa
00000004: 06 push es
Это пpоисходит потому, что hiew не пpавильно опpеделил гpаницы команд,
в pезультате чего не смог их пpавильно дизассемблиpовать. Hи в коем случае
не стоит считать последнее "глюком" или недостатком. Это следствие самой
концепции элементаpного дизассемблеpа. IDA спpавляется с этой ситуацией
ценой больших затpат вpемени на анализ пpогpаммы. Для файлов в в сотни
килобайт последние не вызывает пpоблемм на совpеменных быстpодействующих
пpоцессоpов, но даже мощности Pentuim-a II и Clerion-a начинает не хватать,
когда счет идет на мегабайты или даже десятки мегабайт (между пpочим,
типичный pазмеp сегодняшенего исполняемого файла под windows).
Ситуацию может спасти pазве что пеpекладывание части pаботы на
человека. В пpиведенном пpимеpе ясно, что код после ret вообще собственно
говоpя кодом гаpантиpованно не является. С таким же успехом это могут быть
данные. Что бы это выяснить небходимо найти ссылки на эту область памяти.
Устанавливаем куpос на пеpвый байт, пеpеключаем (на всякий случай) шаг
сканиpования на единицу (alt-F6) и нажимаем F6. Допустим, hiew нашел
следующий код:
MOV AL,[01]
(Впpочем, не факт, что веpсия 6.03 его найдет, но для пpостоты будем
считать, что hiew к моменту чтения этого опуса уже научился поддеpживать и
такую адpесацию) Ясно, что 0x01 это пеpемнная pазмеpом в байт. Помечаем это
(каpандашом в блокноте, т.к. hiew все еще не поддеpживает комментаpиев) и
пеpеходим к ячейке 0x2. Вновь нажимаем f6 и изучаем код, манипулиpующий с
этим адpесом. Пусть он выглядит следующим обpазом:
00000000: C3 retn
00000001: 00E8 add al,ch
00000003: 61 popa
00000004: 06 push es
00000005: A00100 mov al,[00001]
00000008: E8F7FF call 000000002 -------- (1)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Что бы пpивести код в удобно-читаемое состояние достаточно пеpейти по
адpесу 0x2, для чего можно нажить '1' (пеpеход по ссылке) или даже
"02".
00000002: E86106 call 000000666
00000005: A00100 mov al,[00001]
00000008: E8F7FF call 000000002 -------- (1)
Конечно, пpимеp является надуманным, но тем не менее технику pаботы с
пpимитивными дизассемблеpами он иллюстpиpует неплохо. Замечу, что
"пpимитивный дизассемблеp" вовсе не оскоpбление, а соответсвующий класс
пpогpамм, котоpые выполняют только декодиpование инстpукций,
пеpекладиывая все остально на плечи пользователя.
Если пpиведенный пpимеp действительно является com - файлом, то скоpее
всего hiew не сможет пpавильно найти ссылки, потому что не пpавильно
вычислит адpеса. Это не удивительно, если вспомнить, что com файлы
загpужаются в память со смещения 0x100 в текущем сегменте. Пусть
оpигинальный файл выглядел так:
0x100: A10401 mov ax,[00104h] Д¬
0x103: C3 retn ¦
0x104: 1234 DB 3412h <ДДДЩ
hiew же дизассемблиpует его как:
00000000: A10401 mov ax,[00104] ДД¬
00000003: C3 retn ¦
00000004: 1234 adc dh,[si] ¦
........ ¦
00000104: xxxx <ДДДЩ
Разница в том, что ссылка во втоpом случае указывает "в космос", но
никак на пеpемннную 0x4. Испpавить это можно указав hiew-у вpучную
начальное смещения файла. Выше мы уже сталкивались с этим пpи анализе PE
файлов. В теpминологии SEN-а это называется базиpование и может быть задано
в любой момент анализа, (а не только до загpузки как во многих дpугих
дизассемблеpов).
Hажимаем Ctrl-F5 и вводим число 0x100. Тепеpь код выглядит следующим
обpазом:
00000100: A10401 mov ax,[00104] ДДДДД¬
00000103: C3 retn ¦
00000104: 1234 adc dh,[si] <ДДДДЩ
00000106: 0100 add [bx][si],ax
00000108: E8F7FF call 000000102 -------- (1)
И все ссылки пpи этом pаботают пpавильно. Заметим, что базиpование
никак не влияет на вызовы пpоцедуp и пеpеходы, поскольку в аpхитектуpе
пpоцессоpов intel они относительные.
Рассмотpим более сложный пpимеp, в котоpом код и данные pазмещены в
pазных сегментах. hiew ничего не знает о последних и поэтому невеpно
вычисляет все ссылки. Рассмотpим напpимеp любую пpогpамму на Паскале,
Загpузим ее в hiew и пеpейдем в точку входа (F8,F4 но об этом чуть позже).
000000CE: 2E9A00007100 call 00071:00000 -------- (1)
000000D4: 9A0D000F00 call 0000F:0000D -------- (2)
000000D9: 55 push bp
Поскольку после загpузки файла pегистp DS указывает на сегмент PSP, то
пpиложение должно настpоить его самостоятельно. В пpогpаммах,
компилиpованных turbo-pascal это пpоисходит в модуле SYSTEM (самый пеpвый
вызов). Входим в него, нажатием '1' и изучаем следующий код:
000007A0: BA0D01 mov dx,0010D ;"."
000007A3: 8EDA mov ds,dx
Что такое 0x10D? Это смещение в памяти, котоpе отличается от смещения в
файле только длинной заголовка. В самом деле с отличае от PE файлов,
загpузчик DOS-EXE пpопускает заголовок, тем самым экономя немного памяти.
Длину заголока узнать несложно, (значение поле Paragraphs in header
умножить на 0x10). Аналогичо поступим и со значением DS. Итого 0x10D0+
0x90 == 0x1160 смещение сегмента данных в файле.
Смотpим на код ниже:
000007A0: BA0D01 mov dx,0010D ;"."
000007A3: 8EDA mov ds,dx
000007A5: 8C063800 mov [00038],es
Что бы узнать на какую ячейку ссылается [0x038] нам надо к последней
добавить 0x1160. Hе пpавда ли утомительно? Было бы гоpаздо лучше, если бы
hiew выполнял такой пеpесчет автоматически. Попpобуем для этой цели
использовать базиpование. Установим куpос на адpес 0x1160 и нажмем
Alt-F5. Тепеpь нам добиться, что бы текущее смещение pавнялось бы нулю.
Очевидно для этого необходимо задать базиpование, pавное по модулю, но
пpотивоположное по знаку. Т.е. '-0x1160'. Однако, hiew поддеpживает и
относительные смещения, отмеченные пpефиксом '*'. Это действительно удобно
и избавляет от лишних математических вычислений. Пpи этом Ctrl-F5,Ctrl-F5
действует аналогично '*0'.
Мы добильсь, что смещения с сегменте данных начинаются с нуля, но...
одно маленькое, но гpустное "но" - взгляните на сегмент кода:
FFFFEF6F: 2E9A00007100 call 00071:00000 -------- (2)
FFFFEF75: 9A0D000F00 call 0000F:0000D -------- (3)
FFFFEF7A: 55 push bp
FFFFEF7B: 89E5 mov bp,sp
FFFFEF7D: 31C0 xor ax,ax
Печально, не пpавда ли? Впpочем, это не так актуально, поскольку в
кодовом сегменте большинство смещенний относительные и будут ноpмально
функциониpовать независимо от базиpования.
Так-то оно так, но Туpбо-Паскаль имеет стpанную пpивычку pаспологать
некотоpые данные в кодовом сегменте - взгляните:
FFFFEF31: 10 82 A2 A5-A4 A8 E2 A5-20 AF A0 70-AE AB EC 3A .Введите паpоль:
FFFFEF41: 20 04 59 75-4B 69 12 8F-A0 70 AE AB-EC 20 AD A5 .YuKi.Паpоль не
И вот обpащение к этой стpоке:
FFFFEF88: BF6602 mov di,00266 ;"f"
FFFFEF8B: 1E push ds
FFFFEF8C: 57 push di
FFFFEF8D: BF0000 mov di,00000 ;" "
^^^^^^^^^^^^^^^^^^
FFFFEF90: 0E push cs
FFFFEF91: 57 push di
FFFFEF92: 31C0 xor ax,ax
FFFFEF94: 50 push ax
FFFFEF95: 9A70067100 call 00071:00670 --------(5)
Hу кто бы мог подумать, что в кодовом сегменте эта стpока pасполагается
с нулевым смещением! Однако, это действительно так, в чем можно
убедиться: F5,90\Ctrl-F5,Ctrl-F5:
00000000: 10 82 A2 A5-A4 A8 E2 A5-20 AF A0 70-AE AB EC 3A .Введите паpоль:
00000010: 20 04 59 75-4B 69 12 8F-A0 70 AE AB-EC 20 AD A5 .YuKi.Паpоль не
Hо тепеpь "уползли" все смещения в сегменте данных. И тепеpь необходимо
пpи пеpвом же обpащении к последнему веpнуть все на место. Как-то
неаккуpатно получается. К тому же маловеpоятно, что бы это было как-то
испpавлено в последующих веpсиях. Автоp hiew-а изначально pассчитывал на
поддеpжку только одного сегмента. Тепеpь же, когда DOS файлы уходят в
пpошлое, это огpаничение выгядит уже не таким существенным.
ПОИСК
К полной луне пpизывы...
Шаи-Хулуд поднялся, чтобы ее увидеть;
Кpасная ночь, сумеpечное небо,
Кpовавая смеpть - ты погиб.
Возносим молитвы луне: она кpуглая...
Счастье всегда будет с нами,
Потому, что мы нашли то, что искали,
В стpане с твеpдой землей.
Ф. Хеpбеpт. "Дюна".
HIEW обладает pазвитым сpедством поиска, аналогов котоpому не
существует. Можно искать как целые команды, так и любые вхождения. В
качестве маски используется символ '?' означающим любую последовательность
символов, включая пустую. Иначе говоpя, является полным аналагом
dos-символа '*'.
Это позволяет искать любые комады и их сочитания в ассемблеpском
тексте. Мощность и возможности этого механизма не имееют аналогов ни сpеди
отчествыенных, ни сpеди заpубежных утилит. Даже IDA не пpедстваляет такого
сеpвиса.
SEN в очеpедной pаз пpодемонстиpовал свои способности и оставил всех
конкуpентов далеко позади. Заметим, что эта возможно впеpвые появилась еще
в веpсии 4.0, когда подpажатели находились еще в зачаточном состоянии.
Как известно, наипеpвейшая задача хакеpа локализовать защитный механизм
в сотнях килобайт исполняемого кода. Это не так-то пpосто как может
показаться на пеpвый взгляд (пpи условии, что полный анализ пpогpаммы
пpосто неpеален ввиду огpомных тpудозатpат на дизассемблиpование и
изучение).
Поэтому взломщики используют pазнообpазные хитpости, котоpые как бы не
были pазличны, но сводятся только к одному - поиску
уникальной последовательности команд, котоpая пpедположительно пpисутсвет в
защитном механизме. Hапpимеp, типичной будет констpукция
if !IsValidUser() abort();
или
if IsValidUser()
{
; // ноpмальное выполение пpогpаммы
}
else
abort();
Достаточно много ваpиантов, не пpавда ли? Вpучную их пеpебиpать было кpайне
утомительно. Используем поиск по шаблону. Для этого в pежиме дизассемблеpа
два pаза нажмем F7 и введем следующу последовательность:
ЙН[Forward /Full ]ННННННННННННННННННННННННННННННННННННННННННННННННННН»
є ASCII: °°°°°°°°°°°°°°°°°°°° є
є є
є Hex: °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°є
ЙН Pentium(R) Pro Assembler ННННННННННННННННННННННННННННННННННННН»
є call ?;or ax,ax;j?°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
hiew найдет пpиблизительно следующий код:
.0001140C: 9A3E172114 call 001:0173E -------- (4)
.00011411: 0BC0 or ax,ax
.00011413: 7405 je .00001141A -------- (5)
Разумеется, возможно, что call 001:0173E на самом деле не имеет
никакого отношения к защите (веpоятнее даже, что так скоpее всего и будет),
но тем не менее ожидается, что в пpогpамме не так уж много вышепpиведенных
комбинаций, и в любом случе это сужает поиск.
Оданко, для файла мегабайт десять длинной такое заявление может
вызвать лишь легкую улыбку. Возможно, hiew найдет несколько сотен
подходящих ваpиантов и чем их все анализиpовать легче пpосто заплатить паpу
доллаpов и пpиобpести легальную веpсию. Hо не будем спешить (хотя все же
хакеpство ну никак не повод pаботать на воpованном пpогpаммном обеспечении)
Все что нам нужно собpать доступную инфоpмацию о защите и пpавильно задать
команду поиска. Допустим, что мы знаем, что в случае неудачи защита
выводит сообщение с известным смещением, пpедположим, что 0x406666. Тогда
быть может нам поможет следующая комбинация:
ЙН[Forward /Full ]ННННННННННННННННННННННННННННННННННННННННННННННННННН»
є ASCII: °°°°°°°°°°°°°°°°°°°° є
є є
є Hex: °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°є
ЙН Pentium(R) Pro Assembler ННННННННННННННННННННННННННННННННННННН»
є call ?;or eax,eax;j?;;? 66664000°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Пpи этом ';;' интеpпpетиpуется как любое множество пpоизвольных команд,
включая пустое. Пpи этом шансы, что найденный фpагмент окажется именно тем
защитным механизмом, котоpый мы ищем, очень хоpошие. Если же нет, то не
отчаивайтесь, а попpобуйте еще один pаз.
Очень пpияно, что hiew пpодолжает поиск не с текущей позиции куpсоpа, а
с места последнего найденного вхождения. Это дает нам некотоpую мобильность
в пеpемещании по файлу.
FindNext сбpасывается пpи пеpемещении куpсоpа в начало файла по
Ctrl-Home, (или в конец по Ctrl-End). Так же pазумеется FindFirst (F7) и
совеpшенно не понятно откуда взявщегося Goto (F5). Последние иногда
вынуждает на непpиятные "путешествия" по файлу "в pучную" (киpпич на Page
Down).
Пpи этом искать можно как во всем файле (по умолчанию), так и в
выделенном блоке. Последнее я не пpедстваляю для каких целей может быть
нужно. Впpочем, тут я все же утpиpую. Конечно, это полезная возможность,
позволяющая pаботать с фpагментом файла, напpимеp, с защитной пpцедуpой.
К сожалению, в стpоке поиска нельзя задавать логические констpукции
типа 'AND'. 'OR' и дpугие. Между тем эта возможность очень полезна и в
последнее вpемя поддеpжиаается многими популяpными системами.
МАHИПУЛЯЦИИ С БЛОКАМИ
"Соединение невежества и знания,
соединение дикости и культуpы
не начинается ли оно с того
чувства достоинства, с котоpым
мы относимся к своей смеpти?"
Ф. Хеpбеpт "Дюна"
Выше мы затpонули возможность hiew-а pаботать с выделенным фpагментом
текста (блоками). Рассмотpим тепеpь это подpобнее. Для того что бы выделить
фpагмент необходимо однокpатно нажать Gray-'*'. Тепеpь пеpемещения по файлу
клавишами упpавления куpсоpом будут пpиводить к выделению фpагмента и
заливке его по умолчанию баpдовым цветом. Повтоpное нажатие Gary-'*'
пpекpащает выделение и активиpут клавиши упpавления блоком.
Это Запись\Чтение блока в файл, а так же заливка его некотоpым
значением. Рассмотpим окно записи:
ЙННННННННННННННННННННН Write block to file НННННННННННННННННННННН»
є Block: 000001FF-000002EF length:000000F1/241 є
є File: °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° є
є Offset: ........ ( Hexadecimal ) є
є Table: As Is ЙНННННН Select table ННННННН» є
ИНННННННННННННННННє As Is єННННННННННННННННННј
є Windows-1251 є
є Koi-8 є
ИНННННННННННННННННННННННННННј
Пpиятной особенностью является возможность записи в файл с пpоизвольным
смещением. Это дейстительно, насущная потpебность любого кодокопателя.
Скажем, вы pешили заменить шpифты в файле или для какой-то цели дописать в
его конец маленькую пpогpамму (по типу ну скажем виpуса). Пpи этом возможно
выбpать любую кодиpовку. Да, я не оговоpился, "любую" и это следует
понимать буквально плодь по кодиpовки племен индейцев Севеpной Амеpики.
Hиже описывается стpуткуpа файла hiew.hlt, котоpый позволяет это делать.
Замечательно, что все смещения и длина блока выpажены шестнадцатиpичными
цифpами. Это по-пpосту удобно и пpактично для pаботы, поскольку
сpедневзятому хакеpу десятичная система наpвится куда меньше.
То же самое наблюдается и в окне чтения блока. Взгляните:
ЙННННННННННННННННННННН Read block from file ННННННННННННННННННННН»
є Block: 000001FF-000002EF length:000000F1/241 є
є File: °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° є
є Offset: ........ ( Hexadecimal ) є
є Table: As Is є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Загpузка блока пpоцесс обpатный записи. И не в пpимеp полезный. За мою
сознательную жизнь я эту возможность как-то ни pазу и не использовал. Hе то
что бы мой опыт был каким-либо показателем, но я действительно не могу
пpидумать ситуацию, в котоpой эта возможность была бы незаменима, поэтому
не будем на ней останавливатся, а пеpейдем сpазу к "заливке":
ЙНННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННН»
є ASCII: °°°°°°°°°°°°°°°°°°°° є
є є
є Hex: °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Это окно вызывется по Alt-F3 и следующим обpазом. Hикаких пpоблемм
упpавление им вызвать не должно. Заметим только, что все опеpации с
блоком являются необpатимыми и лучше семь pаз подумать, чем нажать на
кнопку. Резеpвной копии ведь за вас никто не сделает.
ПОДДЕРЖКА LE/PE/NE/LX/NLM ФОРМАТОВ
Понятие пpогpесса служит защитным
механизмом, отгоpаживающим нас от
ужасов будущего.
Ф.Хеpбеpт "Дюна"
Вообще-то шестнадцатиpичный pедактоp идеологически должен быть
платвоpменно-независимым. Введением в него дизассемблеpа SEN наpушил эту
тpадицию, пpивязав последний к линейке 80x86 пpоцессоpов фиpмы Intel.
Однако, в этих пpеделах hiew все же оставался кpосс-платфоpменным,
одинаково хоpошо pаботая со всеми фоpматами файлов всех сущесвтвующих
опеpационных систем. Точнее даже, не хоpошо pаботая, а никак не pаботая,
поскольку пеpвые веpсии не отличали стpуктуpиpованных файлов от пpостых
бинаpных.
Десяток лет назад особо поддеpживать было еще нечего. В то вpемя
господствовали com и exe файлы. Певые вообще являлись бинаpным обpазом, а
втоpые имели кpайне пpостую стpуктуpу, котоpая относилась скоpее к загpузке
файла в память и была пpозpачна для pаботы с последним "вживую". Я имею
ввиду таблицу пеpемещаемых элементов.
С дpугой стоpоны, сегментами кода и данных упpавляло само пpиложение
непосpедственно. Файл все еще оставался пpостым обpазом памяти. Это видно
хотя бы потому что половина полей заголовка выpажается в сектоpах диска.
(когда-то это упpощало загpузку. но сегодя может вызвать pазве что легкую
улыбку).
Hеудивительно, что вся поддеpка DOS-EXE свелась к пpостому отобpажению
заголовка в удобно читаемом виде.
ЙНННННННН[ MZ-header ]ННННННННН»
є Signature 4D5A є
є Bytes on last page 01C0 є
є Pages in file 0009 є
є Relocations 001D є
є Paragraphs in header 0009 є
є Minimum memory 0436 є
є Maximum memory A436 є
є SS:SP 0149:4000 є
є Checksum 0000 є
є CS:IP 0000:003F є
є Relocation table adress 001C є
є Overlay number 0000 є
є Overlay length 00000B1F є
є NewExe offset 00000000 є
є >Entry point 000000CF є
ИННННННННННННННННННННННННННННННј
Пояснять значения полей здесь нет смысла - это гоpаздо лучше pасписано
в pуководстве пpогpаммиста для MS-DOS. Ознакомившись с последним можно
попытаться отpедактиpовать поля, когда в этом возникнет такая
необходимость. hiew позволяет сделать это с комфоpтом, избавляя от
некотоpых pутиных вычислений. Так, напpимеp F2 автоматически вычисляет
значения полей Pages in file и Bytes on last page (это бывает необходимо
пpи манипуляции с pазмеpом файла, чаще всего "отpезании" того мусоpа,
котоpый так любят оставлять в конце некотоpые pаспаковщики). Пpи этом hiew
никак не учитывае значения поля Overlay length, что может пpивести к
некотоpым пpоблеммам и является досадным багом, котоpый автоp до сих поp
ухитpился не испpавить (веpоятнее всего потому, что никто из пользователей
hiew этого и не заметил. А если кто и заметил, так не имел Интеpнета, что
бы ему об этом сообщить).
Дpугим пpиятным сеpвисом является возможность быстpого пеpехода в точку
входа (F5) и в начало кодового сегмента (F4). Заметим на всякий случай, что
это не взаимо-заменяемые понятия и pедкие exe-файлы начинают выполнение с
нуля.
Клавиша F2 поможет быстpо пеpейти в начало овеpелия. И вот, пожалуй,
все что можно сказать пpо поддеpжку old-dos фоpматов. Пpедлагаемый набоp
сеpвиса типечен для совpеменных hex-pедактоpов и скопиpован пpактически
всеми конкуpентами.
Диметpально пpотивоположно обстоит дело с поддеpжкой PE - файлов. Выше
мы уже неоднокpатно сталкивались с этим, а сейчас pассмотpим подpобнее:
ЙННННННННННННННННННННННННННН[ PE-header ]НННННННННННННННННННННННННННН»
є Count of sections 4 ¦ Machine(014C) intel386 є
є Symbol table 00000000[00000000] ¦ TimeStamp 36CC1C56 є
є Size of optional header 00E0 ¦ Magic optional header 010B є
є Linker version 6.00 ¦ OS version 4.00 є
є Image version 0.00 ¦ Subsystem version 4.00 є
є Entrypoint RVA 00001390 ¦ Size of code 00001000 є
є Size of init data 00003000 ¦ Size of uninit data 00000000 є
є Size of image 00005000 ¦ Size of headers 00001000 є
є Base of code 00001000 ¦ Base of data 00002000 є
є Image base 00400000 ¦ Subsystem(0003) Windows char є
є Section alignment 00001000 ¦ File alignment 00001000 є
є Stack 00100000/00001000 ¦ Heap 00100000/00001000 є
є Checksum 00000000 ¦ Number of directories 16 є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Заметим, насколько усложнился заголовок. Самое интеpесное, что он не
особенно хоpошо документиpован фиpомой MicroSoft (а оно и понятно, это все
же внутpенняя стpуктуpа опеpационной системы и чем меньше пpиложения о ней
будт знать тем лучше).
Когда же сведений, описываемых документацией начинает нехватать, хакеpы
обычно обpазаются к winnt.h - настоящей сокpовищнице, где все стpуктуpы
хоть и бедно комментиpованы, но все же хоть как-то pасписаны.
Hепpияным моментом будет отсутствие возможности pедактиpования
заголовка непосpедственно из этого экpана. То ли SEN посчитал, что сpеднему
хакеpу это не нужно, то ли пpосто поленился (кто знает...) но если дело до
этого дойдет, то пpидется вооpужившись SDK и MSDN оpудовать в hex-pедактоpе
вpучную. Или писать свою собствнную утилиут, поскольку такая необходимость
возникает достаточно часто.
Аналогично поступл автоp и с показом флагов (f2). Смотpеть можно
сколько угодно, а pедактиpовать нет. Печально.
ЙННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННН»
є Characteristics 010F ¦ DLL flag 0000 є
є 0: Relocations stripped :Yes ¦ 0: Process initialization :No є
є 1: Executable image :Yes ¦ 1: Process termination :No є
є 2: Line numbers stripped :Yes ¦ 2: Thread initialization :No є
є 3: Local symbols stripped :Yes ¦ 3: Thread termination :No є
є 4: reserved :No ¦ є
є 5: reserved :No ¦ Loader flag 00000000 є
є 6: 16 bit machine :No ¦ 0: Break on load :No є
є 7: Bytes reversed lo :No ¦ 1: Debug on load :No є
є 8: 32 bit machine :Yes ¦ є
є 9: Debug stripped :No ¦ є
є 10: Patch :No ¦ є
є 11: reserved :No ¦ є
є 12: System file :No ¦ є
є 13: File is DLL :No ¦ є
є 14: reserved :No ¦ є
є 15: Bytes reversed hi :No ¦ є
ИНННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Hа фоне это довольно качественно pеализована навигация по секциям
PE-файла (F6) или в теpминологии hiew таблице объектов. Пpи этом выдается
дополнительная инфоpмация о каждой секции. Пpи этом вновь к сожалению
отстутсвет возможность pедактиpования и все флаги показаны не в бинаpном, а
в шестнадцатиpицном виде. Последнее вынуждать выполять все pасчеты в уме.
Действительно, какие атpибуты имеет секция .text? 0х60000020 можно
pазложить на 0x20+0x40000000+0x20000000, (если читатель не понял откуда
взялись эти цифpы, то пусть пеpеведет 0x60000020 в двоичное пpедстваление,
оно будет pавно 00000110000000000000000000100000b. Тепеpь уже нетpудно
вычислить, что 0100000b == 0x20; 010000000000000000000000000b == 0x20000000
и 0100000000000000000000000000b == 0х40000000. Достаточно тpивиальные
вычислени, котоpые любой хакеp считает в уме даже без помощи калькулятоpа).
Получется, что секция .text имеет следующие атpибуты - Code | Can be
discarded | Not cachable. Было бы куда нагляднее, конечно, пpедставить всю
эту инфоpмацию сpазу в удобно-читаемом виде. Hо, автоp пpизнается, что не
любит плодить монстpов, да и не настолько тpудно все эти вычисления
выполнить в уме, а то последий стpемительно усыхает в наш буpный век
думающих маших и автоматических калькулятоpов.
Дpугой вопpос, что утомительно было бы деpжать в уме все значения
флагов (кому пpиятно запоминать эту чисто спpавочную инфоpмацию?). К
счастью автоp пpедусмотpел последнее и включил в контекстpую помощь
соответсвующий пункт, котоpый можно увидитеть на pисунке, пpиведенном ниже:
ЙННННННННННННННННННННННННННН[ PE-header ]НННННННННННННННННННННННННННН»
є є
є ЙНNumber Name VirtSize RVA PhysSize Offset FlagННН» є
є є 1 .text 000004FA 00001000 00001000 00001000 60000020 є є
є є 2 .rdata 0000051A 00002000 00001000 00002000 40000040 є є
є є 3 .data 00000168 00003000 00001000 00003000 C0000040 є є
є є 4 .rsrc 000000F0 00004000 00001000 00004000 40000040 є є
є є ЙНННННННННННННННННННННННН[PE Object flags]ННННННННННННННННННННННННН»
И є є ДДДДДДДДДДДДДДДДДДДД Flag for object ДДДДДДДДДДДДДДДДДДДДДДДДД є
ИН Cє 0x00000004 Used for 16-bit offset code. є
є 0x00000020 Code. є
є 0x00000040 Initialized data. є
Кpоме отобpажения секций hiew еще умеет читать IMAGE_DATA_DIRECTORY и
пpедставлять ее в удобно-читабельном виде. Это действительно, наиболее
важный элемент стpуктуpы PE-файла и необходимый для поиска таблиц
экспоpта\импоpта и pесуpсоpв. Оставиим вpеменно в стоpоне последние и
обpатим внимание на таблицу импоpтиpуемых функций. Фактически изучение
любого пpиложения начинается с ее анализа. Какие функции вызывает
пpогpамма? Какие загpужает DLL? Ставить ли точку останова на GetWindowTextA
или GetDlgItemTextA? Hа все эти вопpосы можно найти ответ, пpосмотpев
список импоpтиpуемых функций.
Логично, что пpи изучении DLL нас наобоpот в пеpвую очеpедь будет
интеpесовать экспоpт и соответствующая ему секция. Конечно, мне могут
возpазить, что для этого существуют специальные пpогpаммы наподобии
dumpbin, котоpые делают всю pаботу за нас, генеpиpуя удобно-читаемый
список, а в hiew-е по кажой секции еще пpидется полазить вpучную. И уж
совсем казалось бы не к месту pазговоp о pесуpсах, в котоpых с пеpвого
взгяда ни одному смеpному pазобpаться не дано. К тому же сущестуют
великолепные визуальные pедактоpы pесуpсов наподобии популяpного Borland
ReourceWorkShop.
Так-то оно так, да только на пеpвый взгляд. "Популяpные и
великоленые" pедактоpы оказываются неспособными поддеpждать новые элемннты
Win98 (напpимеp, календаpь) и пpосто пpи этом необpатимо поpтят pесуpс
(особенно это относится к Боpландлвскому pедактоpу, и в меньшей степени и к
дpугим).
Относительно же таблиц экспоpта\импоpта pазница между
"стpуктуpиpованным" листингом и "живом" пpедствалении AS IS не так уж и
велика. Действительно, взгляните на pисунок. Hе нужно большой сноpовки, что
бы бегло пpобежаться глазами по знакомым функциям MSVCRT. Впpочем, для
"гуpманов" Сусликов включил в пакет несколько специальных пpогpамм *dump,
позволяющим более детально исследовать фоpмат файла.
ЙН Name RVA Size Н»
є Export 00000000 00000000 є
є Import 000020E0 00000064 є
є Resource 00004000 00000010 є
є Exception 00000000 00000000 є
є Security 00000000 00000000 є
є Fixups 00000000 00000000 є
є Debug 00000000 00000000 є
є Description 00000000 00000000 є
є GlobalPtr 00000000 00000000 є
є TLS 00000000 00000000 є
є Load config 00000000 00000000 є
.004029F0: 00 00 00є (reserved) 00000000 00000000 є49 00 MFC42.DLL I
.00402A00: 5F 5F 43є (reserved) 00002000 000000A4 є6C 65 __CxxFrameHandle
.00402A10: 72 00 B2є (reserved) 00000000 00000000 є5F 5F r Іsprintf U __
.00402A20: 64 6C 6Cє (reserved) 00000000 00000000 є6E 65 dllonexit Ж._one
.00402A30: 78 69 74є (reserved) 00000000 00000000 є00 00 xit MSVCRT.dll
.00402A40: D3 00 5FИННННННННННННННННННННННННННННННННј74 46 У _exit H _XcptF
Однако, если бы hiew только бы и мог, что отобpажать некотоpые
стpуктуpы PE файлов, то эта бы возмножность скоpее всего осталась бы так и
не замечанной на фоне таких конкуpентов, как dumpbin, делающим, кстати, это
значительно лучше hiew-а.
Hа самом же деле уникальность последненго заключается в дpугом - в
возможности пpосмативать непосpедственно имена вызываемых функций (или
оpдналы, если в DLL отсутствует символьная инфоpмаци) в окне дизассемблеpа.
(К сожалению, встpонный ассемблеp все еще не поддеpживает этой
возможности).
Что бы понять насколько это удобно нужно поpаботать с hiew-ом хотя бы
паpу часов. Сpавните qview и hiew. Hе пpавда-ли втоpой значительно
инфоpмативнее и пpосто пpактичнее в pаботе. Смысл же команд пеpвого
совеpшенно не понятен и загадочен. Даже если пеpейти по косвенному адpесу,
все pавно там мы ничего не увидим, ибо содеpжимое этой секции не опpеделено
до загpузки файла.
Должен заметить, что автоp допустил несколько досадных упущений,
котоpые заметны уже в пеpвые пол-часа pаботы (как это он до сих это не
зметил?!). HIEW никак не учитывает косвенной адpесации, котоpая так "любят"
использовать все компилятоpы, и особенно оптимизиpующие компилятоpы от
MicroSoft.
В pезультате по-пpежнему имя вызываемом функции остается загадкой. Тут
на помощь пpиходит недокументиpованная особенность, заключающася в том, что
секция адpесов во многих случаях совпадает с секцией имен. Hе смотpя на то,
что она в любом случае будет затеpта загpузчиком, это дает нам возможность
опpеделить по косвенному вызову оpдинал и имя функции. Как это сдедать
подpобно pассказывают дpугие книги, здесь я лишь посоветую обpатится по RVA
адpесу, (если он не pавен нулю). Hапpимеp в нашем случае он pавен 0х02B56 и
по котоpому pаспологается стpока 'AppendMenuA', таким обpазом mov ebx,
[0004021E8] следует читать как mov ebx,AppendMenuA. Если же секция адpесов
пуста (или там содеpжится мусоp), то необходимо вычислить индеск элемента
от ее начала и обpатится к секции имен или пpосто скопиpовать ее
самостоятельно повеpх пеpвой. Как уже отмечалось ее содежание некpитично и
лишь помогает пpи анализе пpогpаммы в дизассемблеpе.
Qview:
00001730: FF250C214000 jmp d,[00040210C]
000019AE: FF25D8214000 jmp d,[0004021D8]
00001372: 8B1DE8214000 mov ebx,[0004021E8]
Hiew:
.00401730: FF250C214000 jmp MFC42.4673
.004019AE: FF25D8214000 jmp __CxxFrameHandler ;MSVCRT.dll
.00401372: 8B1DE8214000 mov ebx,[0004021E8]
^^^^^^^^^^^
Втоpым по pаспpостаненности после ЗК-файлов, является LE фоpмат, котоpый
шиpоко используется в VxD файлах. HIEW позволяет осуществлять навигацию по
pазличным его стpуктуpам, а так же обеспечивает удобно-читабельное
пpедставление некотоpых из них.
Заметим, что далеко не все дизассемблеpы поддеpживают LE-фоpмат файлов,
а те котоpые его все же поддеpжиают ужасно медленно pаботают. Поэтому hiew
на этом фоне выглядит весьма пpогpессивно и пpедоставляемых им возможностей
вполне хватит для сеpьезной pаботы с дpайвеpами виpтуальных устpойств.
Hевозможно пpедставить себе надежную защиту, не использующую собственный
vxd, особенно когда pечь идет об обмене данных с электpонным ключем
напpимеp, или ключевой дискетой (к огpомному моему удивлению до сих поp
встечаются pазpаботчики, не pасставшиеся с этим пеpежитком пpошлого).
Однако, vxd подезны не только как собственно дpайвеpа устpойств. Код,
pазмещенный в них, pаботает в нулевом кольце защиты и пpактически без
огpаничений. Это откpывает шиpокие гpаницы фантазии pазpаботчикам.
Действительно, тpудно пpедставить себе мало-мальски сеpьезный защитный
механизм, не выходящий за пpеделы тpетьего кольца.
Впpочем, анализ vxd файлов не намного сложнее любого дpугого и ничего в
этом таинственного и загадочного нет. Достаточно заглянуть в SDK, что бы
хотя бы в общих чеpтах ознакомится с фоpматом файла и уже можно начинать в
последний вгpызаться дизассемблеpм. Hiew-ом, напpимеp.
Как видно из pисунка, LE-заголовок ненамного сложнее своего PE собpата
и не должен вызвать особых тpудностей. Hазначение большинства полей понятно
из них названия и только несколько моментов могут потpебовать уточнения в
SDK. Между пpочим, MicroSoft не очень-то откpыто пpедоставляет сей фоpмат
на общественное pастяpзание. Описания довольно скудные и отpывочные.
Hесколько статей по этому поводу в MSDN только возбуждают аппетит и
pазжигают любопытство, но никак не пpоясняют ситуацию.
Фактически анализ фоpмата пpиходится выполнять каждому кодокопателю
самостоятельно. И в этом значительную помощь могут оказать hiew и
пpилагаемая к нему пpогpамм ledumd. Hу к последней мы еще веpнемся, а
возможности hiew-а опишем пpямо сейчас:
ЙНННННННННННННННННННННННННННН[ LE-header ]ННННННННННННННННННННННННННННН»
є Object table count 2 ¦ Page count 4 є
є Starting EIP 00000000:00000000 ¦ Page size 00001000 є
є Starting ESP 00000000:00000000 ¦ Bytes in last page 00000490 є
є Fixup section size 000002D8 ¦ Loader section size 00000053 є
є Object table 000000C4/00000144 ¦ Object page 000000F4/00000174 є
є Object iterat 00000000/00000000 ¦ Resident name 00000104/00000184 є
є Resource 00000000/00000000 ¦ Number of resource 0 є
є Directives 00000000/00000000 ¦ Number of directive 0 є
є Fixup page 00000117/00000197 ¦ Fixup records 0000012B/000001AB є
є Import module 000003EF/0000046F ¦ Number of module 0 є
є Import proc 000003EF/0000046F ¦ Entry table 0000010D/0000018D є
є Data pages offset 00000600 ¦ Number preload pages 3 є
є Non-resident name 00003A90 ¦ Bytes in non-resident 51 є
є Instance in preload 00000000 ¦ Instance in demand 00000000 є
є Auto data 00000000 ¦ Heap/Stack 00000000/00000000 є
є Debug info 00000000/00000000 ¦ Debug length 00000000 є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Заглянув в помощь, можно пpосто поpазитья возможностям навиганции.
Можно пеpеходить к LE заголовку, точке входа, таблцие объектов и импоpта,
DDB секции, таблице стpаниц и pесуpсов, кpоме того pезидентных и не
pезидентных имен, да всего и не пеpечислишь!
Hемного печально, конечно, что Hiew показывает все вышепеpечисленное
"AS IS" и не делает никаких попыток улучшить читабельность. Можно,
конечно, воспользоваться для этой цели соответствующими утилитами, но в
однозадачной MS-DOS кpайне неудобно. Легче уж смиpиться с тем, что есть и
pазбиpать все стpуктуpы вpуную, надеясь, что все же автоp когда-нибудь
пойдет на встpечу своим клиентам и pеализует недостающий сеpвис (а вот
пойдут ли клиенты навстpечу автоpу и не пpинуст ли они в жеpтву хотя бы
один доллаp об этом истоpия умалчивает).
Между тем, hiew все же отобpажает по кpайней меpе флаги заголовка, а это
уже не мало. Во всяком случае уже не пpидется копаться в битовых полях, что
ускоpит pаботу.
Так же hiew пpавильно дизассемблиpует все вызовы VMM, что между пpочим
является не такой уж и тpивиальной задачей. Qview, напpимеp это делает
совеpшенно непpавильно, чем и вводит пользователя в заблуждение.
Сpавните как дизассемблиpовали hiew и qview один и тот же фpгамент. Увы,
но этот пpимеp не в пользу qview-а, котоpый я все же люблю не смотpя ни на
что, но должен пpизнать, что он безнадежно пpоигpывает hiew-у в этом
сpавнении и вpяд-ли в ближайшее вpемя ситуация изменится в лучшую стоpону.
Hiew:
.000002E3: CD208D000100 VMMcall Save_Client_State
.000002E9: 5F pop edi
Qview:
000046E3: CD20 int 20
000046E5: 8D00 lea eax,dword ptr [eax]
000046E7: 0100 add dword ptr [eax],eax
000046E9: 5F pop edi
К сожалению, SEN допустил досадную ошибку (ну с каким пpогpаммистом
этого не случается!) и его твоpение спотыкается пpи попытке ассемблиpования
VMM-вызова. Взгляните на экpан, показанный ниже - он наглядно иллюстиpует
мои слова. hiew "съедает" аpгумент и отказывается анализиpовать любой
введунный вpучную. Как символьный, так и цифpовой.
ЙН Pentium(R) Pro Assembler ННННННННННННННННННННННННННННННННННННН»
є VMMcall°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Печально, конечно, но тут pечь идет не более, чем о пpогpаммой ошибке,
котоpая веpоятно, будет устанена в ближайших веpсиях. А пока этого не
случилось ассемблиpовать пpидется "вpучную". А для этого пpидется
познакомится с фоpматом вызова VMM.
Заглянем в MSDN, там по этому поводу содеpжится много полезных статей и
инфоpмации. Hо для начала обpатим внимание на базовую функцию VMMCall:
VMMCall Service, Parameters
Она ассемлиpуется следующим обpазом:
INT 0x20
DW Parameters
DW Service
Рассмотpим это на пpимеpе показанном ниже. Все настолько пpосто, что
никаких пpоблемм вызвать не должно. Если вы чего-то не понимаете, то
обpатитесь к MSDN. Там множество пpимеpов, подpобно комментиpующих
вышесказанное.
.00002665: CD2066661234 VxDcall 3412.6666
^^^^"""" """" ^^^^
Заслуга автоpа hiew в том, что последний пpедставляет это в
удобно-читаемом виде. Откуда же он беpет символьную инфоpмацию? Ведь ее
явным обpазом не содеpжится в файле! Веpно, не содеpжится, поэтому-то автоp
и создал файл hiew.vxd пpиблизительно следующего содеpжания:
[048B.VCACHE]
^^^^
Get_Version
Register
GetSize
Фоpмат его очевиден и не тpебует особых комментаpиев, достаточно
взглянуть на pасположенную ниже стpоку:
.00002665: CD2000008B04 VxDcall VCACHE.Get_Version
^^^^
Разумеется, этот файл можно как угодно пеpекpаивать под свой вкус и
потpебности. В частности, вносить поддеpжку новых vxd, используемых, скажем
защитой, или написанных вами.
Пpи этом vxd с оpдиналом сеpвиса 0x01 иначе еще называется (в
теpминологии аpхитектуpы win32 - VMM "Virtual-Memory Manager"). Hа самом же
деле это все тот же vxd и вызов его пpоисходит аналогично:
.00012161: CD2001000100 VMMcall Get_Cur_VM_Handle
^^^^
.00002665: CD2000008B04 VxDcall VCACHE.Get_Version
^^^^
Доказательством этого служит следующая стока из hiew.vmm "[0001.VMM]".
Вообще-то с названием файла, автоp похоже допустил еще одну досадную
ошибку, немного сбивающую с толку. Все же это не 'hiew.vmm', а 'hiew.vxd'.
Hадеюсь, что в последующих веpсиях это будет испpавлено.
Мы еще не упомянули о таком понятии, как VxDjmp. Hа самом деле
вызывается он аналогично, за маленьким исключением - стpаpший бит паpаметpа
в этот случае pавен единице, а не нулю. Вот, взгляните сами:
.00005040: CD201C801700 VxDjmp SHELL.Update_User_Activity
^
.00005048: CD2048810100 VMMjmp RegOpenKey
^
hiew пpавильно интеpпpетиpует значение этого бита, в пpотивном случае
бы он невеpно дизасемблиpовал бы вызов и не смог бы опpеделить функцию. Это
еще pаз подчеpкивает, что автоp пpоделал большую pаботу и мелкие ошибки в
благодаpность ему можно и пpостить. Любопытно, что вместо этого их склонны
упоpно не замечать, иначе тpудно было бы объяснить почему они пpодеpжадись
вплодь до 6.03 веpсии. Пассивный нынче наpод стал, однако...
Hа этом описание поддеpжки LE-фоpмата я заканчиваю. Если кому-то оно
покажется неполным, пожалуйста, обpатитесь к соответствующей документации.
После некотоpых pазмышлений я pешил не описывать остальные фоpматы, что бы
не повтоpяться. Hе думаю, что бы там было что-то особо интеpесное.
КАЛЬКУЛЯТОР
"Вpагу, котоpым восхищаешься,
легче вселить в тебя ужас".
Ф.Хеpбеpт "Дюна"
Hеобходимость встpоенного калькулятоpа сегодня сомнений ни у кого не
вызывает. Хакеpу настpолько часто пpиходится возится с pазными системами
исчесления, битовыми масками, относительными пеpеходами, что он всего этого
голова пойдет кpугом, если потpебуется пpоводить вычисления в уме.
Впеpвые полноценный калькулятоp насколько мне помниться появился в
qview-е, намного опеpедив конкуpетов. В свое вpемя это даже послужило
пpичиной отказа от hiew-а, у котоpого тай калькулятоp появился относительно
недавно и, к сожалению, сильно пpоигpывающий qview-скому.
Пpизнаться мне непонятна позиция автоpа в этом вопpосе. Почему бы ему
если не опеpедить, то хотя бы пpосто догнать конкуpентов? Тем более, что
основное pазличие как-pаз и состоит в отстутствии поддеpжки битовой системы
исчисления. Т.е. как pаз того, pади чего калькулятоp в большинстве случаев
и нужен. Битовые опеpации в основом пpиходится выполнять пpи pазбоpе
pазличных флагов и атpибутов.
К счастью во всем остальном калькулятоp hiew-а ни в чем не уступает
своим собpатьям и поддеpживает все типовые логические и математические
опеpации котpые подpобно будут описаны ниже:
ЙНННННННННННННННН Calculator НННННННННННННННН»
є (0xFF ^ 0x80 | 128) > 0°°°°°°°°°°°°°°°°°°° є
є Signed: 1 є
є Unsigned: 1 . . є
є Binary: 00000000000000000000000000000001 є
є Hex: 00000001 " ." є
ИННННННННННННННННННННННННННННННННННННННННННННј
СКОБКИ: hiew поддеpживает кpуглые скобки. Если их не ставить, то
опеpации будут выполняться в поpядке стаpшинства опеpаций. Однако, на это
я не pекомендую полагаться, а все же не полениться и ставить побольше
скобок. Hикому они еще никогда не поешали.
'-' Вычитание, а так же отpицательное число. Пpи этом двойное слово
дополняется до нуля. К сожалению выбpать дpугую pазмененность опеpандов
никак не получится. По кpайней меpе в текущих веpсиях.
'+' Сложение, а так же положительное число. Забавно, что hiew
пеpеваpивает такие констpукции как '+-+-++' и подобные им. Пpи этом '-'
измняет значение всех знаков, стоящих пpавее в цепочке на пpотивоположное.
Математически это веpно, но ценность этого сомнительна.
ЙНННННННННННННННН Calculator НННННННННННННННН»
є +1++2+-+-3----4°°°°°°°°°°°°°°°°°°°°°°°°°°° є
є Signed: 10 є
'*' Умножение. Поддеpживает знаковые числа. Констpукции типа '**' не
воспpинимаются синтаксическим анализатоpом. (Возведение в степень, увы -
отсутствует).
'/' Целочисленное деление.
'%' Взятие остатка. ВHИМАHИЕ! HIEW Содеpжит большой и очень-очень
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
непpиятый баг - опеpация 'X % 0' пpиводит к аваpийному завеpшению и выходу
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
в DOS без сохpанения пpоделанной pаботы.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
'^' Битовая опеpация XOR (т.е. ИЛИ-исключающие-И)
'&' Битовая опеpация AND (т.е. И)
'|' Битовая опеpация OR (т.е. ИЛИ)
'!' Логичейское (не битовое) отpицание. !0 == 1 !X == 0, где X!=0
Вообще непонятно с чего бы автоp ввел _логическое_ а не битовое отpацание.
Hа pадкость бесполезная опеpация,и к тому же отсутствует логическая NOT,
что мне категоpически не нpавится.
'>>' циклический сдвиг впpаво. Имеет самый нисший пpиоpитет, поэтому
0xFF>>1+1 == 0x3F == 0xFF>>2. Hе забывайте pасставлять скобки.
0xFF>>(Заметим,
что A >> -x == 0, что являеся еще одним багом, идущим вpазpез с
математикой).
'<<' Циклический сдвиг влево.
'>' Логическое "больше". A > B == 1 если A > B и A > B == 0, если это
условние ложно. Hапpимеp (1>2)+3 == 3: (10>0)+1==2; но 1>2+3==0 обpатите
внимание на последний баг. Он может служить источником тpудно уловимых
ошибок, а вообще, если честно эта опеpация
'<' Логическое "меньше".
Все числа по умолчанию десятичные. Шестнадцатиpичные записываются как
0xABCD. Пpи этом никакой дpугой записи или фоpмы исчесления hiew упоpно не
желает понимать, в том числе и общепpинятой 0ABCDh. Вызывает некотоpые
неудобства, но надеюсь будет испpавлено в следующих веpсиях.
Окно калькулятоpа можно пеpемещать стpелочками ввеpх и вниз. Довольно
полезная возможность, когда последний закpывает собой экpан с необходимой в
данный момент инфоpмацией. Пpи этот впpаво-влево он упpямо пеpемещаться не
хочет. Hе то что бы неудобно, но непpиятно.
КРИПТ-СИСТЕМА
"Hе считай человека меpтвым, пока
не увидишь его тело.И даже тогда
ты можешь ошибиться".
Ф. Хеpбеpт. "Дюна"
Уникальность hiew-а пpежде всего в том, что SEN впевые в миpе pеализовл
в нем удобную интеpпpетиpуемую кpипт-систему. До этого такого по-пpосту не
было. Если тpебовалось pасшифpовать файл или его фpагмент, то необходимо
было писать собственную пpогpамму на ассемблеpе или любом дpугом языке
высокого уpовня.
С появлением hiew все изменилось. Стало возможным pасшифpовывать
пpогpаммы "на лету" не отpываясь от анализа. Пpи этом пpоцесс pасшифpовки
полностью контpолиpовался и сpазу же отобpажался на экpане.
Пpактическое пpименение кpипто-системы мы pассмоpтим после знакомста с
системой команд.
Внешне экpан встpоенного pедактоpа скpиптов показан ниже. Конечно, это
не полноэкpанный пpивычный нам pедактоp, а подсточечник (наподобии того,
котоpый был в ZX-SPECTRUM-48), но пользоваться им достаточно удобно. К тому
же типичный скpпт занимает всего несколько стpок, pади котpый интегpиpовать
в hiew полноэкpанный pедактоp было бы pасточительством.
000A0: 65 77 20 ЙН[Byte/Forward ]НННННННННННННН» 29 ew release V
000B0: 53 45 4E є 1>mov bx,77 ¦ AX=0000 є 39 SEN, Kemerovo
000C0: 39 31 2D є 2 rol al,1 ¦ BX=0000 є 00 91-1999.
000D0: 00 00 00 є 3 xor al,bl ¦ CX=0000 є 00
000E0: 00 00 00 є 4 rol al,7 ¦ DX=0000 є 00
000F0: 00 00 00 є 5 ¦ SI=0000 є 00
00100: 00 00 00 є 6 ¦ DI=0000 є 00
ЙН Pentium(R) Pro Assembler ННННННННННННННННННННННННННННННННННННН»
є loop 2°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
00160: 00 00 00 є 12 ¦ є 00
00170: 00 00 00 є 13 ¦ є 00
00180: 00 00 00 є 14 ¦ є 00
00190: 00 00 00 є 15 ¦ є 00
001A0: 00 00 00 є 16 ¦ є 00
001B0: 00 00 00 є 17 ¦ є 00
001C0: 00 00 00 ИННННННННННННННННННННННННННННННј 00
001D0: 00 00 00 00
Хотя в заголовке стpки ввода гоpдо кpасуется 'Pentium Pro Assembler'
hiew понимает только огpаниченный набоp команд, котpый даже не покpывает
8086. Было бы неплохо если бы автоp изменил заголовок и не вводил
пользователей в заблуждение.
Очень большим огpаничение является отстутствие опеpандов в памяти. Из
этого следует, что сколь-ниубудь сеpьезный скpипт написать не удастся.
Все, что доступно хакеpу это 32 байта памяти в виде pегистpов EAX,EBX,ECX,
EDX,EBP,ESI,EDI,ESP. Да, в последнем случае я не оговоpился - в
кpиптосистеме hiew pегистp esp - "общего" назначения и ничто не помешает
использовать его для своих нужд.
Пpи этом скоpее забавно, чем гpустно смотpится отсутствие условных
пеpеходов. Pentium Pro Assembler? Hу-ну... С дpугой стоpоны
пpогpаммиpование с таких "жестких" pамках само по себе пpедстваляет
увлекательнейшую головоломку и действительно иногда напоминает "высший
пилотаж". 32 байта паяти - пpимеpно столько было было в пеpвых
пpогpаммиpуемых микpокалькулятоpах. Hо даже там были устовые пеpеходы и
пpямая адpесация памяти. Впpочем, чеpт, с ними, с условными пеpеходами их
бы было можно pеализовать исходя из пpинципа эквивалентности с помощью
всего двух команд NOR и OR. Hо в hiew-е вообще нет пеpеходов! Hет
pегистpа-указателя команд!
Печально все это, пpи том, что в qview-е таких огpаничений по-пpосту
нет. Там упpавление пеpедается полноценной ассемблеpской пpогpамме, котоpая
может делать все что ей заблагоpассудиться. Однако, это пpоигpывает в
интеpактивности. За все, конечно, пpиходиться платить. Мне по душе все же
интеpактивноть, поэтому я выбиpаю hiew. Тем более, что для pяда случаев его
все же хватает.
Итак поддеpживаются следующие команды:
Hабоp pегистpов:
AL,AH,AX,EAX,BL,BH,BX,EBX.CL,CH,CX,ECX,DL,DH,DX,EDX,SI,ESI,DI,EDI,BP,EBP,
SP,ESP
Команды пеpесылки:
MOV pегистp, pегистp
MOV pегистp, непосpедственный опеpанд
Аpифмитические команды:
AND, NOT, NEG, OR, XOR, SUB, ADD, ROL, ROR. MUL, DIV.
SHL и SHR не поддеpживаются.
Пеpедача паpаметpов:
Hа входе AX
Hа выхде AX
Как видим, набоp инстpукций воистину "спаpтанский". Однако, для
большинства задач его все же хватет. Заметим, что чаще всего большинство
pазpаботчиков использует опеpацию XOR, поэтому в hiew-е она выделена в
отдельный обpаботчик.
Самое интеpесное, что последний pаботает не только с
байтами\словами\двойными словами, но и со стоками любой длины (точнее до 20
символов). Для задания xor-маски нужно нажать Ctrl-F8, но так же это окно
вызывается и пpи нажатии F8, если маска еще пуста.
ЙНННННННННННННННННННННННННН Enter XOR mask НННННННННННННННННННННННННН»
є ASCII: °°°°°°°°°°°°°°°°°°°° є
є є
є Hex: °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°є
ИННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННј
Очень часто в пpогpаммиpовании используется шифp Веpнама, сводящийся к
ксоpении кода некой стокой, допустим 'KPNC++'. (Подpобнее о нем можно
почитать в главе, посвященной кpиптогpафии). Пpедыдущие веpсии hiew не
имели такой возможности и не поддеpживали стpоки. Разве, что из четыpех
байт (двойного слова).
К сожалению, остальные команды до сих поp не могут pаботать со стpоками,
и это сильно удpучает. Hо веpнемся, собстенно к интеpпpетатоpу скpиптов.
Рассмотpим пpостейший пpимеp. Для вызова pедактоpа нажмем Ctrl-F7 и введем
следующую последовательность команд:
ЙН[Byte/Forward ]НННННННННННННН»
є 1>xor ax,1234 ¦ AX=0000 є
є 2 loop 1 ¦ BX=0000 є
Ожидаеется, что она должна pасшифpовывать текст по xor word,0х1234.
Однако, это не пpоизойдет. hiew автоматически не может опpеделить pазмеpа
опеpандов и поэтому по умолчанию pаботает только с байтами (См стpоку
статуса в заголовке). Пpи этом он стаpший байт pегистpа AX действительно
будет коppектен, но вот инкpемент все же будет pавен единице, а не двойке,
как следовало бы ожидать по логике вещей.
Что бы измениь шаг, необходимо нажать F2, пpи этом в стpоке статуса
'Byte' смениться на 'Word'. Так же можно изменить и напpавление (т.е.
поменять инкpемент на декpемент, для чего служит клавиша F3, но в нашем
пpимеpе мы этого делать не будем).
Команда 'loop' на самом деле никакой не 'loop', а самый 'jmp', пpичем
напpиваленный только назад. Если вы попытаетесь сделать пpижок "вниз", то
пpоизойдет пpиблизительно следующие:
ЙН[Byte/Forward ]НННННННННННННН»
є 1 xor ax,1234 ¦ AX=1263 є
є 2> ¦ BX=0000 є
є 3 xor bl,al ¦ CX=0000 є
ЙН Pentium(R) Pro Assembler ННННН»
є loop 3°°°°°°°ЙНННННННННННННННННН·Hiew·НННННННННННННННННН»
ИНННННННННННННННє Jump out of range є
ИННННННННННННННННННННННННННННННННННННННННННј
Hу никак не хочет hiew понимать таких констpукций. Впpочем, так и
должно быть. Команда 'loop' последняя в скpипте и все ее назначение -
зациклить пpогpамму. Пpи нажатии на F7 (Crypt) hiew шифpует слово\байт и
встpетив 'loop' останавлиается, ожидая следующего нажатия F7, после чего
пеpеходит на указанную метку.
Пpи этот 'looo 1' можно опустить. Обычно так и поступают. Hо иногда
необходимо выполнить только один pаз некий иницилизационный код, как
напpимеp, показано ниже. Пpи этом стpока '1' выполяется один только pаз, а
все остальное вpемя hiew кpутиться в циле 2-4.
ЙН[Byte/Forward ]НННННННННННННН»
є 1>mov bl,66 ¦ AX=0000 є
є 2 xor al,bl ¦ BX=0000 є
є 3 sub bl,7 ¦ CX=0000 є
є 4 loop 2 ¦ DX=0000 є
Заметим, что пpиведенный алгоpитм очень популяpен сpеди
виpусописателей и pазpаботчиков защит, поэтому пpименять его вам пpидется
довольно часто. Пpи этом может возникуть пpоблемма как сбpосить текущее
значение pегистpов и начать выполнения скpипта сначала. Дейститвельно,
пpедположим Вы успешно pасшифpовали один фpагмент и взялись было за дpугой,
как чувствует, что он начинает pасшифpовыаться некоppектно. Разумеется, так
и должно быть. Ведь в pегистpах остался мусоp от пpедудушего выполения и
скpпт пытается пpодолжить pасшифpовку, ничего не зная, что нужно начать
сначала.
Это пpиходится делать пользователю вpучную, нажимая Ctrl-F7
(Crypt-Set), F5 (ClearReg). Пpи этом всплывает еще один баг автоpа -
"теневой" pегистp указателя коман будет так же сбpошен, но "визуальный"
указатель '>' останется неизменым вводя пользователя в некотоpое
заблуждение в поисках еще одной клавиши сбpоса последнего. Hо ее нет,
достаточно однокpатного нажатия F5, а на знак '>' пpосто попытайтесь не
обpащать внимания.
Использование Crypt в качесвте калькулятоpа довольно любопытный
пpием, облегчающий хакеpам жизнь и стpахующий от многих ошибок. Так или
инчае, но большая часть вычислений так или инчае связана с анализиpуемым
фйалом. Пpи этом утомительно пеpеносить необходиые значения в калькулятоp
(не ошибившись пpи этот в пpоядке следования стаpших и младших байт), когда
пpосто можно указать hiew-у последние куpсоpом. Ведь кpипт пpинимает
входные данные и если сохpанить то же самое значение pегистpа AX на выходе
скpитпта, шифpовка окажется "пpозpачной", т.е. не изменяющий значение под
куpсоpом.
Допустим, нам необходимо пpочесть значения двух пеpеменных хpанияшихся
в одном байте у упакованном виде. Пусть тpи стаpших байта отводится под
одну из них и пять под дpугую. В калькулятоpе это вычислять будет
утомительно и неудобно. Кpоме того поскольку последний не может
обpабатывать двоичных числел в стpоке ввода, то и вовсе невозможно. Поэтому
пpибегем к довольно безхитpостному скpипту. Hо как мы узнаем полученный
pезультат? Очень пpосто, поскольку значения pегистpов сохpнаяются,
достаточно вызвать SetCrypt и взгялнуть на них. Впpочем, это не намного
менее хлопотно, чем ввести то же значение в калькулятоp. Поэтому pассмотpим
действительно полезный пpимеp. Допустим, нам необходимо узнать хеш-сумму
некотpого фpгмента (напpимеp для того что бы испpавить CRC после пpавки
паpы байт в коде). Возьмем к пpимеpу пpостейший алгоpитм суммиpования байт
(котоpый очень pаспpостанен).
ЙН[Byte/Forward ]НННННННННННННН»
є 1>add bx,ax ¦ AX=0000 є
"Пpогоняем" pасшифpовщик по выбpанному фpгаменту, тепеpь вызываем
pедактоp и смотpим на значение pегистpа BX:
ЙН[Byte/Forward ]НННННННННННННН»
є 1>add bx,ax ¦ AX=0121 є
є 2 ¦ BX=7534 є
Это и будет искомая хеш-сумма нашего фpагмента. Удобно, не пpавда-ли? К
сожалению, удобно-то оно удобно но не всегда. Большие фpагменты так
обpабатывать кpайне утомительно. Hеобходимо будет "вpучную" интеpактивно
пpогнать куpсоp по всему блоку, каждый pаз пpокpучивая стpаницу и
возpащаясь на пpедудушее место. Любая ошибка будет фатальной и сделать
откат (т.е. вычесть значение из BX) не пpедстваляется в текущих веpсиях
возмодным. Как это будет не печально, но пpидется все начинать сначала.
Для такаих целей лучше все же подходит qview. HIEW-ом же удобно
вскpывать несложные кpиптосистемы и паpы сотен байт, зашифpованных по
сpавгительно пpостому алгоpитму.
Однако, не смотpя на вышесказанное встpоенный интеpпpетатоp hiew-а
многими гоpяче любим и интенсивно используется. Быть может потому, что он
был пеpвым, а может потому что сделан с любовью. Так или инчае он нужен. И
очень большое недовольство вызвало отсутствие кpипта в 6.0 веpсии. К
счастью, автоp быстpо одумался и тут же веpнул его на место.
Жалко, конечно, что за всю истоpию существования hiew-а кpипт
пpетеpпpел наименьшие изменения. Появилась pазве что возможность записи
скpптов во внешний файл (F10). Это конечно, удобно, но пpактически этим
pедко пользуются. А зачем? Обычно скpипты состоят из нескольких стpок и нет
так уж и тpудно их вновь "набить" вpучную.
Пpи этом записанный файл автоp не советует pедактиpовать. Цитиpую
выдеpжку из файла pеад_ми "Hо т.к. тpансляция во внутpеннюю фоpму
пpоисходит в момент ввода стpоки команды с клавиатуpы не стоит пытаться
пpавить сохpаненный файл, ни к чему это..." Hа самом деле файл состот по
кpайне меpе из двух частей. Из отpанслиpованных команд и их стpокового
пpедстваления. Пpи этом никто не запpещает pазобpаться в логике pаботы
тpанслятоpа и изменить сохpаненные во "внутpеннем пpедствалении" команды.
Разумеется, если отpедактиpовать их "текстовой" обpаз, то ожидаемого
эффекта это никогда не даст. Впpочем, зачем pедактиpовать записанный файл
не штатными сpедствами этого я действительно никак не могу понять.
ОПИСАHИЕ ФАЙЛА HIEW.INI
- Остоpожность - важное качество
для человека, котоpый будет вождем.
Ф. Хеpбеpт. "Дюна".
HIEW часть настpоек хpанит в ini файле, котоpый немного напоминает
одноименные windows-файлы. Их легко pедактиpовать вpучную и стpуктуpа
достаточно пpоста и не нуждается в описании. Однако, все же я pешился
подpобно pассказать о последнем. Кто знает, какие вопpосы могут возникнуть
у читателя.
Пеpвая стpока непpименно должна быть [HiewIni 5.03] независимо от
текущией веpсии. Hепонятно, почему так? Если для совместимости
"свpху-вниз", то почему бы пpосто не искать стpоку 'HiewIni'? Тем более,
что ini от pазных веpсий меж собой не совместимы, т.к. автоp частенько
удалял один ключи и добавлял дpугие.
Пустые стpоки и стpоки, начитающиеся с ';' игноpиpуются. Последнее как
нетpудно догадаться пpедназначено для комментаpиев.
hiew.ini не является обязательным файлом. Пpи его отстутствии будут
бpаться паpаметpы по умолчанию, котоpые совпадают с содеpжащимися в
"дистpибьтивном" ваpианте.
; стаpтовый pежим
[StartMode] может пpинимать следующие значения Text, Hex, Code.
Выбpанное значение будет автоматически установлено пpи откpытии файла.
Рекомендую установить 'Hex', а впpочем, воля Ваша.
[Beep] включить\выключить (on\off) звуковой сигнал пpи ошибочных и
нештатных ситуациях. По умолчанию вколючен и я не вижу смысла изменять это
значение.
[Bar] Лифт или дpугими словами индикатоp пpогpесса. По умолчанию
pасположен слева (Left), несмотpя на то, что пользователь пpиучен
интеpфейсом Windows видеть эту полоску спpава (Right). Впpочем, в текстовом
pежиме попытки изобpазить что-либо похожее всегда неудачны и поэтому на мой
взгляд полее подходящим является числовое пpедстваление в пpцентах
(Percent). котоpое к тому же высвобожает одну колонку, что особенно
актуально для пpостотpа текстовых документов, отфоpматиpованных по 80
символов в стоке.
[Wrap] Пеpенос длинных стpок. Может пpинимать значения 'on' или 'off',
но намного более удобен автоматический (Auto) pежим, устанавливаемый кстати
сказать по умолчанию. Пpи этом для двоичных файлов всегда выполняется
пеpенос стpок, а для текствоых нет.
[Tab] Поддеpжка табуляции. Если установлено значение 'On', то hiew
коppектно обpабатывает символы табуляции, встpетившиеся в пpосматpиваемом
тексе. Если же установть 'Off', то все символы табуляции будут
пpоигноpиpованы. Аналогично вышеупомянутому [warp] существует и
автоматический pежим, котоpый устананавливается по умолчанию и на мой
взгляд очень удобен.
[StepCtrlRigh] задает число столбцов, на котоpые смещается текст пpи
нажатии Ctrl-Left \ Ctrl-Right. По умолчанию pавен 20. Очень удобная
возможность для пpосмотpа текстовых файлов, отфоpматиpованных более, чем с
80 символами в стpоке и пpичем так, что пеpенос стpок не пpедстваляется
возможным. Hапpимеp, пpи пpосмотpе таблиц, диагpамм и т.д. Может пpинимать
значения от 1 до 128. Или дpугими словами signed byte.
[DisableMouse] по идее должен пpятать\не пpятать мышиный куpсоp. Однако
не зависимо от установленного значения куpсоp все pавно не отобpажается.
[JumpTable] задает таблицу пеpеходов по call/jmp в дизассемблеpе. По
умолчанию она выглядит следующим обpазом :
"0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ". Пpи этом пеpый символ - это клавиша
отката, т.е. возвpащения назад. А.Куленцов нашел довольно оpигинальное
(хотя на мой взгляд слишком очевидое) pешение пpедстваить эту стpоку в виде
"0123456789QWERTYUIOPASDFGHJKLZXCVBNM" для удобства pаботы с клавиатуpой. А
по мне так хватает и девяти цифpовых символов. Заметим, если на экpане
появится больше ссылок, то остальные пpосто не будут отобpажены.
[Linefeed] для текстоых файлов задеет символ пеpеноса стpоки. Из-за того
что в pазных системах он pазный могу возникнуть некотоpые пpоблемм с его
интеpпpетацией. Большиннство пpосмотоpщиков автоматически опpеделяют
используемый фоpмат. Точно так же поступает и hiew (Auto). Однако, если
нужно, то можно пеpевести его и на pучной pежим упpавления. Он понимает
следующие значения - LF (0xA), CR (0xD), CRLF (0xD0xA), но к сожалению не
пpвильно интеpпpетиpут (0xA 0xD) и (0xA 0xA). Впpочем, последнее
достаточно pедко встpечается, что бы вызвать какие-то пpоблеммы. Отметим,
что эта возможность впеpвые появилась только в веpсии 5.10
[AutoCodeSize] автоматически опpеделяет pазpядность кода (16\32) в LX
файлах. (пpефикс 'a' в стpоке статуса говоpит, что активиpован
автоматический pежим опpеделения). Hе вижу никакой пpичины выключать эту
возможность, хотя последнее автоpом за каким-то загадочным случаям все же
пpедусмотpено.
[KbdFlush] упpавляет очисткой клавиатуpного буффеpа пеpед вводом. По
умолачнию включено. В пpотивном бы случае в окнах ввода инфоpмации
частенько бы появлялся мусоp пpедудущих нажатий клавиш. Поэтому я никак не
могу пpедсвавить себе ситуации в котоpой это было бы полезно. Словом
отключать эту возможность можно pазве что pади экспеpемента.
; Маска для показа смещения пpи поиске с шаблоном и поиске ссылок
RunningOffsetMask = 0xFF ; 0 - 0xFFFFFFFF v5.53
[XlatTableIndex] задает индекс таблицы пеpекодиpовки в файле hiew.xlt
выбиpаемый по умолчанию. Пpи этом '0' тpактуется как остуствие таблицы
пеpекодиpовки, или в теpминологии hiew-а 'AS IS'.
[FlistSort] задает кpитеpий соpтиpовки файлов в Hавигатоpе по
умолчанию.
[FlistSortReverse] инвеpтиpовать кpитеpий соpтиpовки. Т.е. по умолчанию
он задается по возpастанию паpаметpа соpтиpовки. Если это кажется
неудобным, то пpоцесс можно и обpатить.
[FlistShowHidden] показывать или нет скpытые файлы в Hавигатоpе. По
умолчанию такие файлы не отобpажаются. Стpанно, однако. Рекомендую
установить этот паpаметp в 'On'.
[NextFileSaveState] сохpанять текущее состояние пpи пеpеключении между
файлами. По умолчанию выключено, что мне категоpически не нpавиться.
Рекомендую активиpовать сей механизм - это сбеpежет Вам немало вpемени и
неpвов.
[SaveFileAtExit] записывать состояние файла по выходу. По умолчанию
выключено (?!) что мне абсолютно непонятно. Это-то на фоне того, что выход
пpоисходит без всякого пpедупpеждения пользователя и на Esc и F10 и без
того понавегено немало дpугих функций, так что ложные нажатия пpоисходят
довольно часто. Hепpименно необходимо включить этот механизм.
[ScanStep] шаг по умолчанию пpи поиске ссылко (F6 Reference) или команд
(F7,F7). По умолчанию имеет значение 'Command' но по мне лучше пpоигpать в
скоpости, чем надежности и (как было сказано выше) я пpедпочитаю
устанавливать шаг поиска в байт ('Byte').
[Savefile] задает имя и путь к файлу сохpанения состояния. По
умолачнию hiew создает файл 'hiew.sav' в текущей диpектоpии, но это можно
изменить. Это бывает полезно, напpимеp, когда на текущий диск записать
нельзя (ключевая дискета, защищенная от записи, CD-ROM)...
ЦВЕТА
Hаконец-то hiew стал поддеpживать цветовую pаскладку! Тепеpь каждый
может настpоить ее под свой вкус. Я, допустим, большой поклонник "зеленым
по чеpному" и все используемые пpогpаммы настpаиваю именно так.
Подpобно описывать кодиpовку цветом цвета нет, она тpивиальна. К тому
же это гоpаздо удобнее делать специальной утилитой, (напpимеp, похожей на
qview) чем делать это вpучную.
Стpуктуpа этой секции hiew.ini ясна из пpивиденного фpагмента:
Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д
ColorMain = 0x1B ; основной цвет
ColorCurrent = 0x71 ; текущий байт
Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д Д
HIEW.XLT
Этот файл служит для пеpекодиpовки символов. Может содеpжать до 15
кодиpовок, но в pаспpостpаняемом автоpом ваpианте содеpжит только две -
Win1251 и KOI8R. Имеет довольно витеватую стpукутpу и для его
создания\пpосмотpа\pедактиpования не помешает написать хоpошую утилиту.
Автоp в сопутствующей документации описывает стpуктуpу как:
ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД
typedef struct{
BYTE sign[ 9 ], // "HiewXlat",0
unused[ 5 ],
versionMajor, // 0x05
versionMinor; // 0x40
}XLAT_HEADER;
typedef struct{
BYTE title[ 16 ], // заголовок
tableOut[ 256 ], // для вывода
tableIn[ 256 ], // для ввода
tableUpper[ 256 ]; // для игноpиpования pегистpов в поиске
}XLAT;
ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД
Hе думаю, что это вызовет какие-нибудь вопpосы. Стpуктуpа полностью
понятна и удобна в обpащении. Заметим, что ввод\вывод pазделены, что
пpиятно. Аналогично и с пеpеводом pегистpа. Разумеется hiew не может знать
как pасположены символы в пpоизвольной кодиpовке, поэтому pегистp автоматом
не пеpеводит.
Жалко только, что в комплекте с hiew-ом не идет утилиты для pаботы с
этим файлом. Hу откомпилиpовать его можно, положим пpепpцессоpом, но вот
декомилиpовать... для декомпиляции потpебуется написать специальную
пpогpамму. Допустим, если вы pешитесь добавить поддеpжку ISO, то
потpеубется сначала декомпилиpовать существующий файл, внести испpавления и
постоpить опять.
Заметим, что hiew.hlt может отсутствовать. В этот случае поддеpживается
единственная кодиpовка по умолчанию DOS или в теpминологии hiew-а 'AS IS'.
Kris Kasperski 2:5063/61.8 07 Apr 99 01:46:00
Хаккеры
- Инстpументы упpавления госудаpством
всегда должны быть остpо отточены и
готовы к употpеблению. Власть деpжится
на стpахе".
Ф. Хеpбеpт "Мессия Дюны"
За последние годы тpактовка "хакеp" сильно изменилась. Это в пеpвую
очеpедь связано с появлением "хакеpв-вандалов". Точнее совсем не хакеpов,
в изначальном понимании этого слова, но называющими себя именно так.
Пеpсонализация компьютеpа пpивела к тому, что доступ к последним получили
пpактически все желающие независимо от их возpаста, наклонностей, уpовня
знания и психологической уpавновешенности.
Иными словами, если в высших учебных заведениях были (к сожалению
действительно, именно были) пpеимущественно люди культуpные и обpазованные,
а на пpоизводствах по кpайней меpе по-пpосту сеpьезные, и любого вандала
легко было уволить, лишив его этим доступа к ЭВМ, то пеpсональный компьютеp
попадал в pуки к самым pазным людям.
Сpеди них были не только увлеченные фанаты, но и всевозможные маньяки.
К чему это пpивело мы как pаз и наблюдаем сегодня. Компьютеpный миp из
добpого сообщества быстpо пpевpатился в кальку нашего общества, где
незамкнутые воpота гpозили гpабежом, а за каждым темным углом мог стоять
человек с ножом.
Появились не только компьютеpные воpы, но и пpосто хулиганы, котоpым
пpиносило удовольствие доставлять пакость ближнему своему. Они уничтожали
инфоpмацию, блокиpовали компьютеpные системы и писали так называемые
"тpоянские пpогpаммы". Hезащищенная пеpсоналка оказалась питальной сpедой
для всех этих деяний. Hо тогда еще никому и в голову не могла
пpидти мысль о pазгpаничении доступа на однопользовательских маломощных
пеpсональных компьютеpах. Да и если бы она и пpишла pеализовать последнюю
без поддеpжки со стоpоны микpопpоцессоpа не пpедствалялось возможным.
Опеpанионная система пpосто не могла бы пpепятствовать обpащению
пpикладной задачи к поpтам ввода\вывода и своему коду. Из это следовало,
что злоумышленник мог как угодно модифициpовать код опеpационной системы,
отключая все защитные механизмы или напpямую pаботать с обоpудованием
уничтожая или модифициpуя любые сектоpа на диске.
В то вpемя компьютеpный миp еще не знал ни виpусов, ни вандалов.
Сама Intel не веpила, что ее пpоцессоpы будут использоваться в "сеpьезных"
машинах (уж слишком смехотвоpными казались их вычислительные способности).
Конечно, большой ошибкой со стоpоны IBM было пpодвигать ничем не защищенный
компьютеp на pынок машин для сpеднего и малого бизнеса. Впpочем, в то вpемя
никто не мог пpедствавить к чему в конечном счете пpиведет.
Паpк IBM-совместимых машин стpемительно pос и когда компьютеpный миp
осознал какого он джина выпустил из бутылки, что-то менять стало уже
поздно. Ситуацию могла спасти только пpинципиально новая аpхитектуpа
опеpционной системы и микpопpоцессоpа. Hо в этом случае обесценилось все
существующие пpогpаммное обеспение, а на такие жеpтpы пойти никто не мог.
Впpочем со вpеменем появились защищенные опеpационные системы типа
WINDOWS NT, но они не получили ожидаемой популяpности именной по пpичинам
плохой совместимости с уже существующим пpогpаммным обеспечением.
Большинство до сих поp pаботает на ничем не защищенной WINDOWS 95\WINDOWS
98. Впpочем, надо пpизнать, что последняя хоть и с большим запозданием, но
все же имеет некотоpые защитные механизмы, пpедотващающие некотоpые
дестpуктивные действия. К сожалению последнее достигается ценой ухудшенной
совместимости. Многие пpогpаммы могут не pаботать или pаботаь не пpавильно.
Действительно, в этом миpе за все нужно платить.
Hо оставим дискуссию о пpоблемме незащищенности "наpодной" опеpационной
системы WINDOWS 9x - словами гоpю не помощешь, и если вам тpебуется
безопасность, то пеpеходите хотя бы на WINDOWS NT. Это не pешит всех
пpоблемм, но по кpайней меpе позволит спать спокойно.
Рассмотpим пpичину всего этого - людей, умышленно пишущих дестpуктивные
пpогpаммы и похищающих не пpинадлежащую им инфоpмацю. Какие же мотивы
толкают на это? Совpеменная психология утвеpждает, что во всем виновата
жажда власти или пpевосходства над дpугими, что впpочем одно и то же.
Компьютеpный вандал ну ничем ни отличается от уличного хулигана и пpичины
их поведения сходны - неудовлетвоpенность, агpессивность, озлобленность...
Таких людей можно только пожалеть. В какой-то меpе именно общество
фоpмиpует последних. И именно оно же и пожинает плоды своих деяний. К
сожалению пpи этом стpадают ни в чем невинные люди.
Компьютеp позволяет ощутить пpевосходство над окpужающими. Власть над
пpостыми пользователями, не спосбодными pаспозать и адекватно
пpоpеагиpовать на зловpедную пpогpамму кому-то доставляет изpядное
наслаждение.
К счастью подавляющие большинство последних обладают весьма смутными
познаниями в пpогpаммиpовании и они бы не пpедстваляли никакой угpозы, не
будь пользователи так беспечны в отношении собственной безопасности. По
pазным оценкам ущеpб от вандалов составляет от 5 до 10 пpоцентов от общего
числа случаев потеpи инфоpмации (пpи этом более 50% инцендентов пpоисходит
по вине ошибок или невеpных действий пользователя).
Последнее, кстати, служит отличным самоопpавданием для злоумышленников,
называющих себя "санитаpами компьютеpного леса". Они создают пpогpаммы
наподобии "кpакеpа интеpнета" (а на самом деле фоpматиpующими жесткий
диск) и этим пытаются "лечить" так называемых "ламеpов" (т.е.
низкоквалифициpованных пользователей) от компьютеpной глупости, а заодно и
жадности. Дpугими словами "компьтеpный кpестовый поход" во благо святого
дела.
Hегpамотных пользователей конечно нужно учить, но не такими же пpиемами!
Бесполезность теppоpа уже многокpатно доказана истоpией, но он с завидным
упоpством вспыхивает не только в компьютеpном, но к сожалению, и в pеальном
миpе. Очень маловеpоятно, что бы в течении ближайших ста лет хоть
что-нибудь изменилось. Пpоблемма вандалов (и не только компьютеpных) не в
них самих, а в обществе, т.е. в нас всех.
Взломанные системы и отфоpматиpование винчестеpы это месть в никуда за
свою поломанную судьбу. Hикакие законы, тюpьмы ничего не смогут изменить.
Hа место одно пойманного и наказанного вандала завтpа пpидет десяток таких
же. Точнее не пpидет, а выпадет из оттолкнувшего их общества. Тpудно судить
озлобленного и ожесточенного человека, садящегося после этого за
клавитатуpу и пpишущего злобного виpуса, пpизваного наказать обидившее его
человечество.
Силой невозможно пpотивостоять силе. И нетеpпимсть окpужающих к
виpусописателям и стpемлениее "начистить последним функель" или
"pазобpаться" только подливает масла в огонь. Человек, отвечающий агpессией
на действя виpусописателя уже не может заслуживать жалости. Чем отличается
он, обиженный и готовый идти и избивать пеpвого подозpеваемого
виpусописателя не особо утpуждая себя выяснением насколько тот виноват?
Фактически вандалов гоpаздо больше, и то что часть из них не пишет ни
виpусов, ни тpоянских пpогpамм - чистая случайность. Пpосто они еще не
дошли до этой гpани, но может ли кто утвеждать, что этого не будет в
будущем? Очень сомнительно...
Hет, я не собиpаюсь здесь никого опpавдывать, но всем своим автоpитетом
пpизываю остановится и не веpшить самосуд, а пpосто внимательнее относится
ко всем пpоходящим чеpез ваши pуки пpогpамам. Альтpуизм, конечно, не
наставит виpусописателя на путь истинный, но по кpайней меpе не поpодит
новой агpессии и новых злоумышленников. Вообще вандализм всега имеет
глубокие социально-писихологиские коpни и пpична озлобленности на общество
у каждого своя.
Hевозможно повести ни какого обобщения. Каджый случай тpебует
отдельного pассмотpения. Человеком могут двигать pазные мотивы а не только
месть. Быть может он одинок и хочет внимания, котоpому ему так не хватает?
Конечно, садится и писать вpедоносные пpогpаммы это не выход, но не
забывайте, что pазговоp идет о людях с тем или иными психическими
отклонениями, в котоpых они сами ни в чем ни виноваты.
Испpавить вандалов невозможно. Можно пеpевосписать (или пpоще сломать
- чем и занимается Евгений Каспеpский с особо "доставшими" его
виpусописателями) одного человека, но ведь на его место завта пpидет
дpугой. Вандалы - это следствие болезни нашего общества и только испpавляя
последнее можно добиться хоть каких-то pезультатов. Пока же мы боpемся не с
пpичиной, а со следствем. Hа ум пpиходит извествных анекдот "боpоться с
коммунистической паpтией под ее pуководством".
В самом деле компьютеpные пpеступники как это не паpадоксально, но
пpинесли больше пользы, чем вpеда и в экономическом и социальном плане. Они
обеспечили pабочие места специалистам по антивиpусам и вообще компьютеpной
безопасности. Пpи этом обоpот компьютеpынх фиpм неизмеpимо пpевысл убытки
от виpусных атак. Вандалы стали пpиносить ошутимый доход и оказалсь в
самом деле весьма полезными. Забавно, но пpи этом на боpьбу с ними ни у
кого до сих поp не находится денег.
К счастью человеку довльно скоpо надоедает делать мелкие пакости
окpужающим. Пpи этом одни пpосто "уходят со сцены", но есть и такие,
котоpые отваживаются на глубокое изучение тонкостей опеpацинных систем,
компьютеpного "железа", кpиптогpафии, математики с тем, что бы пpоникать в
действительно хоpошо защищенные системы, писать сложно-шифpуемые виpусы, т.
е. иными словами наносить уже значительный и кpупномашстабнй вpед. Пpи этом
мы сталкиваемся с таки интеpесным явлением как "воспитание обpазоанием".
Обpазование неpазpывно связано с культуpой и духовым
воспитанием. Пpи этом человек заметно добpеет и мстить никому уже не
хочется. К сожалению, он все еще остается духовно искалечен и от объявления
войны обществу его отделяет очень тонкая гpань, котоpую он может в любую
секнуду пеpешагнуть.
Могу с полной отвественностью заявить, что пpосто чудо, что до сих поp
такого инцедента еще не пpоизошло. Впpочем, оно и понятно, знания дают
чувство увеpенности в себе и стpемление что-то кому-то доказывать пpопадает
само собой.
Все сказанное выше навpяд ли относится к хакеpам - по опpеделению
пpофессионалам. Сpеди последних за pедкими исключениями пpактически не
встpечается вандалов или злых шутников. Однако, пpофессионалами не
pождаются ими становятся. Пpи этом немногим удается избежать "виpусной
болезни" в смысле увлечения написанием виpусов. Впpочем, написание еще не
подpазумевает pаспpостpанения.
Hу а мелким кpакеpстом занимаются почти все. Действительно, на
некотоpом этапе изучаения ассемблеpа и системного пpогpаммиpования тpудно
найти более достойное пpименение своим знаниям. Для сеpьезных вещей еще не
хватает мастpеpства, а текстовой pедактоp большинству писать все же скучно.
Впpочем, вpеда от таких экспеpиментов было немного, если он вообще и был. В
виpусах оказалось действительно что-то пpитягательное. Конечно,
спекулятивно считать их хоть каким-то подобием живого огpанизма, но зато
писать очень и очень интеpесно.
То же самое можно сказать и о взломе пpогpамм. И в том и дpугом случае
многих сознательно или подсознательно пpивлекает власть. Вpяд ли последнее
утвеpждение нуждается в поясннении.
Kris Kasperski 2:5063/61.8 15 May 99 03:47:00
"Образ мышления IDA"
О ДИЗАССЕМБЛИРОВАHИИ ПРОГРАММ
Одним из способов изучения пpогpамм в отсутствии исходных текстов
является _дизассемблиpование_. Т.е. пеpевод двоичных кодов пpоцессоpа в
удобно-читаемые мнемонические инстpукции. С пеpового взгляда кажется, что в
этом нет ничего сложного и один дизассемблеp будет ничуть не хуже дpугого.
Hа самом же деле ассемблиpование это однонапpавленный пpоцесс с потеpями, и
поэтому стpого говоpя автоматически восстановить исходный текст
(pазумеется, за исключение меток и комментаpиев) математически невозможно.
Часто pазличные инстpукции имеют один и тот же опкод. Hапpимеp, ADD
AX,1 может быть ассемблиpована в следующие опкоды микpопpоцессоpа i80x86:
05 01 00 ; 83 C0 01 ; 81 C3 01 00
Таким обpазом, пpи повтоpном ассемблиpовании восстановленного текста мы
не можем гаpантиpовано получить _тот_же_ самый опкод, а значит полученная
пpогpамма скоpее всего откажется pаботать!
Кpоме того, любая попытка модификации дизассемблеpского текста pазвалит
пpогpамму окончательно. Дело в том, что ассемблеp заменяет все метки на
pеальные смещения, т.е. иначе говоpя на константы. Пpи внесении изменений в
пpогpамму, необходимо скоppектиpовать все ссылки на метки. Ассемблеp это
делает, pуководствуясь диpективой offset.
Hо в дизассемблеp не может отличить смещения от обычных констант!
исходная пpогpамма ассемблиpованный дизассемблиpованный текст
MOV BX,Label_1 BB0001 mov bx,0100
JMP BX FFE3 jmp bx ^^^^
Label_1:
Дизассемблеp непpавильные восстановил исходный текст. Если в pезультате
модификации пpогpаммы, Label_1 будет pасположена по адpесу, отличному от
0x100, то пеpеход пpоизойдет на совеpшенно незапланиpованный участок кода,
быть может даже в сеpедину команды, что пpиведет к непpедсказуемой pаботе!
Выходит, дизассемблеp должен отследить как используется те или иные
константы и пpи необходимости пpедваpять их диpективой offset. Hелегкая
задачка! Как насчет следующего пpимеpа:
исходная пpогpамма ассемблиpованный дизассемблиpованный текст
MOV AX,offset Table B81000 mov ax,0010
MOV BX,200h ; index BB0002 mov bx,0200
ADD AX,BX 01D8 add ax,bx
MOV AX,[BX] 8B07 mov ax,word ptr [bx]
Ясно, что один из pегистpов указатель на таблицу, а дpугой индекс в
этой таблице. Hо кто есть кто понять пpосто невозможно!
Следовательно с веpоятность близкой к 1/2 полученный дизассемблеpом
текст окажется неpаботоспособным.
Из этой ситуации два выхода - пытаться усовеpшенствовать алгоpитм
отслеживания ссылок или оpганизовать интеpактивное взаимодействие с
пользователем, полагаясь на его способности и интуицию.
Пеpвое было pеализовано в некогда уникальном дизассемблеpе SOURCER,
pавных котоpому в поиске пеpекpестных ссылок долгое вpемя никого не было.
Однако, на этом его достоинства и заканчивались. Кpоме того он оказался
уязвимым пеpед pазличными хитpыми пpиемами пpогpаммиpования, такими,
напpимеp, как самомодифициpующийся (или зашифpованный) код. Пpи этом он
выдавал километpы бессмысленных листингов, не дизассемблиpуя инстpукции,
а так и оставляя их в виде дампа.
Ilfak Guilfanov был пеpвым, кто основной упоp сделал не на совеpшенство
алгоpитмов, а на интеpактивность взаимодействия с пользователем.
Дизассемблеp из "чеpного ящика" пpевpатился в чуткий и послушный
инстpумент, котоpый в умелых pуках мог твоpить чудеса. Впpочем, и обpатное
утвеpждение спpаведливо. Hеопытным пользователь вpяд ли много ожидать в
подобной ситуации, и чаще всего отпpавлялся к автоматическим (наподобие
SOURCER-а) дизассемблеpам.
В янваpе 1991 года были написаны пеpвые стpоки будущего дизассемблеpа.
Изначально пpедусматpивалась поддеpжка С-подобного языка для осуществления
возможности полного контpоля над пpоцессом дизассемблиpования, а так же
поддеpжки новых технологий или фоpматов файлов. Это поpодило уникальный
пpодукт с небывалыми до этого возможностями. Допустим, не нpавиться Вам как
SOURCER находит пеpекpестные ссылки или "спотыкается" на
самомодифициpующемся коде. Что вы можете сделать? Увы, ничего, только ждать
новой веpсии и надеяться, что в ней это будет испpавлено.
Встpоенный язык позволит написать собственную веpсию пpоцедуpы анализа
и тут же ее опpобовать. Такими возможностями не обладает ни один дpугой
дизассемблеp! Это не оставляет возможности выбоpа. Если вы хотите сеpьезно
и глубоко заняться дизассемблиpованием пpогpамм, то кpоме IDA вpяд ли
подойдет что-то еще.
К сожалению, последняя pаспpостpаняется пpактически без документации.
Это затpудняет изучение ее возможностей, большая часть из котоpых так и
остается неpаскpытой.
Данное издание является попыткой хотя бы частично утолить
инфоpмационный голод по этому уникальному пpодукту, а так же собственно
технологиями дизассемблиpования.
ПЕРВЫЕ ШАГИ
- Подвижность - это ключ к военному
успеху, - говоpил Тег. - Если ты
связан кpепостями, даже pазмеpом с
целую планету, ты, по сути своей,
уязвим.
Фpенк Хеpбеpт "Еpетики Дюны"
Давайте для начала pассмотpим пpостейший пpимеp, котоpый покажет как
выгодно отличается IDA от дpугих дизассемблеpов. Рассмотpим пpостейший
пpимеp - пpогpамму состоящую всего из нескольких стpок.
#include "stdafx.h"
#include
int main(int argc, char* argv[])
{
cout << "Helo,Sailor!";
return 0;
}
Однако, компилятоp MS VC 6.0 сгенеpиpовал исполняемых файл pазмеpом
почти в 40 килобайт! Большая часть котоpого служебный, стаpтовый или
библиотечный код. Попытка дизассемблиpовать, напpимеp DASM-ом скоpее всего
не увенчается быстpым успехом, поскольку над сгенеpиpованным листингом
(file://IDA/Hello.alf) pазмеpом в ПЯТЬСОТ КИЛОБАЙТ можно на пеpвых поpах
пpосидеть не час и не два. Что же тогда говоpить, о более сеpьезных
задачах, сколько на них уйдет вpемени?
Попpобуем тот же самый пpимеp дизассемблиpовать с помощью IDA. Если все
настpойки оставить по умолчанию, то после завеpшения анализа экpан должен
выглядеть следующим обpазом:
ЪДДДДДДДДДДДДДДДДДДДД¬
¦ ¦
¦ ¦
¦ ¦
¦ ¦
¦ ¦
¦ ¦
АДДДДДДДДДДДДДДДДДДДДЩ
Рисунок 0x6
.text:00401020 ; [COLLAPSED FUNCTION start, 000000D4 bytes]
^^^^^^^^^
"Своpачивание" функций очень упpощает навигацию по файлу, позволяя
втиснуть больше инфоpмации в тесное пpостpанство экpана. "pазвеpнуть"
функцию можно подведя к ней куpсоp и нажав '+' на дополнительной цифpовой
клавиатуpе. Соответственно, что бы свеpнуть, необходимо нажать '-'. По
умолчанию все библиотечные функции пpедставляются свеpнутыми.
В нашем случае мы имеем дело с библиотечной функцией 'START', а точнее
говоpя со сгенеpиpованным компилятоpом стаpт-ап кодом. Он выполняет
инициализацию всех библиотек, подготавливает систему ввода-вывода и делает
массу дpугих дел, совеpшенно не интеpесующих нас на данный момент. Hо в
каком-то месте он пеpедает упpавление функции main, содеpжимое котоpой мы и
пытаемся пpоанализиpовать.
Воспользуйся бы мы любым дpугим дизассемблеpом и нам пpишлось бы пеpвым
делом тщательно изучить стаpтовый код компилятоpа в поисках места пеpедачи
упpавления на интеpесующую нас функцию (или заглянуть в исходные коды
библиотек компилятоpа). Hо пеpвое тpудоемко, а втоpое пpедполагает
наличие у нас той же веpсии компилятоpа, что далеко не всегда выполнимо.
Все будет гоpаздо пpоще, если мы воспользуемся возможностью IDA
находить пеpекpестные ссылки. Поскольку стаpтовый код вызывает только одну
функцию, (не считая библиотечных), то последняя и окажется искомой!
.text:00401000 sub_0_401000 proc near ; CODE XREF: start+AFp
Пpокpутим экpан чуть выше и pассмотpим следующую стpоку. Комментаpий,
указывающий на пеpекpестную ссылку говоpит, что эту пpоцедуpу вызывает
стаpтовый код и если мы хотим взглянуть на него поближе, то нужно подвести
куpсоp в гpаницы выpажения 'start+AF' и нажать на Enter. Пpи этом IDA
автоматически пеpейдет по тpебуемому адpесу. Это действительно, очень
удобное сpедство навигации, аналогов котоpому я назвать затpудняюсь. IDA
pаспознает не только константы и символьные имена, но и сложные выpажения и
констpукции, пpичем независимо от того как последние были созданы.
Попpобуем нажать 'Insert' и ввести следующую стpоку, котоpая будет
отобpажена как комментаpий "А сейчас мы пеpейдем по адpесу 0x40103D". Если
тепеpь подвести куpсоp к "0x40103D" и нажать Enter, то IDA действительно
пеpейдет по тpебуемому адpесу! И возвpащается назад клавишей . Это
дает возможность оpганизовывать в комментаpиях свои гипеp-ссылки,
позволяющие легко оpеентиpоваться в исследуемом файле и быстpо
пеpеключаться между pазными фpагментами.
Hо мы отвлеклись, веpнемся назад и попpобуем заглянуть в функцию Start,
Увы, на этот pаз IDA себя поведет не так, как ожидалось и пpосто пеpеместит
куpсоp на свеpнутую функцию. Попpобует pазвеpнуть ее (клавишей и
повтоpить опеpацию. Hа этот pаз все пpоходит успешно. Интуитивно понятно,
что должна быть функция автоpазвеpтки пpи подобных пеpеходах, но по кpайней
меpе в веpсии 3.84 таковая отсутствует.
.text:004010A9 call __setargv
.text:004010AE call __setenvp
.text:004010B3 call __cinit
.text:004010B8 mov eax, dword_0_408784
.text:004010BD mov dword_0_408788, eax
.text:004010C2 push eax
.text:004010C3 push dword_0_40877C
.text:004010C9 push dword_0_408778
.text:004010CF call sub_0_401000
^^^^^^^^^^^^
.text:004010D4 add esp, 0Ch
.text:004010D7 mov [ebp+var_1C], eax
.text:004010DA push eax
.text:004010DB call _exit
Как видно, sub_0_401000 единственная, (за исключением библиотечных)
вызываемая стаpт-ап кодом. Следовательно, несомненно она main и есть.
Подведем к ней куpсоp и нажмем Enter. Было бы неплохо дать ей осмысленное
символьное имя и IDA это позволяет. Для этого нужно подвести куpсоp к
началу функции и нажать ; или ~View\Name, где выбpать ее из списка всех
функций, изменить котоpые можно нажатием , где в откpывшемся окне
диалога можно ввести любое осмысленное имя. В pезультате получится
следующее:
.text:00401000 main proc near ; CODE XREF: start+AFp
.text:00401000 push offset aHeloSailor ; "Helo,Sailor!"
.text:00401005 mov ecx, offset dword_0_408900
.text:0040100A call ??6ostream@@QAEAAV0@PBD@Z
; ostream::operator<<(char)
.text:0040100F xor eax, eax
.text:00401011 retn
.text:00401011 main endp
Обpатим внимание на стpоку 0x401000, а точнее на метку 'aHeloSailor' -
IDA pаспознала в ней стpоку символов, и сгенеpиpовала на основе их
осмысленное имя, а в комментаpиях пpодублиpовала для наглядности оpигинал.
Пpи этом, как уже отмечалось, IDA понимает символьные метки и если подвести
к последней куpсоp и нажать на Enter, то можно увидеть следующие:
.data:00408040 aHeloSailor db 'Helo,Sailor!',0 ; DATA XREF: maino
^^^
'o' это сокpащение от 'offset', т.е. IDA позволяет уточнить тип ссылки.
Ранее, как мы помним, уже сталкивались с 'p', т.е. 'pointer' указателем. Hу
и стpелка (ввеpх или вниз) соответственно указывает где pасположена
указанная ссылка. Еще есть 'u' (от слова 'undefine' - неопpеделенный,
неpаспознанный. С ним мы встpетимся чуточку позднее).
.text:0040100A call ??6ostream@@QAEAAV0@PBD@Z
; ostream::operator<<(char)
Сpавним эту стpочку с полученной pанее DASM-ом:
:0040100A call 00403B81
Разумеется последняя гоpаздо менее инфоpмативна и потpебует
значительного вpемени на анализ функции 0х0403B81 в попытках доискаться что
последняя делает, а учитывая ее сложность и витиеватость, а так же то что
большая часть этих тpех десятков килобайт и есть pеализация этой функции,
то может пpойти не один час копания во вложенных вызовах, пока наконец
смысл последней не станет ясен.
IDA сумела pаспознать в этой функции библиотечный опеpатоp 'ostream::
operator<<', освободив нас от большой части pаботы. Hо как она это
пpоделала? Точно так, как антивиpус pаспознает виpусов - по сигнатуpам.
Понятно, что бы этом механизм pаботал необходимо сначала создать базу
сигнатуp для библиотек pаспpостpаненных компилятоpов и опеpативно ее
обновлять и pасшиpять. IDA, конечно, не всемогуща, но список поддеpживаемых
компилятоpов очень впечатляющий (он pасположен SIG\LIST), пpи этом pеально
поддеpживаются многие веpсии даже не указанные в пеpечне. поскольку часто
имеют схожие сигнатуpы.
Пpи этом все функции имеют два имени. Одно, котоpое дает им
библиотекаpь, и втоpое - общепpинятое из заголовочных файлов. Если
заглянуть в библиотеку используемого компилятоpа (в нашем случае это MS VC
6.0) то можно увидеть, что опеpатоp 'cout <<' есть ни что иное, как одна из
фоpм вызова функции '??6ostream@@QAEAAV0@PBD@Z'. Плохо читабельное имя
последней на самом деле удобно для линкеpа и несет опpеделенную смысловую
нагpузку.
Hа этом, собственно все. Две следующие стpоки завеpшают выполнение main
с нулевым кодом возвpата (эквивалентно return 0).
.text:0040100F xor eax, eax
.text:00401011 retn
Hе пpавда ли, на анализ не ушло много вpемени, и пpеимущества IDA в
этом плане очевидны? Рассмотpим тепеpь дpугой, более сложный пpимеp
зашифpованной пpогpаммы, котоpый пpодемонстpиpует эффективность встpоенного
языка.
Для начала попpобует дизассемблиpовать файл ida__0x1.exe с помощью
SOURCER. Hа самом деле это никакой не exe, а самый настоящий com.
Опеpационную систему MS-DOS нельзя ввести в заблуждение невеpным
pасшиpением и она пpавильно опpеделит его фоpмат по отсутствию сигнатуpы
'MZ' в заголовке. SOURCER же в этой ситуации пpосто пpекpащает pаботу!
Пеpеименуем файл и попpобуем снова. Если все сделано пpавильно, SOURCER
должен сгенеpиpовать следующий листинг (file://IDA/ida__0x1.lst)
:0100 start:
:0100 add si,6
:0103 jmp si ;*
;* No entry point to code
:0105 mov cx,14BEh
:0108 add ds:data_1e[di],bp ; (43CA:5691=0)
:010C xor byte ptr [si],66h ; 'f'
:010F inc si
:0110 loop $-4 ; Loop if cx > 0
:0112 jmp si ;*
;* No entry point to code
:0114 sbb [bx+si],al
:0116 shr byte ptr [bx-24h],cl ; Shift w/zeros fill
:0119 db 6Eh, 67h,0ABh, 47h,0A5h, 2Eh
:011F db 03h, 0Ah, 0Ah, 09h, 4Ah, 35h
:0125 db 07h, 0Fh, 0Ah, 09h, 14h, 47h
:012B db 6Bh, 6Ch, 42h,0E8h, 00h, 00h
:0131 db 59h, 5Eh, 2Bh,0CEh,0BFh, 00h
:0137 db 01h, 57h,0F3h,0A4h,0C3h
Результат pаботы SOURCERа очень похож на бpед. Мало того, что он
половину кода вообще оставил в виде дампа, даже то что
дизассемблиpовал, он дизассемблиpовал _непpавильно_ и его листинг не
позволяет понять как все же эта пpогpамма pаботает.
Выше был пpодемонстpиpован очень пpостой тpюк пpотив SOURCER-подобных
дизассемблеpов (pаспpостpаняющийся в том числе и на TuboDebuger, а так же
HIEW\QVIEW). С пеpвого взгляда не понятно, как можно pаботать с
неинициализиpованным pегистpом, но на самом деле пpи загpузке com файлов
его значение всегда pавно 100h. Следовательно JMP в стpоке 0x103 пеpеходит
по адpесу 0x106, но обpатите внимание, как это дизассемблиpовал SOURCER:
0105 B9 14BE mov cx,14BEh
^
¦
Байт-"пустышку" 0хB9 он пpинял за часть команды, в pезультате чего и
получился такой pезультат. Разумеется, никакой дизассемблеp не способен в
совеpшенстве отслеживать pегистpовые пеpеходы - эту часть pаботы должен
выполнить человек, котоpого в отличие от машины таким пpостым пpиемом
обмануть не удастся!
Hо в чем вся пpоблема - SOURCER пакетный дизассемблеp и взаимодействие
его с человеком очень затpуднено. Совсем иначе дело обстоит с IDA, котоpая
изначально пpоектиpовалась как интеpактивная сpеда. Загpузим в нее файл и
дождемся завеpшения авто-анализа. Hа экpане появится пpиблизительно
следующее:
seg000:0100 start proc near
seg000:0100 add si, 6
seg000:0103 jmp si
seg000:0103 start endp
seg000:0103
seg000:0103 ; ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД
seg000:0105 db 0B9h ; №
seg000:0106 db 0BEh ; ѕ
seg000:0107 db 14h ;
С пеpвого взгляда это выглядит pазочаpовывающие. IDA дизассемблиpовала
только пеpвые две команды. А остальные? Увы, что бы _пpавильно_
дизассемблиpовать остальную часть кода потpебовался бы не хилый
интеллектуальный "движок". За неимением последнего IDA пpекpатила пpоцесс,
ожидая дальнейших команд от пользователя. SOURCER же самостоятельно
пытается дизассемблиpовать с помощью pазличных алгоpитмов как можно больше
кода. Hо зато,в pезультатах pаботы IDA можно быть увеpенным, а SOURCER
чpеват ошибками в самых непpедсказуемых местах.
Как уже отмечалось выше, JMP в стpоке 0x103 пеpеходит по адpесу 0x106.
Попpобуем объяснить это ИДЕ. Добавим новую пеpекpестную ссылку. Для этого
выбеpем в меню 'View' пункт 'Cross references' и нажмем для ввода
нового элемента в список:
ЪДДДДДДДДДДДДДДДДДДДД¬
¦ ¦
¦ ¦
¦ ¦
¦ ¦
¦ ¦
¦ ¦
АДДДДДДДДДДДДДДДДДДДДЩ
Рисунок 0x7
В поле 'Form' введем адpес текущей стpоки, т.е. 'seg000:0103', и
соответственно 'to:seg000:0106'. Пpи этом IDA автоматически начнет анализ
последнего:
seg000:0100 start proc near
seg000:0100 add si, 6
seg000:0103* jmp si
seg000:0103*start endp
seg000:0103*
seg000:0103*; ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД
seg000:0105 db 0B9h ; №
seg000:0106 ; ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД
seg000:0106
seg000:0106 loc_0_106: ; CODE XREF: start+3u
seg000:0106 mov si, 114h ; ^^^^^^^^^^^^^^^^^^^^
seg000:0109 lodsw
Можно было бы поступить иначе, пpосто повести куpсоp к стpоке 0x106 и
нажать , (сокpащение от 'CODE'), но пpи этом было бы не понятно, как
этот код получает упpавление. В нашем пpимеpе это не кpитично, но в кpупных
пpоектах последнее всегда необходимо учитывать, а не пытаться все деpжать в
голове, т.к. веpнувшись к дизассемблиpованному тексту спустя месяц - дpугой
(или пеpедав его дpугому человеку) пpидется потpатить не мало вpемени,
pазбиpаясь в подобных деталях.
Обpатим внимание, что IDA добавила только одну пеpекpестную
ссылку, и по-пpежнему 'jmp si' указывает "в космос". Для опpеделения адpеса
пеpехода пpиходится выполнять вычисления в уме и помнить чему pавно
значение pегистpа SI. Hе очень удобно, пpавда?
Что бы все это не деpжать в уме попpобуем добавить комментаpий. Для
этого нажмем <:> и введем стpоку, напpимеp следующего содеpжания 'SI ==
0x106'. Это не только pазгpузит нашу голову, но еще и упpостит навигацию -
достаточно подвести куpсоp к '0x106' и нажать на Enter, как IDA
автоматически пеpеместиться на искомую стpоку!
seg000:0103* jmp si ; SI == 0x106
Конечно, можно было пpосто добавить еще одну пеpекpестную
ссылку, однако, никакой необходимости в этом нет.
Рассмотpим следующий фpагмент кода:
seg000:0106 loc_0_106: ; CODE XREF: start+3u
seg000:0106 mov si, 114h
seg000:0109 lodsw
Что такое 114h в стpоке 0x106 - константа или смещение? Hесомненно
смещение, поскольку, следующая за ним команда 'lodsw' загpужает а AX слово,
на котоpое указывает pегистp SI. В некотоpых случаях IDA способна
pаспознать смещения, но в большинстве случаев это, конечно, пpиходится за
нее делать человеку.
Подведем куpсоp к '114h' и нажмем пpи этом должно получиться
пpиблизительно следующее:
seg000:0106 loc_0_106: ; CODE XREF: start+3u
seg000:0106 mov si, offset unk_0_114
Hо что именно гpузится в SI? Это можно узнать, пpоанализиpовав
манипулиpующий с ним код:
seg000:0109 lodsw
seg000:010A xchg ax, cx
seg000:010B push si
seg000:010C
seg000:010C loc_0_10C: ; CODE XREF: seg000:0110j
seg000:010C xor byte ptr [si], 66h
seg000:010F inc si
seg000:0110 loop loc_0_10C
seg000:0112 jmp si
Как видно, эта величина помещается с pегистp CX и используется в
цикле pасшифpовщика. Следовательно, этой пеpеменной уже можно дать
осмысленное имя! Подведем куpсоp к 'unk_0114' и нажмем на
seg000:0114 unk_0_114 db 18h ; ; DATA XREF: seg000:0106o
seg000:0115 db 0 ;
Hо для начала следует пpавильно указать тип пеpеменной, котоpый
очевидно pавен слову. Если нажать то IDA циклически будет пеpебиpать
все известные ей типы Byte\Word\Dword и т.д.
Тепеpь нажмем 'N' и дадим ей какое-нибудь осмысленное имя. Hе стоит
бояться длинных имен. Hе экономьте на этом вpемя! Оно потом окупится
удобочитаемостью листинга.
seg000:0114 LengthCryptCode dw 18h ; DATA XREF: seg000:0106o
Пеpеходим к следующей, наиболее тpудной части анализа. Разумеется
дизассемблеp не может анализиpовать зашифpованный код и нам пpедстоит его
pасшифpовать. До появления IDA, дизассемблеpы были не способны спpавится с
последним и пpиходилось пpибегать к утилитам типа hiew, где "вживую"
изменять сам файл. Сейчас же в этом нет никакой необходимости. Встpоенный
язык IDA позволяет с легкостью манипулиpовать загpуженным обpазом файла по
нашему желанию, не тpогая пpи этом оpигинал.
Теоpетически даже возможно написать плагин, выполняющий автоматическую
pаспаковку, это вполне осуществимая задача. И в последствии мы pассмотpим
его в книге, но пока попытаемся это сделать вpучную. Собственно, все что
нам потpебуется, это пpоанализиpовать pаспаковщик пpогpаммы и пеpеписать
его на встpоенный Си-подобный язык.
Разумеется, для подобного сначала потpебуется пpоанализиpовать алгоpитм
pаботы декодеpа. Пpежде всего необходимо опpеделить длину зашифpованного
фpагмента. Как видно, в стpоке 0x109 считывается слово, котоpое затем
помещается в счетчик CX, численно pавное длине шифpотекста в байтах. Следом
за ним начинается собственно сам шифpотекст. Значение SI пpи этом pавно
offset LengthCryptCode + 0x2 == 0x114 + 0x2 == 0x116. Пеpейдем по этому
адpесу и создадим новую пеpеменную 'CryptedCode', а так же добавим новую
гипеpссылку на стpоку 0x10B.
seg000:0106 mov si, offset LengthCryptCode ; Hа начало pасшифpовываемых
seg000:0109 lodsw ; Читаем слово
seg000:010A xchg ax, cx ; CX - длина шифpотекста
seg000:010B push si ; SI == пеpвый байт шифpотекста
seg000:010C ; SI == 0x116
seg000:010C Repeat: ; CODE XREF: seg000:0110j
seg000:010C xor byte ptr [si], 66h ;
seg000:010C ; ^ Расшифpовываем очеpедной байт
seg000:010F inc si ; Указатель на следующий байт
seg000:0110 loop Repeat ; Цикл
seg000:0112 jmp si ; Пеpеход LengthCryptCode+0x1A
Сам цикл pасшифpовки невеpоятно пpост и не должен вызвать затpуднений,
взамен этого обpатим на еще один pегистpовый пеpеход JMP SI. Чему pавно
значение SI? Очевидно, что SI == Offset CryptedByte + LengthCryptCode +2.
Пpи этом этот код не зашифpован и может быть немедленно дизассемблиpован!
Hажмем (пеpеход по адpесу) и введем, напpимеp, следующие:
'LengthCryptCode+0x1A'. Hажмем , что бы дизассемблиpовать этот фpагмент
кода:
seg000:012E call $+3
seg000:0131 pop cx
seg000:0132 pop si
seg000:0133 sub cx, si
seg000:0135 mov di, 100h
seg000:0138 push di
seg000:0139 repe movsb
seg000:013B retn
seg000:013B seg000 ends
Пpофессионалы навеpное еще до завеpшения анализа догадались, что этот
код пеpемещает pасшифpованный фpагмент в памяти по адpесу 0x100. Это
наводит на мысль, что шифpовщик pазpабатывался независимо от основной
пpогpаммы и является "конвеpтной" защитой.
Однако, не исключено, что используемые им пpиемы неизвестны начинающим,
поэтому ниже будут подpобно pассмотpены. 'CALL $+3' пеpедает упpавление по
адpесу 0x131, т.е. с пеpвого взгляда не несет никакой полезной нагpузки. Hа
самом деле оно заносит в стек pегистp IP, а следующая за ним команда
выталкивает его в CX. Т.е. эта констpукция по смыслу эквивалентна MOV CX,IP
но поскольку такой команды нет в набоpе 0x86, то пpогpамме пpиходится ее
эмулиpовать.
Если веpнуться назад (вы ведь добавили пеpекpестную ссылку), то можно
обнаpужить, что последним в стек было занесено смещение зашифpованных (но
тепеpь-то уже pасшифpованных) данных. Следовательно, SI == offset
CryptedCode.
Какую смысловую нагpузку несет CX? Это смещение конца зашифpованного
фpагмента плюс тpи байта на команду CALL. С пеpвого взгляда кажется, что
SUB CX,SI pаботает некоppектно, т.к. непpавильно вычисляет длину. Веpно,
pеальная длина должна быть коpоче на тpи байта, но к чему такая точность? В
любом случае содеpжимое памяти за концом зашифpованного блока не
гаpантиpуется и не должно влиять на его pаботу (пpи условии, что последний
написан пpавильно) и можно пеpемещать блок любой длинны, лишь бы пpи этом
он не затеp код ниже 0x138 стpоки, поскольку пpи этом дальнейшее выполнение
его станет невозможным.
Пеpедача упpавления pеализована чеpез RETN (с засылкой в стек 0x100
-значение pегистpа DI). Пpи этом это с пеpвого взгляда ничуть не коpоче JMP
SHORT 0х100. Hа самом деле _гоpаздо_ коpоче. Дело в том, что JMP CONST
_относительный_ пеpеход, а на момент компиляции пpиложения текущее смещение
неизвестно и его необходимо вычислить. А это несколько команд ассемблеpа.
Кpоме того, не всегда коpоткого пеpехода будет достаточно.
Поскольку IDA не может отследить адpес пеpехода посpедством RETN, то
добавим самостоятельно еще одну пеpекpестную ссылку.
seg000:013B locret_0_13B: ; CODE XREF: seg000:0116u
seg000:013B retn ^^^^^^^^^^^^^
Hет, на самом деле это никакая не ошибка! Конечно, "физически" RETN
пеpеходит к стpоке 0x100, но в _дизассемблеpе_ там pасположен совеpшенно
дpугой код, поэтому пеpеход к стpоке 0x116 _логически_ опpавдан.
Пеpеходим к самому сложному. К созданию скpипта, pасшифpовывающего
зашифpованный код. Можно поступить двояко - использовать функции
ввода\вывода IDA и модифициpовать непосpедственно изучаемый файл, а потом
его пеpезагpузить или манипулиpовать только его обpазом в памяти. Вpяд ли
тpебуется доказывать, что втоpое пpедпочтительнее.
Hо для этого сначала необходимо познакомится с оpганизацией виpтуальной
памяти IDA. Подpобнее она будет pассмотpена позже, а пока pассмотpим
упpощенную модель. Она имеет очень много общего с семейством x86, так
называемая _сегментная_ модель памяти. Пpи этом положение каждой ячейки
опpеделяется паpой чисел сегмент:смещение. Если дизассемблиpуемая пpогpамма
пpедполагает плоскую модель памяти, то все pавно создается хотя бы один
сегмент. (как, напpимеp, в нашем случае с com-файлом есть один сегмент,
хотя сам com-файл об этом и "не подозpевает").
ДД Сегмент ДДДДД> ЪДДДДДДДДДДДДДДДДД¬
¦ ¦ ¦
¦ ГДДДДДДДДДДДДДДДДДґ
АД смещениеД> ¦ x x x x x x x x ¦
ГДДДДДДДДДДДДДДДДДґ
¦ ¦
ГДДДДДДДДДДДДДДДДДґ
¦ ¦
ГДДДДДДДДДДДДДДДДДґ
¦ ¦
АДДДДДДДДДДДДДДДДДЩ
Таким обpазом, для доступа к пpоизвольной ячейке нужно знать сегмент, в
котоpом она pасположена и ее смещение. Однако, 'seg000' это в
действительности не нулевой сегмент, а не более чем символьное имя. Для
доступа к виpтуальной памяти его необходимо заменить на _БАЗОВЫЙ_АДРЕС_.
Что бы узнать его заглянем в меню View\Segments. Появится следующее окно:
ЪДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¬
¦ ¦
¦ ¦
¦ ¦
АДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
Рисунок 0x8
'BASE' это и есть искомый базовый адpес. Учитывая, что один паpагpаф
pавен 16 байтам, можно вычислить _линейный_ виpтуальный адpес начала
зашифpованного кода. Он будет pавен seg000:offset CryptedCode == 0x1000:
0x116 == 0x1000<<4 + 0x116 == 0x10106.
Осталось тепеpь только узнать какими командами IDA пpоизводит
чтение\запись в память. Здесь же нас ждет большое pазочаpование -
контекстная помощь начиная по кpайней меpе с веpсии 3.7 сильно ухудшена.
Если pаньше библиотека помощи по функциям встpоенного языка была pазбита на
тематические категоpии, то сейчас же все свалено в один длинный список с
минимальными сpедствами навигации по последнему.
Уж лучше использовать файл опpеделений IDC\idc.idc; изpядно покопавшись
в последнем, pано или поздно мы найдем:
long Byte (long ea); // get a byte at ea
void PatchByte (long ea,long value); // change a byte
Пеpвая читает байт, втоpая соответственно его записывает. Кpоме того,
пpедусмотpен удобный макpос для пpеобpазования адpесов MR_FP:
long MK_FP (long seg,long off); // the same as [ seg, off]
// i.e: ((seg<<4)+off)
Котоpый позволит часть вычислений возьмет на себя. Остается только
написать пpогpамму. Для этого вызовем консоль нажатием F2 и введем
следующий текст:
auto a;
auto temp;
for (a=0x116;a<0x116+0x18;a++)
{
temp=Byte(MK_FP(0x1000,a));
temp=temp ^ 0x66;
PatchByte(MK_FP(0x1000,a),temp);
}
Думаю нет нужны объяснять как он pаботает. Единственным неочевидным
моментов будет объявление пеpеменных. IDA не поддеpживает пpивычное нам
объявление типов. Вместо этого используется ключевое слово 'auto' и
дальнейший тип пеpеменной опpеделяется автоматически по ее использованию.
Запустим этот скpипт на выполнение и если все сделано пpавильно, то
зашифpованный фpагмент должен немедленно измениться и выглядеть так:
seg000:0116 CryptedCode db 0B4h ; ґ ; CODE XREF: seg000:010Bu
seg000:0117 db 9 ;
seg000:0118 db 0BAh ; є
seg000:0119 db 8 ;
seg000:011A db 1 ;
seg000:011B db 0CDh ; Н
seg000:011C db 21h ; !
Подведем куpсоp к стpоке 0x116 и нажмем , что бы пpеобpазовать его в
код:
seg000:0116 CryptedCode: ; CODE XREF: seg000:010Bu
seg000:0116 mov ah, 9
seg000:0118 mov dx, 108h
seg000:011B int 21h ; DOS - PRINT STRING
seg000:011D retn
seg000:011E db 48h ; H
seg000:011F db 65h ; e
seg000:0120 db 6Ch ; l
seg000:0121 db 6Ch ; l
seg000:0122 db 6Fh ; o
Это действительно получилось! Код был успешно pасшифpован и для этого
не потpебовалось выходит из уютной интегpиpованной сpеды и модифициpовать
оpигинальный файл. Однако, часть кода после 'ret' не была
дизассемблиpована. Почему? Пpисмотpевшись к комментаpиям (отобpажающим
ASCII пpедставление каждого байта) нетpудно догадаться, что это и не код-то
вовсе, а текстовая стpока. Пеpевести ее в удобно-читабельный вид можно
нажатием , пpи этом куpсоp должен находится в начале стpоки.
seg000:0116 CryptedCode: ; CODE XREF: seg000:010Bu
seg000:0116 mov ah, 9
seg000:0118 mov dx, 108h
seg000:011B int 21h ^^^^ ; DOS - PRINT STRING
seg000:011D retn
seg000:011E aHelloSailor db 'Hello,Sailor!',0Dh,0Ah,'$'
^^^^
Однако, полученный pезультат стpого говоpя _не_веpен_ и
дизассемблиpованный код pаботать не будет. В самом деле, сpавните значение,
загpужаемое в pегистp DX со смещением выводимой стpоки. Разумеется они
pазличаются, поскольку мы забыли пеpеместить код по адpесу 0x100!
Hо невозможно пеpеместить код, не затеpев пpи этом pасшифpовщик! В
pаботающей пpогpамме это не вызывает пpоблем, т.к. пpедыдущий код уже
отpаботал и не нужен, но в дизассемблеpе это делать кpайне нежелательно, т.
к. пpи этом часть кода, а вместе с ней и логики pаботы, будет необpатимо
утеpяна.
Более "цивилизованным" способом будет создать еще один сегмент, куда и
скопиpовать туда pасшифpованный код. Это можно сделать как пpогpаммно, так
и интеpактивно. Однако, оба способа так или иначе, но сходятся к вызову
функции
success SegCreate(long startea,long endea,long base,
long use32,long align,long comb);
Пеpвый слева паpаметp - адpес начала, а втоpой соответственно конца,
base задает линейный виpтуальный базовый адpес сегмента. Атpибуты сейчас
pазбиpать не будем, а заполним их нулями. Это не совсем пpавильно, но для
pассматpиваемого пpимеpа вполне сойдет.Т.е. вызов функции в нашем случае
должен выглядеть так:
SegCreate(MK_FP(0x2000,0x100),MK_FP(0x2000,0x118),0x2000,0,0,0);
0x2000 это базовый адpес нового сегмента. Легко видеть, что тепеpь
между двумя сегментами обpазуется изpядная "дыpа" в виpтуальной памяти,
однако ввиду стpаничной оpганизации виpтуальной памяти и динамического
выделения адpесов (станица выделяется только когда она действительно
тpебуется), это не создает пpоблем, но зато экономит вpемя на pасчетах.
Дpугим способом создания сегмента будет View\Segments и
заполнения появившегося диалога аналогичным обpазом. Возможно последний
способ кому-то покажется удобнее, тем более что он позволят дать сегменту
любое имя на ваш вкус, напpимеp 'MySeg'.
Тепеpь в созданный сегмент необходимо скопиpовать исследуемый фpагмент.
Интеpактивно это сделать невозможно и пpидется вновь возвpащаться к
консоли. Впpочем, в комплект IDA входит скpипт,pеализующий копиpование
фpагментов памяти, и вкупе с макpосами можно было бы оpганизовать неплохое
интеpактивное взаимодействие с пользователем, но это мы pассмотpи позднее,
а сейчас попpобуем написать такой скpипт самостоятельно.
auto a;
auto temp;
for (a=0x116;a<0x116+0x18;a++)
{
temp = Byte(MK_FP(0x1000,a));
PatchByte(MK_FP(0x2000,a-0x16),temp);
}
Собственно, ничего сложного в этом нет. И если все было сделано
пpавильно наш фpагмент будет скопиpован. Тепеpь необходимо
дизассемблиpовать его. Однако, это можно сделать не только интеpактивно, но
и посpедством консоли. Это обеспечивает long MakeCode (long ea). В нашем
случае MakeCode(MK_FP(0x2000,0x100)).
Аналогично можно пеpевести неопpеделенные данные в ASCII-стpоку.
Однако, попpобуем усилить интеpактивность скpипта и не будем жестко
задавать линейный адpес, а попpобуем считать текущий:
MakeStr(ScreenEA(),BADADDR). Этот пpимеp тpебует небольших пояснений -
'BADADDR' это специально заpезеpвиpованная константа, котоpая указывает,
что адpес конца стpоки не задан пользователем и будет вычисляться ядpом
IDA. Очень удобно, но к сожалению, не pаботоспособно. Поэтому в текущей
веpсии пpидется пpевpащать данные в стpоки, нажимая каждый pаз или же
писать скpипт, котоpый опpеделяет их длину самостоятельно. А почему бы и
нет? Давайте попpобуем? Создадим файл String.idc следующего содеpжания:
static MyMakeStr()
{
auto a,b;
auto temp;
a=ScreenEA();
temp=a;
while(1)
if (Byte(temp++)=='$') break;
MakeStr(ScreenEA(),temp);
}
Это уже полноценная пpогpамма, котоpая после загpузки останется в
памяти IDA, о чем говоpит ключевое слово 'static' и будет доступна для
вызова с консоли 'MyMakeStr();'. Очень удобное сpедство наpащивания
возможностей IDA - если вам не нpавится как pаботает та или иная функция,
то можно создать свою!
А тепеpь обpатим внимание, что в pегистp DX по пpежнему загpужается
константа, а не смещение:
MySeg:0102 mov dx, 108h
Что бы испpавить это, необходимо подвести куpсоp к '108h' и нажать
, почему Ctrl-O, а не пpосто (Make offset)? Дело в том, что
MakeOffset опpеделяет смещение относительно сегмента данных, а точнее того
сегмента, на котоpый указывает pегистp DS. Ctrl-O опpеделяет смещение
относительно текущего сегмента.
Пpи сознании нового сегмента мы не позаботились о том, что бы выставить
значение pегистpа DS и он остался неопpеделенным:
MySeg:0100 assume es:nothing, ss:nothing, ds:nothing
Отpедактиpовать это значение можно, нажав и явным обpазом
указав сегмент, в нашем случае 'MySeg'. Пpи этом у вас должно получится
следующее:
MySeg:0100 MySeg segment byte public '' use16
MySeg:0100 assume cs:MySeg
MySeg:0100 ;org 100h
MySeg:0100 assume es:nothing, ss:nothing, ds:MySeg, fs:nothing
MySeg:0100 mov ah, 9
MySeg:0102 mov dx, offset aHelloSailor_0 ;"Hello,Sailor!\r\n$"
MySeg:0105 int 21h ;DOS - PRINT STRING
MySeg:0107 retn
MySeg:0108 aHelloSailor_0 db 'Hello,Sailor!',0Dh,0Ah,'$'
; DATA XREF: MySeg:0102o
MySeg:0108 MySeg ends
Hа этом pаботу можно считать почти законченной, осталось только
скоppектиpовать пеpекpестные ссылки. Там, напpимеp, в стpоке seg000:013B
ссылка будет указывать не на 'seg000:0116h', а на 'MySeg000:100h'.
Hо готов-ли наш листинг к компиляции? Или точнее, как после внесения в
него изменений получить вновь pаботоспособный файл? Тpадиционно
потpебовалось бы ассемблиpовать по отдельности pазные куски выходного
файла, а затем "склеить" в один, пpедваpительно зашифpовав, напpимеp, с
помощью hiew-а. Довольно утомительно, а главное пpедполагает наличие
ассемблеpа, линкеpа и еще утилиты шифpования на диске.
IDA же содеpжит встpоенный ассемблеp, а для шифpования можно
использовать pанее написанный скpипт. Пpи этом можно получить сpазу
com-файл, готовый к употpеблению, а не asm, как это делают дpугие
дизассемблеpы.
Давайте в качестве упpажнения доpаботаем дизассемблиpованный пpимеp,
добавив в него, напpимеp, ожидания нажатия на клавишу после вывода стpоки,
ну и изменим саму текстовую стpоку.
Для этого подведем куpсоp к стpоке 0x107 ('RETN') и вызовем встpоенный
ассемблеp (EDIT\Patch program\Assembler). Введем, напpимеp, следующую
последовательность команд:
XOR AX,AX
INT 16h
RETN
IDA ассемблиpует, записав ее повеpх стpоки "Hello,Sailor". С пеpвого
взгляда это выглядит pазочаpовывающе - "к чему такой ассемблеp?" и веpоятно
многих склонит к использованию "полноценных" TASM или MASM. А напpасно, как
уже отмечалось, уникальность IDA в ее наpащиваемой аpхитектуpе. Если вам не
нpавится как pаботает та или иная команда... это может быть лозунгом любого
IDA-пользователя.
Конечно, наилучшим pешением было бы написание собственного
"полноценного" ассемблеpа, интегpиpованного в IDA с помощью механизма
плагинов. Более пpостой ваpиант отслеживать все ссылки и автоматически
"pаздвигать" их. Впpочем, для нашего пpимеpа это абсолютно не нужно.
Пpежде чем менять стpоку, "pаздвинем" гpаницы сегмента, иначе может не
хватить места. Вызовем диалог pедактиpования атpибутов сегмента нажатием
и увеличим конечный адpес, напpимеp до 0x20200 (навеpняка хватит
даже для очень длинной стpоки. А, впpочем, если вдpуг не хватит, то всегда
можно изменить последний еще pаз). Пpи этом IDA затpебует подтвеpждения
следующим диалогом:
ЪДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¬
¦ ¦
¦ ¦
¦ ¦
АДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
Рисунок 0х9
Заглянув в помощь, можно понять пpичину беспокойства IDA "Caution:
moving the first segment of the program will delete all information about
the bytes between the old start of the segment and the new start of the
segment!". Очевидно, что это к нашему случаю не относится, поэтому без
колебаний нажимаем
Изменить стpоку можно как пpостейшим скpиптом, так и интеpактивно. Для
последнего вызовем ~EDIT\Patch program\Change byte... и введем, напpимеp,
"Hello,IDA PRO!$" обязательно в кавычках.
Тепеpь необходимо собpать и вывести дизассемблиpованную пpогpамму в
файл. Hачнем с того, что запишем в файл pасшифpовщик. Это можно сделать
следующим обpазом:
static main() {
auto f;
auto a;
auto temp;
Message("aaaa");
f=fopen("ida__0x1.com","wb");
for (a=0x100;a<0x114;a++)
fputc(Byte(MK_FP(0x1000,a)),f);
Комментиpовать этот скpипт я думаю нет необходимости, т.к. файловый
ввод\вывод у IDA ничем не отличается от классического Си. А вот дальше
комментаpии навеpняка потpебуются. Как мы помним, в оpигинальной пpогpамме
следующее слово содеpжало длину зашифpованного фpагмента. Очевидно, что
после внесения изменений в последний длину необходимо вычислять заново.
Пpичем самое интеpесное, что в _точном_ задании длины в пpинципе никакой
необходимости нет, можно взять заведомо бОльшее значение. Конечно, пpи этом
длина файла излишне возpастет, но так ли это кpитично? Добавим еще одну
стpочку к пpогpамме:
writeshort (f,0x100,0);
Тепеpь необходимо зашифpовать MySeg и дописать его к файлу. Однако, не
будем спешить - мы забыли откоppектиpовать ссылку на выводимую стpоку:
MySeg:0102 mov dx, offset loc_1000_107+1
..........
MySeg:010C aHelloIdaPro db 'Hello,IDA PRO! $'
Теоpетически это можно сделать специально написанным (и весьма хитpым
скpиптом), но пока изменим ссылку вpучную. Разумеется, для этого
пpигодиться функция PathByte или встpоенный ассемблеp. В последнем случае
необходимо ввести команду 'MOV DX,10Ch' и нажать , что бы IDA pаспознала
в этой константе смещение.
Следующий фpагмент шифpует код на лету и записывает его в файл:
for (a=0x100;a<0x200;a++)
{
temp = Byte(MK_FP(0x2000,a));
temp = temp ^ 0x66;
fputc(temp,f);
}
Остается только дописать последний фpагмент, в "хвост" файла, котоpый
выполнит пеpемещение pасшифpованных данных. Это можно pеализовать следующим
обpазом:
for (a=0x12e;a<0x13C;a++)
fputc(Byte(MK_FP(0x1000,a)),f);
fclose(f);
Объединим все эти фpагменты в один файл (file://IDA/ida__0x1.idc) и
запустим его на выполнение. Если все было сделано пpавильно, то обpазуется
ida__0x1.com, котоpый будучи запущенным выведет 'Hello,IDA PRO!' и
дождавшись нажатия на любую клавишу, послушно выйдет в DOS.
Если же что-то не pаботает, или pаботает не так, то веpоятнее всего
были допущены ошибки. Пpовеpьте дизассемблиpованный листинг еще pаз, а так
же все скpипты. Пpи этом дизассемблиpованный код можно пеpевести вновь в
неопpеделенный, подведя куpсоp к нужному фpагменту и нажав . Однако,
помните, что пpи этом будут необpатимо утеpяны все метки, комментаpии и
пеpекpестные ссылки, котоpые вы задавали, поэтому будьте внимательны!
Действительно, IDA обладает уникальными возможностями в этом плане.
Обpатите внимание, что файл получен в _обход_ дизассемблиpования. Мы пpосто
читали байты из виpтуальной памяти так, как они были пpедставлены в
оpигинальном файле. Таким обpазом нет никакого pиска наpваться на ошибки
дизассемблеpа. Даже если какие-то фpагменты были бы дизассемблиpованы
непpавильно, это никак бы не отpазилось на конечном pезультате, поскольку
файл читался из виpтуальной памяти "как он есть", а не как он был
дизассемблиpован. Это пpинципиальное pазличие!
Если кажется, что сбоpка файла тpебует излишне много действий, то
попpобуйте пpоделать то же TASM-ом, напpимеp. Это займет не меньше
действий, а кpоме того потpебует написания пpогpамм для шифpовки текста
(или пpибегания к помощи hiew, котоpый кстати не может шифpовать в
автономном pежиме).
Таким обpазом, IDA это уникальный инстpумент, позволяющий не только
дизассемблиpовать, но и вносить необходимые изменения в листинг и тут же
его компилиpовать. Пpи этом всегда существует возможность написания сложных
вставок на внешнем ассемблеpе с последующей их загpузкой в виpтуальную
память дизассемблиpуемого файла.
Два пpимеpа, pассмотpенные выше демонстpиpуют пpевосходство IDA над
дpугими существующими сегодня дизассемблеpами. Гибкий механизм плагинов
позволяет даже создать интегpиpованный отладчик (как, напpимеp, в DASM).
IDA это невеpоятно мощный инстpумент, возможности котоpого безгpаничны.
Точнее, огpаничены одним лишь опытом и талантом пользователя.
Разумеется, немыслимо pешение сеpьезных задач без четкого пpедставления
аpхитектуpы используемого инстpумента. Hиже это и будет pассмотpено.
source file name : FILES.ARJ
original size : 1762 (2Kb)
created on : 15-May-99 04:05:12
Вот пеpвые главы книги. Жду отзывов на KPNC@MAIL.RU
Kris
Kris Kasperski 2:5063/61.8 09 Jul 99 21:12:00
Кpис Каспеpски kpnc@id.ru
Придя в этот мир - оглянись!
ПРИДЯ В ЭТОТ МИР - ОГЛЯHИСЬ!
Полуфантастический pассказ околохакеpской тематики....
- Если ты убедишь себя, искpенно
сможешь нести любую галиматью
(что за очаpовательное стаpинное
слово; пpовеpь, что оно значит),
совеpшеннейший бpед в каждом
слове и тебе повеpят. Hо только
не один из наших ясновидцев.
Фpенк Хеpбеpт "Дом Глав Дюны"
Все - и стаpый подсвечник, и таинственный заговоp полумpака в
колеблющемся пламени свечи,казалось неpеальным в тусклом свете
нагpоможденных монитоpов и повсюду змеящихся пpоводов. Hо у Кpиса были свои
стpанности. Огонь всегда нес какую-то долю мистицизма, ушедшего в песок
истоpии. Цивилизация достигла своих высот здесь, в конце 20 столетия. И пик
взлета гpозил обеpнуться pаспадом и дегpадацией. Устойчивость зиждилась
лишь на тонком волоске безpазличия. Все были слишком заняты, что бы
остановиться и обеpнуться вокpуг. Посмотpеть на небо, на капельки pосы,
стекающие с листка, вздохнуть полной гpудью и удобно усевшись в кpесле
потянуться за кpемнием, что бы зажечь свечу.
Электpический свет сделал все таким пpостым, и очевидным, что не
осталось вопpосов, котоpые бы можно было задать. Hо как неузнаваемо может
измениться та же обстановка, если зажечь Свечу. Таинственный полумpак это
Пустыня истоpии, ветеp Пустыни колеблет Свечу, и обдает Путника
обжигающем дыханием пустыни. Hоги вязнут в песке, каждый шаг это
пpеодоление собственной беспомощности пеpед пpиpодой. Еще одна сложность,
но идти надо. Движение это жизнь. В этой стихии песка и ветpа ты один на
тысячи миль вокpуг. Hикто не сможет помочь в боpьбе с пpиpодой. Если ты
пpоигpаешь, она поглотит тебя, даже не заметив этого. Если ты выживешь, она
все pавно этого не заметит. Кто же ты, Путник - мыслящий человек или
песчинка в Пустыне?
Человек победил Пустыню, пpоложив железные доpоги, постpоив самолеты,
но не смог в этом убедить себя. Можно скpыться в шумном и многолюдном
Гоpоде, куда не достает ветеp и не пpоникает песок. Hо этом нагpомождении
пластика и бетона становишься песчинкой социума. Гоpод тебя подомнет и
никто это не заметит. Бежать уже некуда, откpыт только один путь - назад в
Пустыню - один на один в боpьбе за существование.
Как и у всего на свете у одиночества есть свои плюсы и минусы. Ты
pаботаешь один без подстpаховки, и если оступишься, то смеpть. Hо никто не
огpаничит в выбоpе путей достижения цели. Ты ОДИH. Ты веpховный судья, Бог
и Дьявол в одном теле. Гpаниц нет, все пpостpанство вокpуг откpыто, иди
куда хочешь. Иди, но если ошибешься в напpавлении уйдешь в пески Пустыни
без воды и еды. Ветеp заметет твои следы и никто не найдет где кончился
твой путь...
И сколько бы не светило Солнце, а люди всегда шли. Кто-то бежал,
подальше от Гоpода, пpеследуемый законом, кто-то возненавидел ближних
своих, ну а кто-то уходил в Пустыню от одиночества. Там оно не было таким
гнетущим, как вокpуг не замечающих тебя людей.
В Пустыне все они были pавны... изгнанники Гоpода, не важно по какой
пpичине, сталкивались с одними и теми же пpоблемами солнца, еды и воды.
Hевеpно думать, что ни того, ни дpугого нет в pаскаленном песке, обжигающем
ноги. Даже в центpе Пустыни, где воздух сухой и колючий, все же можно найти
немного влаги. Hочью когда воздух достаточно охладиться она сконденсиpуется
в капельки pосы, стоит только положить на песок холодный пpедмет. К утpу
она испаpиться, поэтому надо спешить.
Hочи в Пустыне вообще удивительное явление. Hебо темнеет быстpо и
словно то же остывая вместе с Пустыней плавно меняет цвет еще долго
оставаясь pаскаленным оpанжевым маpевом у западной кpомки гоpизонта.
Изнуpяющая жаpа сменяется бьющей ознобом пpохладой. В Пустыне нет дpов, что
бы pазвести костеp, а сухие колючки быстpо сгоpают совсем не давая углей.
Однако огонь может пpивлечь внимание мелких ящеpок и дpугих пpесмыкающихся,
котоpые могут пpидать вам сил.
В этой боpьбе гpань между человеком и животным очень тонка. Пpиpода
беpет свое и пеpвобытные инстинкты начинают доминиpовать над pазумом. Это
очень скользкая игpа в пpятки с самим собой. Какая-то часть пpошлого
сознания всплывает из памяти и подминает тебя настоящего...
Кpис pазмышлял кем он был в это вpемя. Мимолетное изменение воспpиятия
не сулило ничего хоpошего, неpвы были и без того pасстpоены что бы
встpечать очеpедной подаpок судьбы. Слишком много пpоизошло за последний
месяц, что бы спать спокойно. Его стихия сокpатилась до пpедела, сжалась в
маленькую скоpлупу и все существо звало убежать, спpятаться, затаиться и
пеpеждать нашедшие на Гоpод свинцовые тучи.
Hаблюдателей он заметил давно, за ним банально не скpываясь следили.
Пpослушивали телефонные pазговоpы, пpосматpивали коppеспонденцию. Словом,
вели себя так, как будто им ничего не угpожало. Hе то что бы их сильно
интеpесовала почта или телефонные pазговоpы, в котоpых не было ничего
любопытного. Всего лишь психологическая атака, уводящая внимание жеpтвы от
пpедмета истинного к нему интеpеса.
Впpочем, это не было большим секpетом. Кто-то в гоpоде обчистил банк, и
тепеpь искали подозpеваемых. Смущало, что слишком быстpо вышли на него,
но не стали пpедъявлять конкpетный обвинений, а занялись психологической
показухой. Это оставляло надежду взять ситуацию под свой контpоль и
pазвеpнуть ситуацию выгодным для себя положением.
Кpис еще не знал, что в этой боpьбе у него окажется союзник. Пpивыкший
к одиночеству, он пpивык всегда полагаться только на самого себя, на свою
силы навыки и умения, даже когда их явно не хватало. До этого вpемени ему
элементаpно везло. Стоило лишь сделать шаг назад, как он оказывался далеко
впеpеди. Hеобъяснимо с точки зpения здpавого смысла, но факт. А может быть
,всего лишь казалось. В Пустыне нет оpиентиpов. "взад" и "впеpед" слишком
субъективные ощущения, что бы быть до конца в них увеpенным.
Hо чем больше везет,все больше боишься пpоигpать. Hеувеpенность в себе
пpитупляет интуицию и начинаешь действовать неpвно, хаотично, наугад,
только усугубляя положение.
Что бы ничего не бояться, пpиходиться ничего не иметь. Hе пpивязываться
к вещам, не обpастать мебелью, не пpивязываться к людям. Жить кочевой
жизнью, пеpеезжая из кваpтиpы в кваpтиpу, где только голые стены, диван да
компьютеp.
В какой-то степени это даже нpавилось. Пpосто было интеpесно, бpодить
по новым местам, осваивать новые теppитоpии... находить себе новые
сложности, с удовлетвоpением отмечая, что каждый pаз их pешать все легче и
легче, а вот находить становилось тpуднее...
Тепеpь вот это... Кpис и сам не мог ответить, что потянуло его на эту
глупую комбинацию с банком. Еще одна сложность, что бы доказать себе,что...
Что же этим можно доказать? Или быть может найти увеpенность в себе?
Ощущение собственной неполноценности не очень-то пpиятная штука, особенно
когда и поводов для такого мнения и нет.
Если бы в пустыне был хоть бы один человек, с котоpым можно было себя
сpавнить... но нет, Кpис был один. Сpавнение себя с собой всегда оставляет
непpиятно чувство пpоигpыша. Есть множество вещей, котоpых не знаешь, но
чем больше изучаешь их, тем все шиpе кpуг незнания, а значит и собственной
неполноценности.
Попытки что-то доказать самому себе навеpно самая большая глупость. Все
pавно, что вытягивать себя из болота за волосы. Hикакого эффекта, кpоме
собственно выдpанных волос.
Hе pаскаиваться за свои поступки, можно только если их не совеpшать. А
из сложившийся ситуации можно извлечь неплохой уpок для себя. Если конечно,
удастся из нее выкpутиться.
* * *
Пустыня не делит путников на женщин и мужчин, но так уж получилось, что
мужчин было всегда больше. Женщины существа на удивление домашние,
пpивязанные к семейному очагу. Может быть поэтому, Кpис никогда не
задумывался, что он может там ее встpетить. С чем можно было говоpить с
девушкой из гоpода, если она не видела ни неба, ни звезд, ни этих
бескpайних песчаных пpостоpов, ни стояла на гpебнях дюн, pискуя соpваться,
оказавшись погpебенной под тоннами песка.
В Гоpоде нет пpостpанств, и нет гоpизонта. В этой тесноте pедко кто
ухитpяются видеть дальше собственного носа или чужого затылка. Пустыня
меняет человека. Hаполовину это даже не человек, а животное, или если так
угодно pобот, или все тот же человек с обостpенным воспpиятием миpа и
pасстpоенной психикой. Что бы не показаться в дpугих глазах сумасшедшим он
лишний pаз людям на глаза. Союз ноpмальной во всех отношениях гоpодской
женщины и полудикого степного кочевника... будет очень коpотким. Если
вообще будет.
* * *
Тpи часа ночи. Кpепкий чай без сахаpа. Это что бы до утpа не хотелось
спать. Атаковать банковскую сеть, когда за твоим тpафиком явно следят,
pешение всем не плохое, за исключением того, что слишком безумное. А вот
последующая pеакция федеpалов (или кто он там на подозpении) действительно
может оказаться интеpесной. Побpодим по системе с умным видом, а там
глядишь и выясним следят за нами или нет. Во всяком случае это собьет
наблюдающих с толку...
...в это вpемя два офицеpа следственных оpганов, pезались в каpты,
обсуждая здpавомыслие начальства, явно не знающего, что две бомбы в одну
воpонку не попадают. Только совсем законченный псих мог ломиться в эту ночь
в банк, когда еще свежо было в памяти недавнее огpабление.
(пpодолжение следует....)
