Cracking – 5. část
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama
Reklama

Cracking – 5. částCracking – 5. část

 

Cracking – 5. část

Google       Google       19. 11. 2006       20 979×

  • Tabulka sekcí
  • Tabulka importů
  • Test PE šifrérů/kompresorů
  • Dumpery (ProcDump)

Reklama
Reklama

Dnes budeme pokračovat v PE souborovém formátu, povíme si něco o tabulce sekcí a tabulce importů. Po těchto základech PE se vrhneme do testu PE šifrérů/kompresorů a seznámím vás s programem ProcDump.

Tabulka sekcí

Otevřte program PEditor, tlačítkem browse otevřte libovolný program (program time.exe, na kterém budu vše demonstrovat, si můžete stáhnout ZDE) a zvolte volbu section. Tím se otevře tabulka sekcí (Section table).

Section

V minulé části jste se dozvěděli, že sekce jsou logické celky dat (pro upřesnění musím dodat, že existují případy, kdy to tak není, ale tím se zatím nebudu zabývat). V tomto případě jsou sekce: .text, .rdata, .data, .rsrc. Pokud byste chtěli zjistit základní informace o sekcích a neměli byste zrovna po ruce PE editor nebo debugger (většina již dokáže i základy práce s PE souborovým formátem) můžete ke zjištění počtu sekcí použít i obyčejný notepad. Otevřte tedy v notepadu program time.exe a všimněte si několika klíčových slovíček (názvů sekcí).

MZ       ˙˙  ¸       @                               Č   ş ´
Í!¸LÍ!This program cannot be run in DOS mode.$       
ă’r§ó{!§ó{!§ó{!)ěh!¬ó{![Ói!¦ó{!`ő}!¦ó{!Rich§ó{!                        
PE  L E        ŕ                       @         
             P         
                                  <    @   
text   z                           `.rdata  î                   
@  @.data   t    0                    @  Ŕ .rsrc       @      
             @  @    

atd.

Určitě jste si všimli i dalších věcí. Třeba písmen MZ (DOS MZ hlavička), věty „This program cannot be run in DOS mode.“ (Úsek pro DOS), poté písmen PE (Portable Executable – struktura Signature) atd. Pro tento účel můžete samozřejmě použít libovolný HEX editor (uživatelům GNU/Linuxu poslouží příkaz xxd).

Virtual Size, Raw Size

Slovo Virtual označuje, že se jedná o informace určující umístění v operační paměti, a slovo Raw určuje umístění v souboru. Konkrétně Virtual Size je velikost sekce v operační paměti. Raw Size (někdy také SizeOfRawData) je velikost sekce v souboru na pevném disku.

Virtual Offset, Raw Offset

Struktura ImageBase (viz minulá část) určuje tzv. preferovanou nahrávací adresu. Ta je u spustitelných souborů obvykle 00400000h. Pokud ale otevřete program time.exe v OllyDbg, nebude první instrukce na adrese 00400000h, ale na 00401000h, takže tuto adresu získám součtem ImageBase + Virtual Offset sekce .text. Problém může nastat, pokud je tato adresa již obsazena (Windows je multitaskingový operační systém, takže i s tím se musí počítat). Řešením je relokace, ale ta přesahuje odbornost tohoto seriálu (možná někdy v budoucnu). Raw Offset je umístění sekce v souboru. Tam je situace o dost jednodušší, protože tam žádná relokace nehrozí. Jediné, co vás možná zarazilo, je, že v položkách Raw Size a Raw Offset se vyskytují pouze sudá čísla a pouze stovky. To je určeno strukturou File Alignment, která má v tomto případě velikost 00000200h. Takže i kdyby sekce měla pouze 1 instrukci, tak by pro ni také platilo toto zarovnání. Poté je zde ještě struktura Section Alignment, která určuje zarovnání sekcí v operační paměti (položka Virtual Offset). Zde je nastavena na 00001000h.

Charakteristics

Popisuje charakteristiku dat v sekci – např.: pouze pro čtení, čtení a zápis, spustitelný kód atd.

Tabulka importů

Tabulka importů (chcete-li tabulka importovaných funkcí) je jedním ze základů architektury Win32 platforem. Importované funkce jsou takové, které jsou PE-souborem volány, ale on sám je neobsahuje. Tyto funkce (API funkce) jsou v DLL knihovnách. Těch jsou ve Windows stovky (zkuste Start → Hledat → *.dll). Troufám si tvrdit, že v každém programu naleznete importované funkce z knihoven kernel32.dll a user32.dll. V souboru musí být tyto funkce také někde zaznamenány a k tomu je tabulka importů. Pokud si ji chcete prohlédnout, můžete použít program Exescope, debugger nebo znovu notepad. V něm vypadá situace následovně:

...
Ě   ľ   ®       –   Š   |       l           ˘      \ ŕ                      
Ě   ľ   ®       –   Š   |       ťMessageBoxA bwsprintfA „LoadIconA 
user32.dll  RGetTickCount  € ExitProcess 	GetModuleHandleA  
kernel32.dll                                                                                 
...

Zde hned vidíte, jaké API funkce jsem použil a z jakých knihoven jsem je importoval. Z user32.dll jsem importoval: MessageBoxA, wsprintfA, LoadIconA a z kernel32.dll GetTickCount, ExitProcess a GetModuleHandleA.

time.exe

Abyste si dokázali věci z této části lépe v hlavě utřídit, tak přidávám ještě zdrojový kód primitivního prográmku time.exe, na kterém jsem vše demonstroval. Time.exe po spuštění pouze pomocí API fukce MessageBoxA zobrazí aktuální čas běhu systému a po stisku OK se ukončí.

.586P
.MODEL FLAT, stdcall
;---------------------------------------
; konstanty
MB_ICONQUESTION        EQU  20h
;---------------------------------------
; deklarace externích funkcí
EXTERN GetTickCount@0:NEAR
EXTERN MessageBoxA@16:NEAR
EXTERN wsprintfA:NEAR
EXTERN ExitProcess@4:NEAR
EXTERN GetModuleHandleA@4:NEAR
EXTERN LoadIconA@8:NEAR
;---------------------------------------
; direktivy pro připojení knihoven
INCLUDELIB C:\MASM32\LIB\USER32.LIB
INCLUDELIB C:\MASM32\LIB\KERNEL32.LIB
;---------------------------------------
; segment s daty
_DATA SEGMENT
      TITULEK   DB  "TIME 1.01 – Michal Blažek", 0
      FORM      DB  "Čas běhu systému je: %u minut", 0
      BUF       DB  60 dup(?)
_DATA ENDS
;---------------------------------------
; segment s kódem
_TEXT SEGMENT
START:
;---------------------------------------
; získání handlu instance programu 
  PUSH 0
  CALL GetModuleHandleA@4
;---------------------------------------
  PUSH 9
  PUSH EAX
  CALL LoadIconA@8
;---------------------------------------
; získání aktuálního běhu systému v ms
; hodnota bude vrácena v EAX
  CALL GetTickCount@0
;---------------------------------------
; převedení času z ms na minuty
  XOR EDX, EDX
  MOV EBX, 1000
  DIV EBX           ; nyní je čas v s
  XOR EBX, EBX
  XOR EDX, EDX
  MOV EBX, 60
  DIV EBX           ; nyní je čas v min
;---------------------------------------
; vyplnění bufferu
  PUSH EAX
  PUSH OFFSET FORM
  PUSH OFFSET BUF
  CALL wsprintfA
;---------------------------------------
; vyčištění zásobníku
  ADD ESP, 12       ; vyčištění zásobníku
;---------------------------------------
; vypsání času běhu systému na obrazovku
  PUSH MB_ICONQUESTION
  PUSH OFFSET TITULEK
  PUSH OFFSET BUF
  PUSH 0
  CALL MessageBoxA@16
;---------------------------------------
; ukončení aplikace
  PUSH 0
  CALL ExitProcess@4
_TEXT ENDS
END START

Test PE šifrérů/kompresorů

Když jsem tento test plánoval, tak jsem si to představoval, jak se říká, „jako Hurvínek válku“. Chtěl jsem vyzkoušet všechny PE šifréry/kompresory, všechny je překonat a všechno podrobně sepsat. Ačkoliv bych to asi neměl říkat, tak jsem ve svém plánu žalostně zklamal. Bylo to těžší, než jsem myslel, časově dost náročné a je takový počet PE šifrérů/kompresorů, že bych to nedokázal do smrti. Proto jsem se rozhodl zrecenzovat jenom čtyři PE šifréry/kompresory, které velice dobře znám. Všechny tyto PE šifréry/kompresory si můžete stáhnout ze www.softpedia.com.

ASPack 2.12

ASPack patří do skupiny PE šifrérů/kompresorů, které spíše než chrání aplikaci před crackery, zmenšují jeho velikost. ASPack dokáže při maximální kompresi redukovat velikost spustitelných souborů až na 70 %, což je lepší než zip komprese. Toto celkem rapidní zmenšení velikosti ovšem program téměř vůbec nezpomalí, což je u podobných programů docela rarita. Dekodovací rutina obsahuje pouze jeden pořádný anti-debugový trik a ostatní jsou tam spíše jen pro okrasu. Ten „zázrak“ je ochrana před nahráním programu do Symbol Loaderu Soft-Ice, ale tato ochrana se dá velice snadno zlomit vložením instrukce INT 3h na začátek programu a nastavavení breakpointu na toto přerušení, poté se program zastaví na začátku a můžete začít zkoumat. Dekompresní rutina obsahuje také několik skoků na zmatení crackera (pasivní SMC).

PE Compact 2.78

PE Compact považuji za jeden z nejlepších PE šifrérů/kompresorů. Program je celý naprogramován v Assembleru (můj neoblíbenější programovací jazyk) a obsahuje velice širokou paletu pluginů. Velice užitečná je rozsáhlá paleta kompresních knihoven, kterou si můžete vyvolat volbami Settings of selected → odtržením Let PECompact Choose → Select CODEC(s) to use → nyní si vyberte v nabídce v levém horním rohu → ADD. Každá knihovna má své klady a zápory. V PE Compact si opravdu můžete nastavit vše a popis všech možností by vyšel na samostatný seriál. Proto vás odkazuji na dokumentaci k programu, ve které naleznete dost užitečných informací, včetně popisu jednotlivých kompresních knihoven. Další plus připisuji programu PE Compact za ohleduplnost k uživatelům operačního systému GNU/Linux, kteří musí programy pro Windows spouštět v emulátorech. Velké množství PE šifrérů/kompresorů na to ohledy nebere, a občas se stane, že nejde výsledný soubor spustit. Pokud budete používat PE Compact nemusíte se takovýchto problémů obávat.

UPX 2.01

UPX patří společně s ASPackem mezi absolutní špičku mezi PE kompresory. Narozdíl od ASPacku, UPX podporuje množství odlišných spustitelných souborů zahrnujících programy pro Windows 95/98/ME/NT/2000/XP, DLL knihovny, DOS programy a spustitelné programy pro Linux. Co se týká komprese, řadí se UPX na druhé místo právě za ASPack. Bohužel UPX dokáže sebou zkomprimované soubory i dekomprimovat, což bych označil jako jeho největší slabost (stačí přidat parametr -d). Budete-li chtít, můžete po zkomprimování modifikovat některou z položek v PE hlavičce tak, aby si UPX myslel, že se nejedná o win32 spustitelný soubor a zároveň to nezpůsobilo nefunkčnost programu. Bohužel je jednoduché se s tímto vypořádat, takže ani nebudu uvádět příklad. Možná vás teď napadá, jak je na tom UPX s anti-debugovými triky. Odpověď zní: „černě“. Obsahuje jenom několik náznaků, u kterých si nejsem jistý, jestli se opravdu jedná o anti-debugové triky. Popis parametrů naleznete v souboru upx.html nebo upx.doc.

PE Lock 1.6

Přestože je program staršího data, má stále co nabídnout. Program je kompromisem mezi PE šifrérem a PE kompresorem. Obsahuje velice užitečné funkce proti debugingu, dumperům, ochranu heslem a další užitečné volby, které jistě oceníte. PE Lock dokáže redukovat velikost souboru až o 30 %, což je na program, který ještě k tomu má uspokojivou ochranu proti crackerům, docela dobré.

Další, co stojí za vyzkoušení

  • NSPack
  • BitCrypt
  • PE-Shield
  • Petite
  • Shrinker
  • WWPACK32

Pozn.: V tomto testu jsem se nezabýval komerčními ochranami.

Jak zjistit, jakým programem je soubor zašifrován?

Můžete samozřejmě začít zkoumat tabulku sekcí, PE hlavičku, programový kód apod. a určitě tam naleznete odpověď, ale proč si dělat situaci složitější, když si můžete stáhnout pro tento úkol program? Jedním z nich je třeba PEiD, který si můžete stáhnout na této stránce. Ovládání je intuitivní až primitivní, protože stačí vybrat program a ihned se vám zobrazí odpověď.

Dumpery

Dumpingem je označováno ukládání obsahu operační paměti na disk. To je velice užitečné, protože programy chráněné PE šifréry/kompresory se musejí při spuštění dekomprimovat a v dekomprimované podobě se ukládají do operační paměti. Dumperů je velký výběr, ale mezi nejlepší patří SoftDump, LordPE, IceDump a ProcDump, který budu používat já. ProcDump má proti ostatním tu výhodu, že je to i PE dešifrér/dekompresor. Říci, že ProcDump dokáže zašifrované soubory převést zpět do stavu před zašifrováním by nebylo správné, protože ProcDump většinou pouze odstraní nebo poškodí ochrany proti crackerům a soubor pouze přiblíží stavu před zašifrováním (nejeden cracker by měl chuť mě teď zabít, ale pro naše účely toto vysvětlení stačí ;)). Problémem je, že ve většině případů se po dumpingu nebo dešifrování poškodí tabulka importů. Ta se poté musí zrekonstruovat např. programem ImportREC. Dešifrování provedete volbou Unpack a poté výběrem PE šifréru/kompresoru, kterým je program zašifrován. Můžete také ponechat označenou výchozí položku *Unknown* a ProcDump se pokusí sám zjistit použitý PE šifrér/kompresor, ale bohužel velice často neuspěje a zahlásí chybu, takže doporučuji nejdříve zjistit použitý PE šifrér/kompresor, a poté ho zvolit. ProcDump nabízí možnost ochrany i zkoumat. V adresáři, kde je uložen ProcDump, se nachází soubor script.ini, kde má ProcDump uložen v podobě vlastních příkazů postup deširování. Popis příkazů použitých v souboru script.ini naleznete v souboru script.txt. ProcDump si můžete stáhnout na této stránce.

Velký výběr nástrojů pro práci s PE souborovým formátem naleznete také ZDE.

Dnes jsme dobrali základ, který každý cracker musí bezpodmínečně umět. Na těchto základech můžete nyní stavět a učit se dál třeba z internetu. Příště zkusíme překonat několik crackme a povíme si něco o Markových pravidlech ochrany softwaru, které, i když jsou staršího data, mají nadčasovou platnost.

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

Hlasování bylo ukončeno    
0 hlasů
Google
Autor se zabývá webovými programovacími jazyky a Assemblerem. Rád pracuje v Příkazovém řádku a experimentuje s operačními systémy.
Web    

Nové články

Obrázek ke článku NEWTON Media prohledá 200  milionů mediálních zpráv během sekund díky Cisco UCS

NEWTON Media prohledá 200 milionů mediálních zpráv během sekund díky Cisco UCS

Česká společnost NEWTON Media provozuje největší archiv mediálních zpráv ve střední a východní Evropě. Mezi její zákazníky patří například ministerstva, evropské instituce nebo komerční firmy z nejrůznějších oborů. NEWTON Media rozesílá svým zákazníkům každý den monitoring médií podle nastavených klíčových slov a nabízí online službu, kde lze vyhledat mediální výstupy v plném znění od roku 1996.

Reklama
Reklama
Obrázek ke článku Delphi 10.1.2 (Berlin Update 2) – na co se můžeme těšit

Delphi 10.1.2 (Berlin Update 2) – na co se můžeme těšit

Touto roční dobou, kdy je zem pokrytá barevným listím a prsty křehnou v mrazivých ránech, se obvykle těšíme na zbrusu novou verzi RAD Studia. Letos si však ale budeme muset počkat na Godzillu a Linux až do jara. Vezměme tedy za vděk alespoň updatem 2 a jelikož dle vyjádření pánů z Embarcadero se budou nové věci objevovat průběžně, pojďme se na to tedy podívat.

Obrázek ke článku Konference: Moderní datová centra pro byznys dneška se koná už 24. 11.

Konference: Moderní datová centra pro byznys dneška se koná už 24. 11.

Stále rostoucí zájem o cloudové služby i maximální důraz na pružnost, spolehlivost a bezpečnost IT vedou k výrazným inovacím v datových centrech. V infrastruktuře datových center hraje stále významnější roli software a stále častěji se lze setkat s hybridními přístupy k jejich budování i provozu.

Obrázek ke článku Konference: Mobilní technologie mají velký potenciál pro byznys

Konference: Mobilní technologie mají velký potenciál pro byznys

Firmy by se podle analytiků společnosti Gartner měly  rychle přizpůsobit skutečnosti, že mobilní technologie už zdaleka nejsou horkou novinkou, ale standardní součástí byznysu. I přesto - nebo možná právě proto - tu nabízejí velký potenciál. Kde tedy jsou ty největší příležitosti? I tomu se bude věnovat již čtvrtý ročník úspěšné konference Mobilní řešení pro business.

loadingtransparent (function() { var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true; po.src = 'https://apis.google.com/js/plusone.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); })();
Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032016 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý