Указатель
Last updated
Was this helpful?
Last updated
Was this helpful?
Данный документ призван сделать курс Рикардо мощным справочным пособием как для начинающего, так и для тех, кто уже владеет искусством крэкинга. Для облегчения поиска я постарался сделать его как можно более подробным, а также присоединил материал, опубликованный в списке конкурсов CracksLatinoS и относящийся к некоторым темам курса. Я посчитал его важным, несмотря на то, что он не входит в состав туториалов Рикардо. См., например:
Распаковка ACProtect 1.09g.f со всеми функциями защиты (3-я часть) Восстановление украденных байтов и OEP Борьба с антидампом Как сделать вставку, если секция, которую нужно создать, занята (дополнение к главе 44)
[Лазурно-синим выделена ссылка на статью.] Желтым выделена ссылка на комментарий, находящийся в этом же документе. Я оформил дополнительные материалы в виде комментариев, чтобы не присоединять файлы.
Части главного окна OllyDbg
Дизассемблер (листинг)
Область регистров
Дамп
Стек
Остальные окна OllyDbg
Окно Log
Окно Executables
Окно Memory
Окно Threads
Окно Windows
Окно Handles
Окно CPU
Окно Patches
Окно Call Stack
Окно BreakPoints
Окно References
Окно Run Trace
Установка OllyDbg в качестве JIT (Just-In-Time Debugger)
Подключение плагинов в OllyDbg
Горячие клавиши
F2
F7
F8
F9
F12
Системы счисления
Двоичная
Десятичная
Шестнадцатеричная
Положительные и отрицательные числа в шестнадцатеричной системе счисления
**ASCII-символы
Что такое стек (куча)?
Что такое регистры и для чего они нужны?
Дробление регистров (EAX → АХ | AL)**
Как изменять значения регистров?
Что такое флаги?**
Флаг O (Overflow, переполнение)
Флаг A (Auxiliar, дополнительный флаг переноса)
Флаг P (Parity, четность)
Флаг Z (Zero, нуль)
Флаг S (Sign, знак)
Флаг C (Carry, перенос)
Флаги T, D и I
Ассемблерные инструкции
NOP
PUSH
POP
PUSHAD
POPAD
PUSHA
POPA
MOV
MOVSX
MOVZX
LEA
XCHG
Математические инструкции
INC
DEC
ADD
ADC
SUB
SBB
MUL
IMUL
DIV
XADD
NEG
Логические инструкции
AND
OR
XOR
NOT
Инструкции сравнения и условных переходов
CMP
TEST
Инструкции переходов
JMP
JE ИЛИ JZ
JNE ИЛИ JNZ
JS
JNS
JP ИЛИ JPE
JNP ИЛИ JNPE
JO
JNO
JB
JNB
JBE
JNBE
JL
JA JG JAE JGE
Инструкции ассемблера:
CALL
RET
Инструкции циклов *
LOOP
LOOPZ LOOPE
LOOPNZ LOOPNE
Строковые (цепочечные) инструкции
MOVS
REP
REPE REPZ
LODS
STOS
CMPS
Способы адресации
Прямая адресация
Косвенная адресация
* В этой главе рассматривается функционирование циклов.
Базовые понятия
Entry Point (точка входа)
DLL (динамическая библиотека)
API-функция
Как узнать список API-функций, использующихся в программе? (Search for -> Name (label) in current module (Ctrl+N))**
Как используются API-функции?
Брейкпоинты
Обычные брейкпоинты (BP, BPX)
Брейкпоинты на доступ к памяти (BPM, Memory Breakpoint)
Брейкпоинты
Аппаратные брейкпоинты (HBP)
Условные брейкпоинты (Conditional Breakpoint)
Условные брейкпоинты с логированием (Conditional Log Breakpoint)
Как пользоваться сообщениями Windows’а?
Брейкпоинты на сообщениях (BMSG)
Поиск серийных номеров
Жестко заданные (hardcoded) серийные номера
API-функция GetDlgItemTextA
Решение крэкми, упомянутого в предыдущей главе
API-функция lstrcmpA
API-функция GetWindowTextA
Другой крэкми с hardcoded-серийником
API-функция memset
API-функция lstrlen
Решение крэкми, упомянутого в предыдущей главе (Splish)
Поиск серийника в упакованном крэкми (Sambo)
Использование сообщений Windows’а
Крякмисы с переменным серийным номером
Крэкми CrueHead’а
Крэкми Splish, 2-я часть с вводом имени пользователя (name/serial)
Инструкция CDQ
Инструкция IDIV ESI
Решение крэкми, упомянутого в предыдущей главе (Mexcrk1)
Игра Canasta v5.0 (В данной программе кнопка OK для ввода серийника изначально неактивна.)
Использование сообщений Windows’а для поиска серийника (WM_KEYUP)
Крэкми Stzwei’я (crackme_4stz)
Обнаружение отладчика
API-функция IsDebuggerPresent
Патч крэкми против обнаружения
Расположение соответствующего байта
Изменение флага во избежание обнаружения
Сокрытие отладчика с помощью плагина (Hide Debugger 1.23f)
Обнаружение OllyDbg по названию процесса
API-функция OpenProcess
API-функция EnumProcessModules
API-функция GetModuleBaseName
Использование API-функции GetProcAddress
Другие антиотладочные приемы
API-функция CreateToolhelp32Snapshot
API-функция Process32First
API-функция Process32Next
API-функция TerminateProcess
API-функция FindWindow
API-функция EnumWindows
Антиотладка
Исключения, не обрабатываемые в OllyDbg (Unhandled * Exceptions)
API-функция SetUnhandledExceptionFilter
API-функция ZwQueryInformationProcess
API-функция UnhandledExceptionFilter
Плагин HideOD
Завершение изучения методов антиотладки
Расположение байтов:
NTGloblalFlag
ProcessHeap
API-функция OutputDebugString
Решение крэкми, упомянутого в предыдущей главе (antisocial)
С плагинами и без плагинов
Обработка исключений
Понятие исключения
Разновидности исключений
Нет доступа к памяти
Деление на ноль
Неверная инструкция; попытка запуска привилегированной инструкции
Как изменить настройки доступа секций в Olly?
Что происходит, когда генерируется исключение?
Что такое SEH?
Как устанавливается обработчик исключений?**
Версия Olly "Parcheado 5" (пропатченный Olly для поиска OEP’ов)
Взлом приложений, написанных на Visual Basic’е (VB)
Значение составляющих имени API-функции VB
Примеры API-функций
Конвертация данных
Перемещение данных
Математические
Вспомогательные
Сравнения
Как устроен екзешник, скомпилированный VB’ком?
Метод 4C
На войне как на войне
Другой способ удаления наг-окон в VB**
Вставка кода в DLL’ку VB
P-Code (псевдокод)
Распознавание, изучение и взлом (API-функция MethCallEngine)
Рассмотрение некоторых опкодов
Завершение изучения программ на P-Code
Еще опкоды
Решение крэкми, упомянутого в предыдущей главе
Вводные сведения о распаковке
Для чего нужна упаковка программ?
Что такое загрузчик и как он функционирует? (краткое объяснение)
Понятие OEP
Схема работы упакованной программы
Классический способ распаковки
Методы нахождения OEP
Просмотр или поиск опкодов в листинге без запуска процедуры распаковки
Использование встроенного в Olly поисковика OEP’ов
Использование Olly Parcheado 5 (пропатченного Olly для поиска OEP’ов)
Метод PUSHAD
Для программ, написанных на VB (Native или P-Code)
Метод исключений
По API-функции, часто используемой распаковщиком
Метод первой API-функции, вызываемой программой
Что такое IAT?
Использование LordPE снятия дампа
Что такое IT?
Как система наполняет IAT?
Распаковка вручную UPXа и восстановление IATа
Использование PE Tools для снятия дампа
Как восстановить IAT?
Распаковка ASPack 2.12
Использование OllyDump для получения дампа
Использование Import REConstructor’а для восстановления IATа
Распаковка Crunch 5.0.0 (Bit-Arts)
Распаковка tElock 0.98b1**
Переадресовочные элементы IATа
Способы восстановления переадресовочных элементов IATа
Метод восстановления вручную**
Использование функции условного трассирования Olly
Использование плагинов Import REConstructor’а
Использование трассировщиков, встроенных в Import REConstructor
Использование ключевых переходов JMP/CALL
Распаковка Yoda’s Protector 1.3 (Yoda’s Crypter)
Распаковка PELock 1.06.d (1-я часть)
Собственное логирование исключений
Начало темы об украденных байтах
Как узнать, были ли украдены байты?
Возвращение украденных байтов с помощью Binary copy / Binary paste
Украденный код
Баг обработки исключений в OllyDbg
Плагин OllyScript 0.92
Скрипт сокрытия HBP для PELock, tElock и пр.
Распаковка PELock 1.06.d (2-я часть)
Разновидности антидампа
Борьба с антидампом, создающим секции во время распаковки
Добавление в дамп секции, созданной во время распаковки
Ссылка на метод, предложенный marciano
Распаковка ACProtect 1.09g.f со всеми опциями защиты (1-я часть)
Рассмотрение отладочных регистров в структуре CONTEXT
Поиск OEP с помощью скрипта, скрывающего аппаратные брейкпоинты
Восстановление украденных байтов
Распаковка ACProtect 1.09g.f со всеми опциями защиты (2-я часть)
Восстановление IATа с помощью скрипта IAT.txt
Распаковка ACProtect 1.09g.f со всеми опциями защиты (3-я часть)
Возврат украденных байтов и OEP
Борьба с антидампом
Как сделать вставку, если секция, которую нужно создать, занята (дополнение к главе 44)
Распаковка ReCrypt 0.80. (Этот крэкми в Olly не запускается, поэтому Рикардо показал методы, обычно помогающие добиваться запуска в отладчике.)
Другой метод распаковки с использованием утилит Estricnina и Pokemon AntiAttach. (Дополнение, написанное Arapumk’ом о другом способе атаки этого упаковщика. Показан альтернативный метод, к которому мы не привыкли.)
Программа с собственной защитой Patrick.exe (1-я часть)
Проверка запустившей крэкми программы (API-функция Process32Next)
Разрешение конфликта с HideOD
Проверка модулей Explorer.exe (API-функция Module32First)
Проверка пути до Explorer.exe (API-функция GetWindowsDirectory)
Обфускация для сокрытия кода в листинге
Получение пути крэкми (API-функция GetModuleFileName)
Проверка наличия другого процесса крэкми (API-функция CreateMutex)
Создание второго процесса крэкми (API-функция CreateProcess)
Разрешение конфликта с HideOD
Программа с собственной защитой Patrick.exe (2-я часть)
Остальные защиты и способы их обхода
Запуск Patrick.exe в Olly без проблем
Метод логировки API-функций, используемых программой
Распаковка PeSpin 1.3.04.f (1-я часть)
Возврат украденных байтов
Распаковка PeSpin 1.3.04.f (2-я часть)
Восстановление IAT
Борьба с антидампом
Распаковка ReCrypt 0.80
API-функция OutputDebugString
Распаковка ASProtect 2.3.04.26.a (1-я часть, системные драйверы SYS)
Плагины OllyBone и Weasle
Функционирование OllyBone
Обсуждение проблемных моментов этой главы: ,
Распаковка ASProtect 2.3.04.26.a (2-я часть)
Ликвидация переадресации с помощью скрипта Hiei
Распаковка TPPpack (альтернативный вариант) *
Поиск OEP и возврат украденного кода с помощью 1-го скрипта Ulaterck’а
Восстановление IAT с помощью 2-го скрипта Ulaterck’а
* Рикардо сначала приводит объяснение по туториалу Ulaterck’а, затем (о восстановлении IAT) — по туториалу Marciano (конкурс 97, уровень 4).
Распаковка ExeCryptor 2.2.50.a с максимальным сжатием ресурсов/кодов/данных, без защиты (1-я часть)
Использование TLS callback (способы поиска с помощью различных утилит)
Распаковка ExeCryptor 2.2.50.a с максимальным сжатием ресурсов/кодов/данных, без защиты (2-я часть)
Написание скрипта для восстановления IATа
Дамп
Распаковка ExeCryptor 2.2.50.b
Работа с потоками
Написание скрипта для восстановления IATа
Дамп
Распаковка ExeCryptor 2.2.50.c/d/e/f/g
Использование нароботок из предыдущих глав об ExeCryptor
Распаковка ExeCryptor 2.2.50.c с включенной опцией "Kill Registry/File monitors"
Распаковка ExeCryptor 2.2.50.d с включенной опцией "Debug messages"
Распаковка ExeCryptor 2.2.50.e с включенной опцией "Active watch"
Распаковка ExeCryptor 2.2.50.f с включенной опцией "Patch protection"
Распаковка ExeCryptor 2.2.50.g с включенной опцией "Anti-trace"
Продолжаем ломать ExeCryptor
Сноска 1
Меня спросили, как сделать вставку, если секция, которую нужно создать, уже занята. Так было и на моем компьютере: начало секции антидампа оказалось 150000, где система создает кучу со значениями, необходимыми для работы программы. Если произвести только стирание и копирование, антидамп выполняться не будет:
Рикардо Нарваха
Сноска 2
Ralba —Error 45, а от второго волосы дыбом встают. Такое впечатление, что процессор вот-вот из материнки выскочит, хе-хе. И это не считая того, что я не могу запустить данную версию ASProtect’а из Проводника простым двойным кликом! Так происходит только со мной или есть и другие? Я уж и копировал в различные места на жестком диске, чтобы изменить путь, но всё без толку…
Рикардо Нарваха Этот упаковщик весьма чувствителен из-за RDTSC. Если он не запускается вне отладчика, то в Olly будет работать еще меньше.
OtupAtpaxa Этот упаковщик — однозначно гадина в высшей степени, хотя, согласно Рикардо, это наименее защищенная версия. У меня на него почти весь вечер уходит — проще будет написать скрипт, чем заставить его дойти до OEP! Из 20-ти попыток дойти до OEP удается 1, и ничего с этим не поделаешь. Он просто перемалывает меня в своих жерновах! Кроме того, данный анпэкми, как верно заметил Ralba, не только не работает в Olly, но и не запускается двойным кликом в Windows’е. Я крайне разочарован. Надеюсь, кто-нибудь поможет с ним разобраться :-)
Рикардо Нарваха Если анпэкми не запускается вне отладчика, нужно скопировать его в другую папку, и там должен заработать. Пробовал новую версию Olly Advanced с включенным драйвером Anti-RDTSC fakerdtsc (метод 1)? Однажды я никак не мог запустить программу; перезагрузил, и проблема исчезла.
DAMIAN Otup, это потому что ты не пробовал приаттачиться. <…> Скрипт работает с OEP, я его еще не смотрел. dapaf
OtupAtpaxa Привет, Рикардо! Изменять папки я попробовал, однако результат всегда эвристический: 2 раза программа запускается, а 8 раз — нет… Большое спасибо за файлы, отправленные тобой этим вечером, но я их еще не смотрел. Надеюсь, завтрашний день будет более удачным.
dapaf, твоя идея, конечно, хороша, но у меня приаттачиться не получается… Полагаю, что если есть возможность присоединиться к запущенному (и остановленному) процессу, то можно будет дойти до какого-нибудь вызова антидампа. Это, конечно, лучше, чем ничего.
Рикардо Нарваха Я бы сказал, что проблема скорее в процедуре антидампа, которая переписывает API-функцию из DLL’ки в созданную упаковщиком область памяти и модифицирует уже выполненный CALL, чтобы он указывал на эту область и чтобы после его выполнения было сложно идентифицировать API-функцию, поскольку он больше на нее не указывает. По-моему, трудность заключается именно в этом.
Ralba Простите, маэстро, но что такое RDTSC?
Рикардо Нарваха Инструкция RDTSC позволяет определять число циклов, прошедших с момента включения компьютера и может использоваться подобно GetTickCount для определения промежутка времени между двумя вызовами команды, что и применено в исследуемом ASProtect’е, но не два, а несколько раз. Эта команда осложняет процесс взлома и перехват API-функций, поскольку во время ручной трассировки каждый раз при проходе через RDTSC происходит приостановка выполнения, а это влияет на результат и далее начинаются проблемы. В те времена, когда еще не было драйверов Anti-RDTSC, приходилось останавливаться на командах RDTSC (с помощью пошаговой трассировки, либо ища во всём коде инструкции RDTSC и устанавливая на каждую BP, либо запуская условную трассировку Trace into с остановками на RDTSC), а затем после выполнения инструкции изменять значения регистров EAX и EDX, обнуляя или сокращая период времени между двумя вызовами. Теперь же появились специальные драйверы, входящие в состав Olly Advanced под названием Anti13 RDTSC (fakerdtsc) — они изменяют в нулевом кольце свойства инструкции, чтобы блокировать ее работу в третьем. Данные драйверы изменяют один флаг, и это дает нам возможность работать с программой в Ring3. Таким образом, если в OllyDbg не задействовать драйвер Olly Advanced fakerdtsc, программа выполняться не будет. Могу предположить, что иногда она будет отказываться работать, если время вычислено очень точно. Так бывает, когда программисты предпринимают отчаянные антиотладочные меры.
OtupAtpaxa Привет, Рикардо! Действительно, с последней версией Olly Advanced программа работает немного лучше. Архив fakerdtsc.rar теперь уже не столь актуален, так как он содержит файл fakerdtsc.sys, создаваемый во время работы Olly. Напоследок, перед тем как поднять белый флаг, я хотел бы узнать: может ли скрипт выяснить, какая инструкция является анти-дампом, поскольку на моем компьютере это иногда 015E0000, а иногда — 015C0000… А также — может ли он изменить инструкции, производящие копирование API-функций. Я нашел место, где используется имя API-функции, но оно изменяется при каждом выполнении… Спасибо.
Сноска 3
[Перевод оглавления с испанского: Рома Стремилов, 01.2010, 05.2010]
Здесь стирается секция 150000, а затем копируется секция дампа. Кроме того, следует позаботиться о значениях кучи, которые нужны программе для ее нормальной работы. После запуска и остановки в Entry Point дампа они уже там, то есть нужно сделать так, чтобы после копирования всей секции они были там без каких-либо изменений, и тогда программа будет выполняться. Думаю, что нет необходимости писать об этом отдельный туториал, следует лишь добавить API функцию перед стиранием секции, а затем производить размещение и копирование, не стирая при этом данные кучи, используемые системой, которые были при запуске экзешника и заполнении секции. [Мне мысль автора не совсем ясна, поэтому перевод этого абзаца может оказаться неточным. Замечания по переводу можно направить мне в мой блог — комментарии открыты для всех.]
Рикардо Нарваха Я добавил несколько файлов, которые можно скачать по прежней ссылке — это конфигурация Olly Advanced, необходимая для сокрытия отладки, поскольку заставить программу выполняться в Olly довольно трудно, а в туториале об этом сказано было недостаточно. Поэтому я перебрал комбинации настроек плагина и в конце концов заставил анпэкми работать. Я использовал Hide Debugger 1.24 со всеми установленными галками и Olly Advanced , настроенный как показано на скриншотах [. Если у вас и теперь программа не работает, то вам придется найти свою собственную конфигурацию плагина таким же образом, как это сделал я — просто удаляя и устанавливая галки, хе-хе.
