Указатель
Данный документ призван сделать курс Рикардо мощным справочным пособием как для начинающего, так и для тех, кто уже владеет искусством крэкинга. Для облегчения поиска я постарался сделать его как можно более подробным, а также присоединил материал, опубликованный в списке конкурсов CracksLatinoS и относящийся к некоторым темам курса. Я посчитал его важным, несмотря на то, что он не входит в состав туториалов Рикардо. См., например:
Глава 44 Распаковка ACProtect 1.09g.f со всеми функциями защиты (3-я часть) 
Восстановление украденных байтов и OEP Борьба с антидампом Как сделать вставку, если секция, которую нужно создать, занята (дополнение к главе 44) Сноска 1
[Лазурно-синим выделена ссылка на статью.] Желтым выделена ссылка на комментарий, находящийся в этом же документе. Я оформил дополнительные материалы в виде комментариев, чтобы не присоединять файлы.
Части главного окна OllyDbg
- Дизассемблер (листинг)
- Область регистров
- Дамп
- Стек
Остальные окна OllyDbg
Окно Log
Окно Executables
Окно Memory
Окно Threads
Окно Windows
Окно Handles
Окно CPU
Окно Patches
Окно Call Stack
Окно BreakPoints
Окно References
Окно Run TraceУстановка OllyDbg в качестве JIT (Just-In-Time Debugger)
Подключение плагинов в OllyDbg
Горячие клавиши
- F2
- F7
- F8
- F9
- F12
Системы счисления
- Двоичная
- Десятичная
- Шестнадцатеричная
- Положительные и отрицательные числа в шестнадцатеричной системе счисления
**ASCII-символы
Что такое стек (куча)?
Что такое регистры и для чего они нужны?
- Дробление регистров (EAX → АХ | AL)**
Как изменять значения регистров?
Что такое флаги?**
- Флаг O (Overflow, переполнение)
- Флаг A (Auxiliar, дополнительный флаг переноса)
- Флаг P (Parity, четность)
- Флаг Z (Zero, нуль)
- Флаг S (Sign, знак)
- Флаг C (Carry, перенос)
- Флаги T, D и I
Ассемблерные инструкции
- NOP
- PUSH
- POP
- PUSHAD
- POPAD
- PUSHA
- POPA
- MOV
- MOVSX
- MOVZX
- LEA
- XCHG
Математические инструкции
- INC
- DEC
- ADD
- ADC
- SUB
- SBB
- MUL
- IMUL
- DIV
- XADD
- NEG
Логические инструкции
- AND
- OR
- XOR
- NOT
Инструкции сравнения и условных переходов
- CMP
- TEST
Инструкции переходов
- JMP
- JE ИЛИ JZ
- JNE ИЛИ JNZ
- JS
- JNS
- JP ИЛИ JPE
- JNP ИЛИ JNPE
- JO
- JNO
- JB
- JNB
- JBE
- JNBE
- JL
- JA JG JAE JGE
Инструкции ассемблера:
- CALL
- RET
Инструкции циклов *
- LOOP
- LOOPZ LOOPE
- LOOPNZ LOOPNE
Строковые (цепочечные) инструкции
- MOVS
- REP
- REPE REPZ
- LODS
- STOS
- CMPS
Способы адресации
- Прямая адресация
- Косвенная адресация
* В этой главе рассматривается функционирование циклов.
Базовые понятия
- Entry Point (точка входа)
- DLL (динамическая библиотека)
- API-функция
Как узнать список API-функций, использующихся в программе? (Search for -> Name (label) in current module (Ctrl+N))**
Как используются API-функции?
Брейкпоинты
- Обычные брейкпоинты (BP, BPX)
- Брейкпоинты на доступ к памяти (BPM, Memory Breakpoint)
Брейкпоинты
- Аппаратные брейкпоинты (HBP)
- Условные брейкпоинты (Conditional Breakpoint)
- Условные брейкпоинты с логированием (Conditional Log Breakpoint)
Как пользоваться сообщениями Windows’а?
- Брейкпоинты на сообщениях (BMSG)
Поиск серийных номеров
- Жестко заданные (hardcoded) серийные номера
- API-функция GetDlgItemTextA
Решение крэкми, упомянутого в предыдущей главе
- API-функция lstrcmpA
- API-функция GetWindowTextA
Другой крэкми с hardcoded-серийником
- API-функция memset
- API-функция lstrlen
Решение крэкми, упомянутого в предыдущей главе (Splish)
Поиск серийника в упакованном крэкми (Sambo)
- Использование сообщений Windows’а
Крякмисы с переменным серийным номером
- Крэкми CrueHead’а
- Крэкми Splish, 2-я часть с вводом имени пользователя (name/serial)
- Инструкция CDQ
- Инструкция IDIV ESI
Решение крэкми, упомянутого в предыдущей главе (Mexcrk1)
Игра Canasta v5.0 (В данной программе кнопка OK для ввода серийника изначально неактивна.)
Использование сообщений Windows’а для поиска серийника (WM_KEYUP)
- Крэкми Stzwei’я (crackme_4stz)
Обнаружение отладчика
- API-функция IsDebuggerPresent
- Патч крэкми против обнаружения
- Расположение соответствующего байта
- Изменение флага во избежание обнаружения
- Сокрытие отладчика с помощью плагина (Hide Debugger 1.23f)
Обнаружение OllyDbg по названию процесса
- API-функция OpenProcess
- API-функция EnumProcessModules
- API-функция GetModuleBaseName
Использование API-функции GetProcAddress
Другие антиотладочные приемы
- API-функция CreateToolhelp32Snapshot
- API-функция Process32First
- API-функция Process32Next
- API-функция TerminateProcess
- API-функция FindWindow
- API-функция EnumWindows
Антиотладка
- Исключения, не обрабатываемые в OllyDbg (Unhandled * Exceptions)
- API-функция SetUnhandledExceptionFilter
- API-функция ZwQueryInformationProcess
- API-функция UnhandledExceptionFilter
Плагин HideOD
Завершение изучения методов антиотладки
- Расположение байтов:
- NTGloblalFlag
- ProcessHeap
API-функция OutputDebugString
Решение крэкми, упомянутого в предыдущей главе (antisocial)
- С плагинами и без плагинов
Обработка исключений
- Понятие исключения
Разновидности исключений
- Нет доступа к памяти
- Деление на ноль
- Неверная инструкция; попытка запуска привилегированной инструкции
Как изменить настройки доступа секций в Olly?
Что происходит, когда генерируется исключение?
Что такое SEH?
Как устанавливается обработчик исключений?**
Версия Olly "Parcheado 5" (пропатченный Olly для поиска OEP’ов)
Взлом приложений, написанных на Visual Basic’е (VB)
Значение составляющих имени API-функции VB
Примеры API-функций
- Конвертация данных
- Перемещение данных
- Математические
- Вспомогательные
- Сравнения
Как устроен екзешник, скомпилированный VB’ком?
- Метод 4C
На войне как на войне
- Другой способ удаления наг-окон в VB**
- Вставка кода в DLL’ку VB
P-Code (псевдокод)
- Распознавание, изучение и взлом (API-функция MethCallEngine)
- Рассмотрение некоторых опкодов
Завершение изучения программ на P-Code
- Еще опкоды
- Решение крэкми, упомянутого в предыдущей главе
Вводные сведения о распаковке
- Для чего нужна упаковка программ?
- Что такое загрузчик и как он функционирует? (краткое объяснение)
- Понятие OEP
- Схема работы упакованной программы
Классический способ распаковки
Методы нахождения OEP
- Просмотр или поиск опкодов в листинге без запуска процедуры распаковки
- Использование встроенного в Olly поисковика OEP’ов
- Использование Olly Parcheado 5 (пропатченного Olly для поиска OEP’ов)
- Метод PUSHAD
- Для программ, написанных на VB (Native или P-Code)
- Метод исключений
- По API-функции, часто используемой распаковщиком
- Метод первой API-функции, вызываемой программой
Что такое IAT?
Использование LordPE снятия дампа
Что такое IT?
Как система наполняет IAT?
Распаковка вручную UPXа и восстановление IATа
- Использование PE Tools для снятия дампа
- Как восстановить IAT?
Распаковка ASPack 2.12
- Использование OllyDump для получения дампа
- Использование Import REConstructor’а для восстановления IATа
Распаковка Crunch 5.0.0 (Bit-Arts)
Распаковка tElock 0.98b1**
- Переадресовочные элементы IATа
Способы восстановления переадресовочных элементов IATа
- Метод восстановления вручную**
- Использование функции условного трассирования Olly
- Использование плагинов Import REConstructor’а
- Использование трассировщиков, встроенных в Import REConstructor
- Использование ключевых переходов JMP/CALL
Распаковка Yoda’s Protector 1.3 (Yoda’s Crypter)
Распаковка PELock 1.06.d (1-я часть)
Собственное логирование исключений
Начало темы об украденных байтах
- Как узнать, были ли украдены байты?
- Возвращение украденных байтов с помощью Binary copy / Binary paste
Украденный код
Баг обработки исключений в OllyDbg
Плагин OllyScript 0.92
Скрипт сокрытия HBP для PELock, tElock и пр.
Распаковка PELock 1.06.d (2-я часть)
Разновидности антидампа
- Борьба с антидампом, создающим секции во время распаковки
- Добавление в дамп секции, созданной во время распаковки
- Ссылка на метод, предложенный marciano
Распаковка ACProtect 1.09g.f со всеми опциями защиты (1-я часть)
- Рассмотрение отладочных регистров в структуре CONTEXT
- Поиск OEP с помощью скрипта, скрывающего аппаратные брейкпоинты
- Восстановление украденных байтов
Распаковка ACProtect 1.09g.f со всеми опциями защиты (2-я часть)
- Восстановление IATа с помощью скрипта IAT.txt
Распаковка ReCrypt 0.80. (Этот крэкми в Olly не запускается, поэтому Рикардо показал методы, обычно помогающие добиваться запуска в отладчике.)
Другой метод распаковки с использованием утилит Estricnina и Pokemon AntiAttach. (Дополнение, написанное Arapumk’ом о другом способе атаки этого упаковщика. Показан альтернативный метод, к которому мы не привыкли.)
Программа с собственной защитой Patrick.exe (1-я часть)
- Проверка запустившей крэкми программы (API-функция Process32Next)
- Разрешение конфликта с HideOD
- Проверка модулей Explorer.exe (API-функция Module32First)
- Проверка пути до Explorer.exe (API-функция GetWindowsDirectory)
- Обфускация для сокрытия кода в листинге
- Получение пути крэкми (API-функция GetModuleFileName)
- Проверка наличия другого процесса крэкми (API-функция CreateMutex)
- Создание второго процесса крэкми (API-функция CreateProcess)
- Разрешение конфликта с HideOD
Программа с собственной защитой Patrick.exe (2-я часть)
- Остальные защиты и способы их обхода
- Запуск Patrick.exe в Olly без проблем
Метод логировки API-функций, используемых программой
Распаковка PeSpin 1.3.04.f (1-я часть)
- Возврат украденных байтов
Распаковка PeSpin 1.3.04.f (2-я часть)
- Восстановление IAT
- Борьба с антидампом
Распаковка ReCrypt 0.80
- API-функция OutputDebugString
Распаковка ASProtect 2.3.04.26.a (2-я часть)
- Ликвидация переадресации с помощью скрипта Hiei
Распаковка TPPpack (альтернативный вариант) *
- Поиск OEP и возврат украденного кода с помощью 1-го скрипта Ulaterck’а
- Восстановление IAT с помощью 2-го скрипта Ulaterck’а
* Рикардо сначала приводит объяснение по туториалу Ulaterck’а, затем (о восстановлении IAT) — по туториалу Marciano (конкурс 97, уровень 4).
Распаковка ExeCryptor 2.2.50.a с максимальным сжатием ресурсов/кодов/данных, без защиты (1-я часть)
- Использование TLS callback (способы поиска с помощью различных утилит)
Распаковка ExeCryptor 2.2.50.a с максимальным сжатием ресурсов/кодов/данных, без защиты (2-я часть)
- Написание скрипта для восстановления IATа
- Дамп
Распаковка ExeCryptor 2.2.50.b
- Работа с потоками
- Написание скрипта для восстановления IATа
- Дамп
Распаковка ExeCryptor 2.2.50.c/d/e/f/g
- Использование нароботок из предыдущих глав об ExeCryptor
- Распаковка ExeCryptor 2.2.50.c с включенной опцией "Kill Registry/File monitors"
- Распаковка ExeCryptor 2.2.50.d с включенной опцией "Debug messages"
- Распаковка ExeCryptor 2.2.50.e с включенной опцией "Active watch"
- Распаковка ExeCryptor 2.2.50.f с включенной опцией "Patch protection"
- Распаковка ExeCryptor 2.2.50.g с включенной опцией "Anti-trace"
Продолжаем ломать ExeCryptor
Сноска 1
Меня спросили, как сделать вставку, если секция, которую нужно создать, уже занята. Так было и на моем компьютере: начало секции антидампа оказалось 150000, где система создает кучу со значениями, необходимыми для работы программы. Если произвести только стирание и копирование, антидамп выполняться не будет:
0046B017 60 PUSHAD
0046B018 90 NOP
0046B019 68 00400000 PUSH 4000
0046B01E 68 00800200 PUSH 28000
0046B023 68 00001500 PUSH 150000
0046B028 FF15 A4094600 CALL NEAR DWORD PTR DS:[4609A4] ;kernel32.VirtualFree
0046B02E 90 NOP
0046B02F 6A 04 PUSH 4
0046B031 68 00200000 PUSH 2000
0046B036 68 00C00300 PUSH 3C000
0046B03B 68 00001500 PUSH 150000
0046B040 FF15 A8094600 CALL NEAR DWORD PTR DS:[4609A8] ;kernel32.VirtualAlloc
0046B046 90 NOP
0046B047 6A 04 PUSH 4
0046B049 68 00100000 PUSH 1000
0046B04E 68 00C00300 PUSH 3C000
0046B053 68 00001500 PUSH 150000
0046B058 FF15 A8094600 CALL NEAR DWORD PTR DS:[4609A8] ;kernel32.VirtualAlloc
0046B05E 61 POPAD
0046B05F 90 NOPЗдесь стирается секция 150000, а затем копируется секция дампа. Кроме того, следует позаботиться о значениях кучи, которые нужны программе для ее нормальной работы. После запуска и остановки в Entry Point дампа они уже там, то есть нужно сделать так, чтобы после копирования всей секции они были там без каких-либо изменений, и тогда программа будет выполняться. Думаю, что нет необходимости писать об этом отдельный туториал, следует лишь добавить API функцию перед стиранием секции, а затем производить размещение и копирование, не стирая при этом данные кучи, используемые системой, которые были при запуске экзешника и заполнении секции. [Мне мысль автора не совсем ясна, поэтому перевод этого абзаца может оказаться неточным. Замечания по переводу можно направить мне в мой блог bpmx.livejournal.com — комментарии открыты для всех.]
Рикардо Нарваха
Сноска 2
Ralba —Error 45, а от второго волосы дыбом встают. Такое впечатление, что процессор вот-вот из материнки выскочит, хе-хе. И это не считая того, что я не могу запустить данную версию ASProtect’а из Проводника простым двойным кликом! Так происходит только со мной или есть и другие? Я уж и копировал в различные места на жестком диске, чтобы изменить путь, но всё без толку…
Рикардо Нарваха Этот упаковщик весьма чувствителен из-за RDTSC. Если он не запускается вне отладчика, то в Olly будет работать еще меньше.
OtupAtpaxa Этот упаковщик — однозначно гадина в высшей степени, хотя, согласно Рикардо, это наименее защищенная версия. У меня на него почти весь вечер уходит — проще будет написать скрипт, чем заставить его дойти до OEP! Из 20-ти попыток дойти до OEP удается 1, и ничего с этим не поделаешь. Он просто перемалывает меня в своих жерновах! Кроме того, данный анпэкми, как верно заметил Ralba, не только не работает в Olly, но и не запускается двойным кликом в Windows’е. Я крайне разочарован. Надеюсь, кто-нибудь поможет с ним разобраться :-)
Рикардо Нарваха Если анпэкми не запускается вне отладчика, нужно скопировать его в другую папку, и там должен заработать. Пробовал новую версию Olly Advanced с включенным драйвером Anti-RDTSC fakerdtsc (метод 1)? Однажды я никак не мог запустить программу; перезагрузил, и проблема исчезла.
DAMIAN Otup, это потому что ты не пробовал приаттачиться. <…> Скрипт работает с OEP, я его еще не смотрел. dapaf
OtupAtpaxa Привет, Рикардо! Изменять папки я попробовал, однако результат всегда эвристический: 2 раза программа запускается, а 8 раз — нет… Большое спасибо за файлы, отправленные тобой этим вечером, но я их еще не смотрел. Надеюсь, завтрашний день будет более удачным.
dapaf, твоя идея, конечно, хороша, но у меня приаттачиться не получается… Полагаю, что если есть возможность присоединиться к запущенному (и остановленному) процессу, то можно будет дойти до какого-нибудь вызова антидампа. Это, конечно, лучше, чем ничего.
Рикардо Нарваха Я бы сказал, что проблема скорее в процедуре антидампа, которая переписывает API-функцию из DLL’ки в созданную упаковщиком область памяти и модифицирует уже выполненный CALL, чтобы он указывал на эту область и чтобы после его выполнения было сложно идентифицировать API-функцию, поскольку он больше на нее не указывает. По-моему, трудность заключается именно в этом.
Ralba Простите, маэстро, но что такое RDTSC?
Рикардо Нарваха Инструкция RDTSC позволяет определять число циклов, прошедших с момента включения компьютера и может использоваться подобно GetTickCount для определения промежутка времени между двумя вызовами команды, что и применено в исследуемом ASProtect’е, но не два, а несколько раз. Эта команда осложняет процесс взлома и перехват API-функций, поскольку во время ручной трассировки каждый раз при проходе через RDTSC происходит приостановка выполнения, а это влияет на результат и далее начинаются проблемы. В те времена, когда еще не было драйверов Anti-RDTSC, приходилось останавливаться на командах RDTSC (с помощью пошаговой трассировки, либо ища во всём коде инструкции RDTSC и устанавливая на каждую BP, либо запуская условную трассировку Trace into с остановками на RDTSC), а затем после выполнения инструкции изменять значения регистров EAX и EDX, обнуляя или сокращая период времени между двумя вызовами. Теперь же появились специальные драйверы, входящие в состав Olly Advanced под названием Anti13 RDTSC (fakerdtsc) — они изменяют в нулевом кольце свойства инструкции, чтобы блокировать ее работу в третьем. Данные драйверы изменяют один флаг, и это дает нам возможность работать с программой в Ring3. Таким образом, если в OllyDbg не задействовать драйвер Olly Advanced fakerdtsc, программа выполняться не будет. Могу предположить, что иногда она будет отказываться работать, если время вычислено очень точно. Так бывает, когда программисты предпринимают отчаянные антиотладочные меры.
OtupAtpaxa Привет, Рикардо! Действительно, с последней версией Olly Advanced программа работает немного лучше. Архив fakerdtsc.rar теперь уже не столь актуален, так как он содержит файл fakerdtsc.sys, создаваемый во время работы Olly. Напоследок, перед тем как поднять белый флаг, я хотел бы узнать: может ли скрипт выяснить, какая инструкция является анти-дампом, поскольку на моем компьютере это иногда 015E0000, а иногда — 015C0000… А также — может ли он изменить инструкции, производящие копирование API-функций. Я нашел место, где используется имя API-функции, но оно изменяется при каждом выполнении… Спасибо.
Сноска 3
Рикардо Нарваха Я добавил несколько файлов, которые можно скачать по прежней ссылке — это конфигурация Olly Advanced, необходимая для сокрытия отладки, поскольку заставить программу выполняться в Olly довольно трудно, а в туториале об этом сказано было недостаточно. Поэтому я перебрал комбинации настроек плагина и в конце концов заставил анпэкми работать. Я использовал Hide Debugger 1.24 [ссылка] со всеми установленными галками и Olly Advanced [ссылка], настроенный как показано на скриншотах [ссылка]. Если у вас и теперь программа не работает, то вам придется найти свою собственную конфигурацию плагина таким же образом, как это сделал я — просто удаляя и устанавливая галки, хе-хе.
[Перевод оглавления с испанского: Рома Стремилов, 01.2010, 05.2010]
Last updated
Was this helpful?