Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Последние темы форума

Показать новые сообщения »

Почтовая рассылка

Подписчиков: 11642
Последний выпуск: 19.06.2015

Техника и философия хакерских атак

Крис Касперски

Продолжение...

Смысл этих строк такой - если первый байт ключа '90' == NOP, то он затирает trial.com и тот, даже не делая попытки его расшифровать, переходит к другому ключу!

Так, про недостающие шесть байт -

00000002: 98                           cbw 
00000003: 83C406                       add       sp,006 
00000006: 03F0                         add       si,ax 

их нужно вписать в обработчик int 0x0. При этом он будет корректно работать.

Примеры реальных взломов

В настоящей книге все атаки рассматривались исключительно на примерах, специально написанных для демонстрации того или иного алгоритма программ 'CrackMe'. При этом многие из них были слишком искусственными и далекими от реальных защитных механизмов. Это было удобно для изложения материала, но не отражало реальных существующих защит.

Поэтому я решил включить в приложения некоторые примеры реальных взломов. Все эти программы широко распространены и отражают средний уровень защиты условно-бесплатных программ. Заметим, что он существенно ниже, чем многие из предложенных в книге реализаций.

Напоминаю, что взлом в той или иной мере конфликтует с российским и международным законодательством. Поэтому необходимо помнить, что взлом не освобождает от регистрации и может быть использован только в образовательных целях, но никак не для получения какой-либо выгоды. В этом случае конфликтов с законодательсвом не возникнет.

Subj : ломать нечего?

---------------------------------------------------------------------------

В одной конференции некогда мне встретился следующий диалог трех молодых людей (в просторечии ламеров).

SP> Аидcтеcт поковыpяй :)) Он такой извpащенный, оказываетcя... Че-то там в

SP> памяти елозит, pаcшифpовываетcя... Боитcя, что его поганyю pекламy

SP> повыкидывают:))

AL> Гы. У нас пpеп на кафедpе pазвлекается: патчит aidstest так, что у

AL> того pеклама ввеpх ногами пеpевоpачивается :)))

SO> Чет cомневаюcь я, что он аидcтеcт именно патчит. Cкоpей допиcывает к немy

SO> [цензура], котоpая гpафичеcкий экpан c pекламой пеpевоpачивает. Это кyда

SO> пpоще.

На самом деле это действительно легко пpавится заменой всего двух команд в исполняемом файле. Логично, что реклама выводится построчечно сверху вниз. Поэтому, указав новое "начало" вывода стpок и изменив инкpемент на декpемент, мы сможем вывести изображение в обратном порядке. Т.е. "вверх ногами".

С последним пpоще (и DEC и INC - однобайтовые коды), а вот "начало" экpана пеpедается пpоцедуpе как PUSH ES:[BP+xxx]. В отладчике трудно, не выходя из процедуры, найти код, который передает этот аргумент. Но можно не сходя с текущей позиции курсора, заменить пятибайтовую команду PUSH ES: [BP+xxxx] на тpехбайтовую PUSH 0x150 (где 0x150 представляет приблизительное число строк экрана) и два оставшиеся байта заменить командами NOP.

Можно наслаждаться перевернутой рекламой. Неплохая первоапрельская шутка или приятный (точнее, неожиданный) сюрприз для пользователей. Интересно, сколько из них сочтут это проявлениями коварного вируса?

Пару слов об "извращенности" AIDSTESTa. Любопытно, но я надеюсь, что SP, говоря о защите pекламы (которая представляет собой обычный pcx файл, дописанный к файлу, даже не зашифрованный и легко распознаваемый на глаз в дампе файла при минимальном опыте работы с графикой), не имел ввиду сжатие AidsTesta обычным exe-пакеpом.

Впрочем, по непонятной причине все выводимые антивирусом тексты слегка зашифрованы. Но настолько тривиально, что это не заслуживает упоминания. Криптор построен всего из двух команд - sub al,cl/add cl,7, но шифротекст может быть раскрыт даже без знаний этого алгоритма ввиду его полной некриптостойкости.

Самое интересное, что на фоне всего этого веpификация собственного кода напpочь отсутствует! Во всяком случае, я заменил тексты, пеpевеpнул pекламу, потом отключил ее, скоppектиpовал контpоль "стаpости", затем выкинул его напpочь и... никаких ругательств со стороны антивируса.

Плохо, очень плохо выпускать такие программы. Они не обеспечивают даже минимальной безопасности и легко могут быть видоизменены вирусом или злоумышленником в своих целях. Еще совсем недавно, когда отсутствовал Интернет (а вместе с ним быстрые и легальные каналы получения ПО), антивирусы распространялись (между прочим, незаконно) через сеть BBS. Нередки были случаи, когда "свежая" версия представляла собой старую с измененной "вручную" версией продукта, но зараженную новым вирусом. Так был широко распространен, например, вирус "Фантом". Помнится, что тогда Дмитрий Николаевич горько сетовал по поводу морали вирусописателей. Это все верно, конечно. Но не задумывался ли он (а вместе с ним и его клиенты), что очень нехорошо, когда массовая антивирусная система имеет такой потрясающе низкий уровень защиты? Небрежность разработчика в который раз стала причиной эпидеми. А вирусы... (точнее, их авторы) были единственными "козлами отпущения".

Однако я до сих пор не сказал, как найти эти самые команды в сотнях килобайт запутанного кода, которые следует исправить? Есть много путей. Один из них - найти саму рекламу непосредственно в памяти. Как уже отмечалось, это обычный pcx файл. Остается только поставить точку останова на любой байт, принадлежащий этому фрагменту, и код, читающий ее, будет искомой функцией вывода картинки на экран. Отмечу, что не стоит ставить точку останова на диапазон памяти, т.к. это сильно замедлит выполнение программы, и будет ничуть не эффектвнее всего одной точки.

Ничего интеpесного в Aidstest'e так и не наблюдалось...

Subj : ARJ

----------------------------------------------------------------------------

В описании заголовка ARJ Роберт Янг не раскрывает значение байта 0xB заголовка, оставляя его "зарезервированным". Между тем он активно используется при шифровке паролем!

В arj используется система шифрования Вернама, которая в источнике "Почему криптосистемы ненадежны?" Павела Семьянова неверно отождествлена с гаммированием. На самом деле все очень и очень просто, и говорить о "криптостойкости" arj можно только в переносном смысле (впрочем, телефоны своих любовниц в нем - с некоторой натяжкой - еще держать можно).

Пусть пароль представлен как S1S2S3. Получим бесконечную последовательность s1s2s3s1s2s3s1s2s3 и тогда NN-ый символ открытого текста преобразуется в шифротекст простым XOR [Sn],[Nn]+MAG_VALUЕ. Что такое MAG_VALUE? А это и есть тот "зарезервированный" символ, назначение которого Роберт не раскрыл в документации.

Однако, наивно было бы полагать, что этим можно повысить криптостойкость алгоритма шифрования. Это "волшебное значение", видимо, генерируется случайным образом для каждого файла. Назначение его не ясно. Никакого влияния на криптостойкость оно не оказывает и вряд ли может быть названо усовершенствованием алгоритма, поскольку для атаки можно использовать те же самые методы (что и для "чистого" шифра Вернама) и с тем же успехом.

Любопытно, что пароли abc и abcabc ('5555' и '5') абсолютно идентичны! (И, кстати, об этом умалчивается в документации)! Отсюда вытекает, что выбор "неудачного" пароля может позволить "прямую" атаку на шифр!

Заметим, что если нам известен фрагмент шифротекста в открытом виде, равный (или больший) длине пароля, то "взлом" возможен _без_ трудозатрат и мгновенно. Однако, то, что файлы сжаты, усложняет атаку. Необходимо в самом простом случае иметь один файл из архива в незашифрованном виде. С другой стороны, вовсе не факт, что в сжатом тексте нельзя предсказать появления заданных символов в конкретном месте, что раскроет по крайней мере некоторые символы пароля или даже пароль целиком: но это требует дальнейших исследований. И в заключение скажу еще раз: наивно думать, что "хакеры" это "компьютерные гуру" - ибо во всех имеющихся у меня хакерских материалах четко прослеживается мысль "не просите нас ломать пароли архиваторов".

Subj : AVP разбор полетов

----------------------------------------------------------------------------

Необходимое замечание

Вирусная энциклопедия AVPVE (кстати, положенная в основу книги "Компьютерные вирусы в MS-DOS") - это великолепное и уникальное произведение, на сегодняшний день не имеющее аналогов.

Однако реализация оболочки просмотра оставляет желать лучшего. Не предусмотрен ни контекстный поиск, ни возможность вывода на принтер; нет ни истории, ни других "вкусностей". Кроме того, мое естественное желание получить "линейный" текст (для распечатки и глобального контекстного поиска) штатными средствами было невыполнимо.

Словом, хотелось выбрать индивидуально-предпочтительный интерфейс работы с энциклопедией (сконвертить текст в HTML для просмотра через браузер; извлечь все "демонстрационные эффекты" в отдельные файлы для последующего дизассемблирования любопытных экземпляров и т.д. )

По-видимому, я не был одинок в своих желаниях, поскольку в разных источниках появлялись "выломанные" из AVPVE фрагменты описаний и демок. Судя по "мусору" в концах файлов, ясно, что их выдирали "вручную" в дебагере, а тексты (скорее всего) получали экранными грабилками. Понятно, что перепечатки без ведома автора - плохая практика.

Каким бы экономичным в плане мыслительной деятельности этот путь ни был, в плане физической (деятельности) он нерационально утомителен. "Расщепление" же всей энциклопедии таким способом потребовало бы немыслимого труда и времени. Кроме того, при выходе новой версии всю эту бессмысленную работу пришлось бы переделывать (а новые версии периодически выходят - имейте в виду).

Поэтому я решил исследовать формат файлов для написания собственной гляделки/конвертора или что-еще-там-понадобится. А понадобится может много чего. Например, неплохо бы при пополнении антивирусной базы (в том числе и пользовательской) добавлять в хелп новые описания и спецэффекты.

> Я отдаю себе отчет в том, что, зная формат dem файлов, некоторые

> личности смогут их видоизменить таким образом, что демонстрация может (к

> большому удивлению юзера) покрошить ему диск. Поэтому я настоятельно

> рекомендую не "сливать" никаких компонентов "Вирусной энциклопедии" из

> сомнительных источников.

Однако я не нахожу достаточных причин, препятствующих распространению этой информации, поскольку сомневаюсь, что троянизированные компоненты могут получить широкое распространение, ведь злоумышленник может уничтожить информацию гораздо более гарантированными способами.

Результат своих изысканий я привожу ниже. Замечу, что пока я не разобрался с некоторыми (в общем-то некритичными) полями, поскольку необходимости в них не возникло.

Формат файлов (общее)

По моему мнению, формат файлов вирусной энциклопедии плохо продуман, неоптимально реализован, часто противоречив и местами исходит из соображений "авось и так сойдет".

Сказанное выше не повод для наезда или оскорбления, а констатация очевидных фактов. Однако это никак не должно ущемлять Автора, ибо излишняя гениальность в наше время до добра никого не доводит и экономически нецелесообразна.

Вся информация, приведенная ниже, получена путем дизассемблирования вирусной энциклопедии avpve.exe IDА 3.6 и уточнения ряда моментов под Soft-Ice 2.8; назначение многих полей определялось простым визуальным просмотром, благо что было логичным и вытекающим из содержимого.

Большинство секций всех файлов упакованы по усовершенствованному LZk (k от Касперского) алгоритму, который не меняется от файла к файлу и от версии к версии.

Некоторые секции шифрованы тривиальным XOR [b],0xAD. Смысл этого мне абсолютно не ясен (разве погонять процессор), но, как говорят, хозяин - барин.

Алгоритм LZk

----------------------------------------------------- | префиксы | | | | | префиксы | | | | | префиксы | -/- ---word------data-----word------data-----word--------

Коды префиксов (биты)

1 - не упакованный байт 0 - упакованный байт (см. ниже) 00хх - байт-указатель, xx+2 длина фрагмента 01 - слово, 13 бит на указатель и 3 на длину + 2

      - если длина==1, то пропустить следующий байт как незначащий
      - если длина==0, то следующий байт - длина фрагмента+1
      - если длина==0 и следующий байт==0, то конец распаковке

Данной информации хватает для написания пакера/анпакера, хотя пакер необходим только для эффективной перепаковки после внесенных изменений. Если дисковое пространство не критично, то можно прописать в префиксах 0xffff, оставив файлы не упакованными. Но лучше все же написать полноценный упаковщик.

Данный механизм обеспечивает сжатие примерно в 1.8 раз для текстовых данных с незначительными накладными расходами.

Формат файла языковой поддержки AVP.LNG

Большинство сообщений системы Касперского вынесено в файл *.lng, что удобно для его изменения, редактирования и т.д. Впрочем, для этого понадобится написать специальный компилятор, ибо вручную это сделать не представляется возможным. С этой целью я описываю ниже формат файла.

Ограничения: Секция строк ограничена 0x7D00 байтами, (32.000 в десятичном представлении), а секция адресов 0x7D0 (2.000 в десятичном представлении), впрочем, размер секции адресов при редактировании файла не изменяется, поэтому это ограничение можно не учитывать.

Формат

Файл состоит из трех частей: заголовка 0x1A байт, следующей за ним секцией строк и адресов.

--------------------------------------------- | заголовок | секция строк | секция адресов | ----0х1А-------------------------------------

Рассмотрим подробнее заголовок:

                              section.string      section.addr
 -----------------------------|------------|------|----------|--------
 | "-VLanguageSupport",0 | UNP_SIZE | PCK_SIZE | UNP_SIZE | PCK_SIZE |
 ------------0x12-------------word------word-------word------word-----

Первые 0x12 байт - это сигнатура, которая проверяется при загрузке файла, UNP_SIZE - оригинальный размер упакованной секции строк/адресов, PCK_SIZE - размер запакованной секции строк/адресов.

Секция строк представляет обычные строковые ресурсы а-ля-Виндоус, которая поксорена по XOR [byte],0xAD; больше ничего интересного не наблюдается. Никаких CRC не предусмотрено.

Сразу за секцией строк начинается секция адресов. Для нее все аналогично, с тем различием, что она не зашифрована.

Обе секции пожаты по описанному выше LZk алгоритму. Секция адресов состоит из far указателей на строки. Сегмент может быть произвольным, т.к. при загрузке он устанавливается программой самостоятельно; смещение отсчитывается от 0x4 (именно такое смещение бывает у выделенных блоков функцией malloc). Это совсем неправильно, ибо нельзя столь беспечно полагаться на системную библиотеку компилятора. Секция адресов пожата, но не шифрована. Однако могу заметить, что глупо использовать такой алгоритм, т.к. нужно было сохранять одни смещения, а не тянуть за собой никому не нужный сегмент.

Формат файлов HLP

Файлы HLP содержат много структур, точнее, все вместе: и таблицы смещений, и данные, и ссылки на внешние файлы (например dem).

ФОРМАТ

-------------------------------------------------------------------------- | HEAD | OEM | section.TitleOffset | section.OffsetOffset | section.text | --------------------------------------------------------------------------

Формат файлов HLP довольно необычен и содержит несколько подструктур, хотя можно было бы обойтись и одной глобальной структурой; но зато он оптимизирован для медленных машин и ограниченного объема памяти и tiny(!) модели памяти.

Алгоритм работы в общих чертах такой - сначала распаковывается section.OffsetOffset, которая содержит точки входа в структуру TitleHeap. Каждый вход содержит подструктуру TitleOffset, которая имеет переменную длину (вот поэтому и потребовалась вспомогательная подструктура OffsetOffset). В структуре TitleOffset описываются гиперссылки, ссылки на секцию text и ссылки на внешний ресурс.

ЗАГОЛОВОК

-------------------------------------------------------------- | '.VHG' | lp * OffsetOffset | lp * text | OEM text | ---dword----------dword-------------dword--------not define---

Заголовок содержит, кроме традиционной сигнатуры, ссылки на две секции section.OffsetOffset и section.Text; смещения отсчитываются от начала файла. Указатель на секцию section.TitleOffset в заголовке отсутствует по той причине, что он на него ссылается. Элемент 0xC секции OffsetOffset. OEM text, показанный здесь входящим в заголовок для наглядности, на самом деле к заголовку скорее всего не относится, - но это сути не меняет, ибо он совершенно бесполезен... Разве что как копирайт.

Section.OffsetOffset 

OffsetOffset - это основной ключ к пониманию структуры файлов hlp. Эта секция содержит смещения относительно начала файла на структуры, которые содержат все необходимые ссылки на нужные ресурсы. Все гиперссылки ссылаются на section.OffsetOffset.

СЖАТЫЙ ФОРМАТ OffsetOffset

-------------------------------------------------------- | Numer Index | Real Numer Index | not use | данные ----word---------------word----------word---------------

Numer Index : число индексов в секции. Все индексы - двойные слова.

Real Numer : число реально используемых индексов.

not use : а вот это поле однозначно не используется в AVPVE.exe

Секция OffsetOffset упакована по алгоритму LZk и не шифрована.

РАСПАКОВАННЫЙ ФОРМАТ

----------------------------------------------- | ???? | INDEX 1 | INDEX 2 | INDEX 3 | -/- ----0x30-----dword-----dword-----dword---------

Все индексы содержат смещения относительно начала файла.

Назначение первых 0x30 байт неясно. Но и без их понимания все хорошо работает.

СТРУКТУРА TITLE

----------------------------------------------------------------------- | x_lnk | x_offs | lp *demo | N_Link | LINK | loc_offset | lp *vol | --word-----word------dword-------word-----*** -----word--------dword---

x_lnk : Это поле не используется в текущих версиях и вряд ли

           его использование намечается в дальнейшем, но содержимое его
           очевидно - число гиперссылок во внешнем ресурсе.
 

x_offs : Это поле не используется в текущих версиях, но, возможно, будет

           использовано в последующих. Содержит смещение топика в разделе.
 

lp *dem : Смещение относительно начала файла внешнего ресурса dem; если

           равно нулю, то внешнего ресурса нет.
 

N_LINK : Число гиперссылок в разделе. Если нуль, то гиперссылок нет.

LINK : Секция описания гиперссылок (локальная). Размер секции 5*N_LINK.

loc_off : Локальное смещение подзаголовка в разделе.

lp *vol : Смещения раздела относительно начала секции section.text

<B>Замечание.<D> По общему мнению, данная структура неудобна и переменная длина вызывает необходимость введения еще одной структуры OffsetOffset.

Но внимание привлекает любопытная деталь - встроенное кеширование. Дело в том, что несколько заголовков (для улучшения сжатия?) пакуются в один раздел, поэтому для определения необходимого подраздела вводится еще одно двухбайтовое поле loc_offset, которое представляет смещение в распакованном фрагменте. Двухбайтовая величина наводит на мысль от том, что максимальный размер раздела 0xffff байт - полезный штрих для практической реализации.

Интересный момент - avpve.exe НЕ ИСПОЛЬЗУЕТ кеширования и при чтении следующей главы в уже распакованном разделе повторно его распаковывает! Ну что тут можно сказать...

СТРУКТУРА ССЫЛОК

---------------------------- | INDEX | offset | Length | ---word-----word------byte--

INDEX : это индекс структуры OffsetOffset offset : смещение начала гиперссылки в разделе. Используется браузером

            для "подсветки" гиперссылок.
   Length : длина гиперссылки, также нужна браузеру для выделения.

СТРУКТУРА TITLE

Первая секция: --------------------------------------- | N_TOPIC | SIZE TOPIC | flag? | text | ---word------word--------word----------

Последующие секции: ----------------------------- | SIZE TOPIC | flag? | text | -----word--------word--------

N_TOPIC : Число подразделов в разделе. SIZE_TOPIC : Размер подраздела в байтах. flag : Не разбирался. Но и без него работает.

СТРУКТУРА DEM ФАЙЛОВ

-------------- | ?-V | ---word-------

DEM-файлы (как внешний ресурс) своей структуры как таковой не имеют, ибо все ссылки на них находятся в базовом HLP файле. DEM файл - это просто набор ресурсов, смещения которых хранятся в структуре TitleHeap в hlp файле. Поэтому читайте ниже о формате ресурсов, а пока обратите внимание, на то, что dem- файлы имеют свою сигнатуру в заголовке, без которой стандартный просмотрщик откажется их просматривать.

ФОРМАТ РЕСУРСОВ

------------------------ | PCK_SIZE | d a t a | ----dword---------------

Ресурсы dem-файла - это "демонстрации вирусных эффектов", уже "готовые к употреблению" com-файлы. Остается их только извлечь.

Поле PCK_SIZE - это размер упакованного ресурса. Двойное слово.

Сами данные упакованы и шифрованы.

Subj : Bounds-Checker 5

----------------------------------------------------------------------------

Для ковыряния в недрах программ, написанных под Windows, и ломания под ней же, Bounds-Checker в сочетании с Soft-Ice просто превосходен. Например, не нужно "угадывать", какой же функцией манипулирует защита: GetDlgItemTextA, GetWindowTextA, GetWindowText или, может быть, чем-то другим? Достаточно просто изучить рапорт Bounds-Checker-а.

И была бы коту масленица, но преподнесла судьба ему сюрприз в виде 'evaluation version' в том смысле, что после 30 дней надо готовить $. А если их нет? Но если у человека нет $, то у него наверняка есть отладчик. Вот им мы и воспользуемся. Я вообще смутно понимаю мотивы, побуждающие ставить любого рода защиты на хакер-ориентированное программное обеспечение, которое часто отламывается меньше чем за минуту! Не был исключением и этот случай.

Процедура регистрации наводит на мысль, что вероятнее всего используется привязка к имени владельца/фирмы, но это не так. "Отпирающий код" не зависит от вашего имени. Чтобы в этом убедиться, достаточно поставить брейк-пойнт на GetWindowTextA, дальше брейк-пойнт на введенный вами код и... нет, ну это просто издевательство - тривиальное сравнение двух строк! Запоминем эталонный код (или записываем его на бумажку).

Вводим его - работает?! Обидно все-таки - за кого нас принимают все время? Впрочем, я не уверен, что этот код будет одинаковый во всех версиях... возможно, есть множество версий с разными кодами (ибо, помнится, там еще и серийный номер высвечивался). Но я не думаю, что они защищены иначе.

Кстати, при переустановке версия останется "Зарегистрированной", это приятно. И не надо патчить код.

Subj : CD-MAN EGA Version

----------------------------------------------------------------------------

Добpая, стаpая, великолепная игpушка! Выполненная в выcшем EGA pазpешении (будет почище некотрых VGA-шных), очень кpасочно наpисованная. Хоpошо чувствуется вкус и тонкий добpый юмоp автоpа. Занимая всего 380 килобайт и отвечая всем совpеменным тpебованиям (только музыка на спикеp...), CD-MAN вызывает тpепещущее ностальгическое чувство: "Эх, делали же игpы во вpемена нашей молодости...".

Но, попав на Pentium, Сиди-ман бегает как... словом, очень быстро! Надо исправить... Несколько pаз остановив игpу, мы, веpоятно, должны попасть в тело пpоцедуpы ожидания (хотя это бывает и не всегда, но достаточно часто) То, что это именно пpоцедуpа ожидания, легко узнать по хаpактеpным циклам. Вот что мы обнаpужим. Хм... неплохо оптимизиpованный код! Нетpудно понять его смысл... увы! задеpжка пpивязывается не к таймеpу, а к быстpодействию компьютеpа. Посмотpим, что можно сделать...

Итак, ясно, что интеpвал задеpжки (пеpедаваемый как паpаметp этой пpоцедуpе) хpанится в слове DS:[1120h], учитывая pазмеp пpоцедуpы, можно было бы пеpеписать ее полностью, используя RTC чеpез функцию f.86h пpеpывания 15h, тогда бы она работала на всех компьютеpах одинаково. Но давайте поступим иначе. В 6123h и 612Dh в CX гpузятся константы. Ясно, что если их увеличить, то задеpжка возpастет. Увеличим пpопоpционально эти две константы - скажем, pаз в пять - и полюбуемся pезультатом... Да, тепеpь скоpость ноpмализовалась...

0000611D: 53                        push bx 
0000611E: 51                        push cx 
0000611F: 8B1E2011                  mov bx,word ptr [1120] 
00006123: B90800                    mov cx,0008            ;<-----¬ 
00006126: 803E540200                cmp byte ptr [0254],00        ¦ 
0000612B: 7403                      jz 00006130            ;--\   ¦ 
0000612D: B90500                    mov cx,0005                -¬ ¦ 
00006130: E2FE                      loop 00006130          ;---+- ¦ 
00006132: 8BCB                      mov cx,bx                     ¦ 
00006134: 4B                        dec bx                        ¦ 
00006135: E2EC                      loop 00006123          ;------- 
00006137: 59                        pop cx 
00006138: 5B                        pop bx 
00006139: C3                        ret 

Subj : F-PROT 2.19

----------------------------------------------------------------------------

Вообще-то я не довеpяю антивиpусам... Как бы ни совеpшенствовался автоматический поиск, но до pучного ему еще далеко. Я не полагаюсь на антивиpусы, а ищу и отлавливаю "насекомых" сам. F-PROT запустил для чистого любопытства. Веpсия 2.19, ссылаясь на устарелость версии, бесцеремонно "выплевывает" меня в DOS! Да, наглый нынче наpод стал. Ну что, будем лечить... Т.е. удалим пpовеpку даты, а то лень пеpеводить ее назад (да и глупо).

Нажимаю F3 и вижу (по отсутствию таблицы перемещаемых элементов), что файл явно упакован. Падчик лень делать (хотя я уже имел к этому вpемени готовый инстpументаpий, но я не стоpонник падчиков), поэтому пытаюсь pаспаковать файл пеpвым, что попадается под pуку, - UNP, котоpый сполна опpавдывает возложенные на него надежды.

Запускаю pаспакованный файл... Мда, контpоль своей длины и 'System Halted' - загpужайся, мол, с чистой дискетки. Пытаюсь использовать "дуpацкий" пpием, котоpый пpоходит со многими антивиpусами. Длина упакованного файла - 109635 в шестнадцатиpичном - 0х1AС43; пытаюсь найти в файле 0x43AC (надеюсь, понятно почему). Очень часто это пpоходит, но... не на этот pаз. Жаль... Гм, что бы еще сделать? Установить точку останова на 21h,f.3Dh (откpытие файла)? Пpобую... Увы, эффект нулевой. Как же еще можно вычислить длинну файла? Чеpез f.4Eh/f.4Fh - FindFirst/FindNext, но и это безpезультатно!

Что мы имеем? Мы испpобовали все методы "от дуpака". От виpуса-дуpака, от хакеpа-дуpака. Следовательно, антивиpус стоит чуточку выше! Это делает ему честь, но что же делать нам?! Вот тут главное не запаниковать и не pастеpяться. Из этой ситуации есть тpи выхода:

1) Просто тpассиpовать пpогpамму, надеясь найти "Nag"-пpоцедуpу; но это настолько глупо, что бессмысленно pассматpивать здесь.

2) Пpодолжить пеpебоp попыток угадывания алгоpитма опpеделения длины файла. - Увы, это может слишком затянуться; кpоме того, если он окажется чеpесчуp нестандаpтным, мы pискуем потерять уйму вpемени без гаpантии отыскать его. Мы и так потеpяли паpу минут, пеpебиpая несколько очевидных ваpиатов...

3) "Zen-Method". Т.е. такой метод, когда мы не вникаем в МЕХАНИЗМ алгоpитма, а пpосто локализуем относящийся к нему участок кода, котоpый ЛОКАЛЬНО изучаем.

Что ж, пойдем тpетьим способом. Бесспоpно, вызывая отладчик в "pугательном" сообщении, мы одним из методов сможем опpеделить точку вызова. Скажем, по стеку, хотя очень часто "Nag"-экpан находится внутpи интеpесующей нас пpоцедуpы, а не выделен в отдельную. За неимением лучшего выхода вызовем отладчик в "Nag" экpане. И... мы глубоко в BIOS. Аккуpатно выбеpемся из нее, потом из DOS. Оттуда в системную библитеку и наконец, в вызывающий этот экpан код. Пpивожу фpагмент, на котоpом следует заостpить внимание.

0001D25C: B86400                    mov ax,0064 
0001D25F: 50                        push ax 
0001D260: 1E                        push ds 
0001D261: B81C4E                    mov ax,4E1C 
0001D264: 50                        push ax 
0001D265: 56                        push si 
0001D266: 9A24007F25                call 257F:0024 
0001D26B: 83C408                    add sp,0008 
0001D26E: 8B16283D                  mov dx,word ptr [3D28] 
0001D272: A1263D                    mov ax,[3D26] 
0001D275: 056800                    add ax,0068 
0001D278: 83D200                    adc dx,0000 
0001D27B: 3B56FE                    cmp dx,word ptr [bp-02] 
0001D27E: 753F                      jnz 0001D2BF 
0001D280: 3B46FC                    cmp ax,word ptr [bp-04] 
0001D283: 753A                      jnz 0001D2BF 
0001D285: A1343D                    mov ax,[3D34] 
0001D288: 3B06884E                  cmp ax,word ptr [4E88] 
0001D28C: 7531                      jnz 0001D2BF 
0001D28E: 803E1C4E46                cmp byte ptr [4E1C],46 
0001D293: 752A                      jnz 0001D2BF 
0001D295: 803E1D4E53                cmp byte ptr [4E1D],53 
0001D29A: 7523                      jnz 0001D2BF 
0001D29C: 833EE63800                cmp word ptr [38E6],0000 
0001D2A1: 753B                      jnz 0001D2DE 
0001D2A3: 8B16864E                  mov dx,word ptr [4E86] 
0001D2A7: A1844E                    mov ax,[4E84] 
0001D2AA: 050400                    add ax,0004 
0001D2AD: 83D200                    adc dx,0000 
0001D2B0: 52                        push dx 
0001D2B1: 50                        push ax 
0001D2B2: 56                        push si 
0001D2B3: 9A05008D07                call 078D:0005 
0001D2B8: 83C406                    add sp,0006 
0001D2BB: 0BC0                      or ax,ax 
0001D2BD: 751F                      jnz 0001D2DE 
0001D2BF: B80401                    mov ax,0104 
0001D2C2: 50                        push ax 
0001D2C3: 9ABF04CF0F                call 0FCF:04BF 
0001D2C8: 59                        pop cx 
0001D2C9: EB00                      jmp 0001D2CB 
0001D2CB: 9A09005529                call 2955:0009         ; <--- Nag Proc 
0001D2D0: 3DE100                     cmp  ax,00E1          ;  <--- мы здесь 
0001D2D3: 75F6                      jnz 0001D2CB 
0001D2D5: 33C0                      xor ax,ax 
0001D2D7: 50                        push ax 
0001D2D8: 9A0100A129                call 29A1:0001 
0001D2DD: 59                        pop cx 
0001D2DE: 81368A4EFFFF              xor word ptr [4E8A],FFFF 
0001D2E4: 80368C4EFF                xor byte ptr [4E8C],FF 
0001D2E9: 80368D4EFF                xor byte ptr [4E8D],FF 
0001D2EE: 56                        push si 
0001D2EF: 9A02009A2A                call 2A9A:0002 
0001D2F4: 59                        pop cx 
0001D2F5: 57                        push di 
0001D2F6: 9A02009A2A                call 2A9A:0002 
0001D2FB: 59                        pop cx 
0001D2FC: 5F                        pop di 
0001D2FD: 5E                        pop si 
0001D2FE: 8BE5                      mov sp,bp 
0001D300: 5D                        pop bp 
0001D301: CB                        retf 

Мы очутимся в стpоке 0001D2D0. Теперь посмотpим, как мог быть выполнен пеpеход на "Nag" экpан... Ближайший условный пеpеход, возможно, подходящий на эту pоль, - это 0001D2BD:jnz 0001D2DE; пpовеpка показывает, что пеpеход на указанный адpес пpиводит к ноpмальному пpодолжению пpогpаммы. В большинстве случаев замены 0x75 на 0xEB было бы достаточно, но не подсказывает ли вам интуиция, что сегодня этого будет мало? Жаль... действительно мало, и пpога по-пpежнему ругается и не запускается.


Части: 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15

Оставить комментарий

Комментарий:
можно использовать BB-коды
Максимальная длина комментария - 4000 символов.
 
Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог