|
Для новичков в крекинге, мишень HP-crackme
Мишень: HP-crackme (272кб)
Что еще нужно:
1. OllyDbg + плагины
2. ImpRec 1.6 Final
3. IDA
4. Ну и, естессно, некривые рики ;)
Для кого это написано?
Сею статья я написал, прежде всего, для новичков в крекинге, которым (как я слышал) зачастую не все понятно в несколько однобоком современном подходе к вопросу крекинга. Ведь со временем прямо на глазах исчезают туторы, где бы не описывалось только один из подходов реверсинга (только распаковка, восстановление импорта, правка в памяти кода программы, нахождение верного серийник, или пропатчивание проги), а все они использовались комплексно. Предчуствую, что "асы" крекинга c ухмылкой прочли прошлую строку и начнут мне твердить, что, например, распаковка - это уже больше половины выполненой работы. Но, несмотря на это, я решился написать тутор "от А до Я" - от ручной распаковки "жертвы" до ее взлома патчингом файла и нахождением верных регистрационных данных. Думаю, многим начинающим будет полезно "прощупать" различные варианты взлома крекми.Ручная распаковка
Так выглядит наш крекми
Запустим OllyDbg и загрузим в него наш крекми. Мы остановимся на EP и увидим такую картину:
Находим оригинальную точку входа
видим, что вызывается какая-то функция, которой передаются 3 аргумента. Далее выполняется прыжок на тоже пока не известный код. Замечаем, что по адресу 00482019 находится массив интересных строк. Судя по ним, наша программа запакована паковщиком PKLite и чтобы ее исследовать, модифицировать ее придется распаковывать. (пойдя путем наименьшего сопративления было решено воспользоваться плагином автораспаковки в PEID 0.92, но ему, почему-то, пакер пришелся "не по зубам"). Немного протрассировав код можно узнать, что по адресу 0040200F находится процедура распаковки упакованного "тела" программы. После завершения ее работы крекми в памяти будет находиться в полностью функционильном состоянии. Чтобы его отдампить нужно найти OEP. Самое интересное то, что сразу после процедуры распаковки и выполняется прыжок на эту самую OEP (JMP 00468A48). Жмем F8 и очутимся на ней. Теперь можно и дампить. Для этого можно использовать плагин к Оле OllyDump (Plugins-OllyDump-DumpDebuggedProcess-Dump). Появляется такое окно:
Дампим...
Восстановление импорта
Просто дампнутый крекми(я назвал файл dumped.exe) запускаться не будет(выдается ошибка нахождения точки входа одной из апи) - ему нужно восстановить таблицу импортированных функций. Для этого запустим крекми(hp.exe) и после него ImpRec. В нем вводим адрес нашей OEP и кликаем по "IAT AutoSearch"-"Get Imports"-"Fix Dump"
Imprec восстанавливает импорт...
итак, мы получили ПОЛНОСТЬЮ работоспособный распакованый крекми (dumped_.exe)! Приступим к его анализу...
Дизассемблирование и взлом нахождением верного ключа
Дизассемблируем дамп Идой и загружаем сигнатуру Delphi(поскольку прога написана именно в этой среде программирования). Даже при беглом просмотре кода в глаза сразу кидается огромное количество операций со строками (начиная с адреса 00466BC7). Смотрим немного выше:
loc_466B0C: ; CODE XREF: CODE:00466B11j
push 0
push 0
dec ecx
jnz short loc_466B0C
push ecx
push ebx
push esi
push edi
mov [ebp-4], eax
mov ebx, offset unk_46BC58
mov esi, offset unk_46BC78
xor eax, eax
push ebp
push offset loc_468100
push dword ptr fs:[eax]
mov fs:[eax], esp
lea edx, [ebp-8]
mov eax, [ebp-4]
mov eax, [eax+308h]
call @TControl@GetText$qqrv ; считываем имя юзера с Edit1
cmp dword ptr [ebp-8], 0
jnz short loc_466B58 ; прыгаем если ввели хоть что-то
mov eax, offset _str________________.Text
call @Dialogs@ShowMessage$qqrx17System@AnsiString ; Dialogs::ShowMessage(System::AnsiString)
jmp loc_4680C0 ; jmp на выход
Далее (00466C43) идет код считывания имени, ключа, серийника и проверка ввели лы мы их:
call @TControl@GetText$qqrv ; eax = length(name)
mov edx, [ebp-0Ch]
mov eax, offset dword_46BC64
call @System@@LStrAsg$qqrv ; System::__linkproc__ LStrAsg(void)
lea edx, [ebp-10h]
mov eax, [ebp-4]
mov eax, [eax+2F4h]
call @TControl@GetText$qqrv ; eax = length(key)
mov edx, [ebp-10h] ; edx = *key
mov eax, offset unk_46BC5C
call @System@@LStrAsg$qqrv ; System::__linkproc__ LStrAsg(void)
lea edx, [ebp-14h]
mov eax, [ebp-4]
mov eax, [eax+2F0h]
call @TControl@GetText$qqrv ; eax=length(serial)
mov edx, [ebp-14h] ; edx= *serial
mov eax, offset unk_46BC60
call @System@@LStrAsg$qqrv ; System::__linkproc__ LStrAsg(void)
mov eax, ds:dword_46BC64
call @System@_16823 ; eax=length(name)
mov edi, eax
test edi, edi
jle loc_46740E ; если не ввели имя, то выходим
mov ds:dword_46BC7C, 1
Пропустив около 100 операций копирования и преобразования строк и столько же арифметических (автор, видимо, думал что такое их количество должно отпугнуть начинающих крекеров) видим уже более интересную картину:
IDA - C:\статья\dumped_.idb (dumped_.exe)
push eax
lea edx, [ebp-6Ch]
mov eax, [ebp-4]
mov eax, [eax+2F4h]
call @TControl@GetText$qqrv ; считываем ключ
mov edx, [ebp-6Ch]
pop eax ; eax = valid key!
call @System@@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void)
jnz loc_4680C0 ; прыгаем если не равны
push ds:dword_46BD00
push ds:dword_46BD04
push ds:dword_46BD08
push ds:dword_46BD0C
push offset _str___22.Text
push ds:dword_46BC98
push ds:dword_46BC9C
push ds:dword_46BCA0
push ds:dword_46BCA4
push ds:dword_46BCA8
push offset _str___22.Text
push ds:dword_46BCF4
push ds:dword_46BCF8
push ds:dword_46BCFC
lea eax, [ebp-70h]
mov edx, 0Eh
; --------------- S U B R O U T I N E ---------------------------------------
sub_468062 proc near
call @System@@LStrCatN$qqrv ; подс4ет валидного регномера
mov eax, [ebp-70h] ; сохраняем его в eax
push eax
lea edx, [ebp-74h]
mov eax, [ebp-4]
mov eax, [eax+2F0h]
call @TControl@GetText$qqrv ; TControl::GetText(void)
mov edx, [ebp-74h]
pop eax
call @System@@LStrCmp$qqrv ; финальное сравнение !
jnz short loc_4680C0 ; прыгаем, если BadGuy
mov edx, 190h
mov eax, ds:dword_46BC50
call @Forms@TCustomForm@SetClientWidth$qqri ; Forms::TCustomForm::SetClientWidth(int)
mov eax, [ebp-4]
mov eax, [eax+310h]
mov dl, 1
call @Controls@TControl@SetVisible$qqro ; Controls::TControl::SetVisible(bool)
mov eax, [ebp-4]
mov eax, [eax+314h]
mov dl, 1
call @Controls@TControl@SetVisible$qqro ; Controls::TControl::SetVisible(bool)
mov ds:dword_46BCC4, 1
loc_4680C0: ; CODE XREF: CODE:00466B53j
; CODE:00468002j ...
xor eax, eax ; выходим...
pop edx
pop ecx
pop ecx
mov fs:[eax], edx
push offset loc_468107
Итак, грузим Олю и ставим бряки на 00467FFD и 00468080, где в eax'ах храняться наши верные регистрационные данные. Подсматриваем их и вводим в крякми. Мои валидные данные таковы:
Взлом jump-коррекцией
А для нежелающих долго ковыряться в отладчике могу предложить просто создать несложный *.crk файл и пропатчить кряк. Теперь он не будет проверять длинну вводимых имен и будет думать, что валидные данные вводятся всегда =)00066B47: 75 EB
00068002: 0F 90
00068003: 85 90
00068004: B8 90
00068005: 00 90
00068006: 00 90
00068007: 00 90
00068085: 75 90
00068086: 39 90
Copyright © 2005 NGH Group
Дата створення/оновлення: 25.05.2018