Reversing Engenering

Рассмотрим, как в памяти компьютера хранятся данные.

Вообще, как компьютер может хранить, например, слово “диск”? Главный принцип
- намагничивание и размагничивание одной дорожки (назовем ее так). Одна микросхема памяти - это, грубо говоря, огромное количество дорожек.

Сейчас попробуем разобраться. Например:

нуль будет обозначаться как 0000 (четыре нуля), один 0001,

два 0010, (т.е. правую единицу заменяем на 0 и вторую устанавливаем в 1).

Здесь я расскажу о нескольких хитростях, которые можно использовать для защиты своих вирусов и/или своих программ против отладчиков всех уровней, уровня приложения и системы. Я надеюсь, что вам понравится эта статья.

[ Win98/NT: Обнаружение отладчиков уровня приложения с помощью функции IsDebuggerPresent ]

Этой функции нет в Win95, поэтому вам следует вначале выяснить, существует ли она, и работает только с отладчиками уровня приложения (таким как TD32). Она работает прекрасно. Давайте посмотрим, что написано о ней в справочнике по Win32 API.

Функция IsDebuggerPresent показывает, запущен ли вызывающий ее процесс в контексте отладчика. Эта функция экспортируется из KERNEL32.DLL.

СОДЕРЖАНИЕ
==========
1. Введение в ломание Windows-программ
2. Обзор SoftICE/Win 2.oo
3. Поиск регистрационных кодов
3.1 Task Lock 3.00 - простая защита на основе серийного номера
3.2 Command Line 95 - простая регситрация "имя-код"
4. Создание генератора ключей для Command Line 95
5. Как работают инструкции PUSH и CALL когда программа вызывает функцию
6. О программах, написанных на Visual Basic

ПРИЛОЖЕНИЯ
==========
A. Как в SoftICE загружать символьные имена (имена функций etc)
B. Синтаксис функций GetWindowText, GetDlgItemText и GetDlgItemInt
C. Где найти программы
D. Как связаться с автором

Снятие упаковщиков приложений

Для человека, вставшего на путь исследования программ и их защит, первым барьером к вкусному сердцу кода станет упаковщик исполняемых файлов. Что это такое и как обойти его, я и расскажу тебе сегодня на ночь.

Разведка боем

Начнем, как обычно, с начала и продолжим до конца :). А сначала опишу принцип работы упаковщиков и его общие особенности. Упаковщик - программа для сжатия исполняемого файла, которая отличается от архиватора лишь тем, что добавляет код распаковщика в тело программы. При запуске управление передается этому коду вплоть до полной распаковки программы в память. Определение грубое, но как, ни крути, общий смысл выразил. Задача крэкера - слить дамп памяти (не пугайся слов – еще успею объяснить их) распакованной программы, а затем, конечно, восстановить импорт, но все по порядку. Итак, поехали.

[ Распаковка tElock 0.98 ]

0. Что нужно:
- любая прога с tElock 0.98
- кучка съедобных мозгов
- руки, управляемые этими мозгами
- подстриженные ногти, чтоб удобно барабанить по клаве
- OllyDbg 1.10 с плугинами и прочей херью
- ImpRec 1.6f + плугин bi0w0rM’а для tElock

1. Поиск OEP
Найти OEP совсем легко. Засовываем прогу в OllyDbg, заходим в Debugging Options->Exceptions и игнорим все типы исключений:

Цель

crackme - http://www.alex2kx.nm.ru/aspr123crackme.rar
Инструменты
SoftIce for NT
SuperBpm for NT
IceExt
Loader 2.0 by Syd
Hiew
Imprec 1.6
LordPE
PEeditor 1.7

Вступление

В этой статье я расскажу как распаковать столь популярный в наше время пакер ASProtect, а именно версию 1.23 RC 4. Для большей наглядности я разделю статью на 2 части: восстановления импорта, восстановления спертых байтов (Stolen Bytes) и нахождение OEP. Целю нашей распаковки будет мною созданный crackme, и упакованный ASProtect 1.23 RC 4 build 08.07. Итак приступим....

Инструменты
OllyDbg 1.09d (1.10a)
Stripper 2.03/caspr/AspackDie 1.41/руки - любое из этого :)
some brains
OllyDbg 1.10 http://home.t-online.de/home/Ollydbg/beta110a.zip
Все утилиты описанные в программе могут быть взяты с http://protools.cjb.net/

Немного о программе
Защита: Aspack 2.12
FairStars Audio Converter - утилита конвертирования мультимедиа форматов WAV, AIFF, AU, VOC, APE, OGG, VQF, MP1, MP2, MP3, WMA, WMV, ASF to WMA, MP3, VQF, OGG, APE, WAV друг в друга. Можно конвертировать в пакетном режиме сразу несколько файлов, независимо от их начальных форматов. Имеет встроенный плеер. Конвертирование происходит без создания каких-либо временных файлов, с высокой скоростью. Есть еще поддержка "нормализации" (авторегулировка громкости), редактирование ID3 и др. Сайт программы: http://www.fairstars.com/

-----[Вступление]

  Это 50-ая взломанная мной программа, поэтому решил написать небольшой тутор, так сказать отметить. Хотя всё таки - это игра, а не прога, но это сути не меняет, в ней использовалась защита, размещённая в длл. Так что, для развития не повредит. Ну понеслась.

-----[Основная часть]

Приступим. Что тут у нас в readme.txt:

В связи с тем, что проблема с внедрением .dll файлов в чужое приложение достаточно актуальная, я решил написать полное руководство для новичка, по данному вопросу.

Начну с инструментов которые нам потребуются для работы с внедрением .dll файла

1. OllyDbg - это отладчик уровня User Space, который приобрел большую популярность среди пользователей всего мира. 
Сейчас для OllyDbg написано множество плагинов, так что работать с ним одно удовольствие. 
OllyDbg обладает хорошей функциональностью, это делает его пригодным для решения различных задач и исследования кода любой сложности. 
Интерфейс отладчика полностью настраиваемый: фон рабочих окон, цвет и размер шрифта, подсветка определенных ассемблерных инструкций и многое другое.

Введение]

В данной статье я расскажу основные приемы, используемые для распаковки DLL библиотек. Несмотря на большое сходство EXE и DLL, многих начинающих исследователей защит распаковка DLL просто отпугивает, а многим из них кажется, что это вообще невозможно. Как ни странно все делается почти также просто, как и распаковка EXE файлов, правда есть определенные тонкости. Распаковку DLL библиотек мы рассмотрим на примере плагина GenOEP.dll
из поставки PEiD’а, так как он наверняка найдется у многих.