Статья Reverse crackme для начинающих

Предисловие​

Привет всем!

Обратная разработка (обратное проектирование, обратный инжиниринг, реверс-инжиниринг; англ. reverse engineering) — исследование некоторого готового устройства или программы, а также документации на него с целью понять принцип его работы; например, чтобы обнаружить недокументированные возможности (в том числе программные закладки), сделать изменение или воспроизвести устройство, программу или иной объект с аналогичными функциями, но без прямого копирования.

​

Недавно решился окунуться в это глубокое море реверса, Linux стоит, как основная OS. Первым делом попробовал установить IDA Pro через wine. Успешно, но local debugger не был найден. Спустя некоторое время было понятно одно - нужна винда. На windows переходить не хотелось. Привык уже к linux. Необходимо ставить Windows на Virtual Box. Загрузка

Ссылка скрыта от гостей

, установка - ну, вроде живое.
В ближайшем будущем, собираюсь установить FLARE-VM ради более удобной работы.
Так, это план:

• Ассемблер, ассемблер, ассемблер.
• IDA Pro
• Keygen

Ассемблер, ассемблер, ассемблер​

Для ассемблера но форуме выделен целый раздел. Расписывать все команды не вижу смысла, поэтому опишу то, что нам пригодятся.

MOV:

Mov приемник, источник

Эта команда используется для копирования значения из приёмника в источник.

CMP (CoMPare operands — сравнить операнды):

cmp операнд1, операнд2

Для сравнения операндов используется вычитание (это полезно при изучении изучая команды jcc), значения операндов не меняются. Обычно используется для организации условных переходов с командами jmp и jcc (jcc).

JMP (JuMP — прыгнуть, мгновенно перейти):

jmp метка

Продолжить выполнение кода с указанной метки.

JCC (Jump if conditions — перепрыгнуть, перейти если выполняется условие):

jcc метка

Переход к указанной метке выполняется при осуществлении определённого условия. Разновидностей этой команды много: ja,je,jl,jna jz,jpe и т.д. Команда проверяет состояние флагов и если условие выполняется, осуществляет переход к метке. Часто в проверки лицензий, ключей и т.д используется JZ (Jump if Zero. Прыгнуть, если значение 0.) или JNE (Jump if Not Zero. Прыгнуть, если значение не 0.). JZ проверяет значение флага ZF (флаг нуля). Программа выполнила действие, в результате которого получилось 0. Теперь ZF=1. Допустим следующая инструкция:

JZ final

Программа будет выполняться с того места, которое программист пометил как final.

Push:

Команда push заносит значение в стек, а pop забирает значение из стека.

Ссылка скрыта от гостей

.

Логические команды и флаги ассемблера​

Основные логические команды двоичной алгебры AND (И), OR (ИЛИ), XOR (ИСКЛЮЧАЮЩЕЕ ИЛИ) и NOT (НЕ). В системе команд процессоров семейства x86 предусмотрены команды AND, OR, XOR, NOT, TEST и ВT, выполняющие перечисленные булевы операции между байтами, словами и двойными словами.

Команды могут влиять на состояние флагов процессора. Эти флажки находятся в регистре флагов. Регистр флагов содержит различные биты, отражающие текущее состояние процессора. После выполнения арифметических и логических команд процессор может поменять или установить новое значение флагов. Например флаги нуля (ZF), переноса (CF), знака (ZF) и др.

Взял из

Ссылка скрыта от гостей

про ассемблер список флагов.

CF — флаг переноса. Устанавливается в 1, если результат предыдущей операции не уместился в приемнике и произошел перенос из старшего бита или если требуется заем (при вычитании), иначе устанавливается в 0. Например, после сложения слова 0FFFFh и 1, если регистр, в который надо поместить результат, — слово, в него будет записано 0000h и флаг CF = 1.
PF — флаг четности. Устанавливается в 1, если младший байт результата предыдущей команды содержит четное число бит, равных 1; устанавливается в 0, если число единичных бит нечетное. (Это не то же самое, что делимость на два. Число делится на два без остатка, если его самый младший бит равен нулю, и не делится, если он равен 1.)
AF — флаг полупереноса или вспомогательного переноса. Устанавливается в 1, если в результате предыдущей операции произошел перенос (или заем) из третьего бита в четвертый. Этот флаг используется автоматически командами двоично-десятичной коррекции.
ZF — флаг нуля. Устанавливается в 1, если результат предыдущей команды — ноль.
SF — флаг знака. Этот флаг всегда равен старшему биту результата.
TF — флаг ловушки. Этот флаг был предусмотрен для работы отладчиков, не использующих защищенный режим. Установка его в 1 приводит к тому, что после выполнения каждой команды программы управление временно передается отладчику (вызывается прерывание 1 — см. описание команды INT).
IF — флаг прерываний. Установка этого флага в 1 приводит к тому, что процессор перестает обрабатывать прерывания от внешних устройств (см. описание команды INT). Обычно его устанавливают на короткое время для выполнения критических участков кода.
DF — флаг направления. Этот флаг контроллирует поведение команд обработки строк — когда он установлен в 1, строки обрабатываются в сторону уменьшения адресов, а когда DF = 0 — наоборот.
OF — флаг переполнения. Этот флаг устанавливается в 1, если результат предыдущей арифметической операции над числами со знаком выходит за допустимые для них пределы. Например, если при сложении двух положительных чисел получается число со старшим битом, равным единице (то есть отрицательное) и наоборот.

В разбираемом crackme используется команда XOR. Разберём подробнее. Например у нас есть 2 пары битов X (получатель) и Y (источник). Их значение может быть 0 или 1. Вот результаты выполнения XOR с разными значениями битов.

После выполнения команды XOR значение заноситься в получателя (X).

Дизассмеблируй, IDA Pro
​

Ссылка на

Ссылка скрыта от гостей

.
Перед запуском IDA Pro нужно осмотреть пациента.

Обычная программа. Есть функция Registr в меню Help. При неправильной регистрации, видим.

Запускаем IDA. Нажимаем New, затем Portable Executable. Видео про PE файл.

Интерфейс программы, как в космическом корабле : )
Если у вас окно просмотра не как у меня, нажмите пробел и включиться другой режим просмотра.

У нас слишком много данных. Необходимо за что-нибудь зацепиться. Давайте зацепимся за строку "No luck there, mate!", которая возникает при неправильной регистрации. Нажимаем Alt+B. Вводим "No luck there, mate!" и нажимаем OK.

Нас перебросило в место, где инициализируються переменные.

Мы внутри функции sub_401362. Выделяем её и жмём X, тыкаем OK.

Сменим название функции sub_401362 на fail. Выделяем и жмём N. Для удобства, я буду переименовывать некоторые функции. Осмотрев всю карту программы, вернёмся к функции fail. Зелёная и красная стрелочка — это пути по которым программа может выполнить код. Команда JZ помогает в этом выборе.

Для удобства я добавил комментарий Good work. Нажимаем на то место, где хотите поставить комментарий и жмём ;

Зайдём внутрь функции test_1. Чтобы выйти из функции нажмите ESC. Внутри функции test_1 видим следующую картину.

Это проверка на валидность входной строки. Берётся одна из букв строки, которую мы ввели в поле для регистрации. Она помещается в al:

mov al, [esi]

.
Дальше al сравнивается c 41h:

cmp al 41h

( 41h - это буква A) (цифра 1 на скриншоте). Начиная с 41h и далее идут буквы и иные знаки в таблице кодировки. Для перевода строк из шестнадцатеричного вида в десятичный нажмите H. Ежели число, которые сравнивает программа меньше 41h выводиться "No luck!" (5). Наша буква больше A. Затем она сравнивается с 5Ah (Z) (2). И так далее по этому циклу проверяются последующие буквы (4). По окончанию данного процесса выполняется блок с функцией sub_40139C (7). Внутри этой функции выполняется сложение всех прежде полученных букв. Стоит обратить внимание на:

xor edi 5678h

.

Запоминаем это число и то, что полученное значение заносится в eax:

mov eax edi

.
Выходим из функции test_1.

Заходим в функцию test_2.

Видим цикл (1-2-3). Можем предположить, это цикл обработки пароля. В этот цикл также передается значение из функции test_1. Здесь мы видим:

xor edi 1234h

.
Значение заносится в ebx :

mov ebx edi

.
Выходим из функции test_2. Переименуем эти функции. Теперь мы кое-что поняли.

​

Выполняется функция login_func, значение заноситься в стек:

push eax

(1).
Потом выполняется password_func. Значение логина берётся из стека и переносится в eax:

pop eax

(2).
Следом выполняется сравнение:

cmp eax ebx

.
Если всё прошло успешно, появляется сообщение "Good work!"

Из всего выше описанного мы поняли алгоритм. Сначала программа складывает коды всех букв, затем делает xor 5678h и в конце ещё раз xor, но уже с 1234h.

Keygen​

Пришло время для keygen'а. Для быстрого написания скриптов Python очень хорошо подходит. Алгоритм не сложный. Соответственно и кода будет чуть-чуть:

#!/usr/bin/python3

import sys

def generate_key(name):
    word = 0
    for letter in name:
        word += ord(letter)
    return word ^ 0x5678 ^ 0x1234

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print("Enter a name for registration. (Example: python3 keygen_1.py Alucard)")
        sys.exit(1)
    else:
        print(generate_key(sys.argv[1].upper()))

sys.argv

из библиотеки sys используется для передачи аргументов командной строки.

sys.exit(1)

- выход из программы
^ - это XOR.

Проверка работjспособности keygen'а:

 

[B13]

Сейчас GHidra, вроде как, и не совсем сырая. Работает стабильно, ну по крайней мере у меня, на лине)) Ну, а про реверс - да, линь почти не используют, по мне так, зря) Есть пара программ на Linux, которые хотелось бы излечить от чрезмерной жадности)

там дело было не в том, что не стабильно работала, а скорее всего в том, что не хватало каких либо плагинов (это сугубо мое мнение), а так Ghidra стабильно работает на Linux. По поводу недоцененности Linux как платформ для реверса, скорее всего соглашусь.

 

[Юрий Долгорукий]

Эту статью я написал в 2020 году.
Теперь, я стою перед выбором: писать про решения различных тасков, связанных с бинарными уязвимостями, или про реверс-инжиниринг.
Хочу спросить. О чём лучше начать писать?

Решение тасков плиз )

 

[abstract abstract]

Если кликнуть по ссылке "Больше информации", то у меня она битая

Ссылка скрыта от гостей

 

[Kevgen]

Спасибо за хорошую статью!
Для такого новичка в реверсе как я, идеально!
Разжевал до молекул, осталось только проглотить