✍️ Статья Reverse crackme для начинающих

Dublikat Tenec Web Studio Avram Lincoln AL Service Navigator BDF Knyaz

BlackPope

Команда форума
Модератор DeepWeb ✔️
PR-Group DeepWeb 🔷
Регистрация
27.04.2020
Сообщения
235
Недавно решился окунуться в это глубокое море реверса, Linux стоит, как основная OS. Первым делом попробовал установить IDA Pro через wine. Успешно, но local debugger не был найден. Спустя некоторое время было понятно одно - нужна винда. На windows переходить не хотелось. Привык уже к linux. Необходимо ставить Windows на Virtual Box. Загрузка Windows 7 lite, установка - ну, вроде живое.

В ближайшем будущем, собираюсь установить FLARE-VM ради более удобной работы.

Так, это план:
  • Ассемблер, ассемблер, ассемблер.
  • IDA Pro
  • Keygen
Ассемблер, ассемблер, ассемблер

Для ассемблера но форуме выделен целый раздел. Расписывать все команды не вижу смысла, поэтому опишу то, что нам пригодятся.

MOV:

Mov приемник, источник

Эта команда используется для копирования значения из приёмника в источник.

CMP (CoMPare operands — сравнить операнды):

cmp операнд1, операнд2

Для сравнения операндов используется вычитание (это полезно при изучении изучая команды jcc), значения операндов не меняются. Обычно используется для организации условных переходов с командами jmp и jcc (jcc).

JMP (JuMP — прыгнуть, мгновенно перейти):

jmp метка

Продолжить выполнение кода с указанной метки.

JCC (Jump if conditions — перепрыгнуть, перейти если выполняется условие):

jcc метка

Переход к указанной метке выполняется при осуществлении определённого условия. Разновидностей этой команды много: ja,je,jl,jna jz,jpe и т.д. Команда проверяет состояние флагов и если условие выполняется, осуществляет переход к метке. Часто в проверки лицензий, ключей и т.д используется JZ (Jump if Zero. Прыгнуть, если значение 0.) или JNE (Jump if Not Zero. Прыгнуть, если значение не 0.). JZ проверяет значение флага ZF (флаг нуля). Программа выполнила действие, в результате которого получилось 0. Теперь ZF=1. Допустим следующая инструкция:

JZ final

Программа будет выполняться с того места, которое программист пометил как

final.

Push:


Команда push заносит значение в стек, а pop забирает значение из стека. Больше информации.

Логические команды и флаги ассемблера

Основные логические команды двоичной алгебры AND (И), OR (ИЛИ), XOR (ИСКЛЮЧАЮЩЕЕ ИЛИ) и NOT (НЕ). В системе команд процессоров семейства x86 предусмотрены команды AND, OR, XOR, NOT, TEST и ВT, выполняющие перечисленные булевы операции между байтами, словами и двойными словами.

BVW1U8dxhKQ.jpg

Команды могут влиять на состояние флагов процессора. Эти флажки находятся в регистре флагов. Регистр флагов содержит различные биты, отражающие текущее состояние процессора. После выполнения арифметических и логических команд процессор может поменять или установить новое значение флагов. Например флаги нуля (ZF), переноса (CF), знака (ZF) и др.

Взял из книги про ассемблер список флагов.

CF — флаг переноса. Устанавливается в 1, если результат предыдущей операции не уместился в приемнике и произошел перенос из старшего бита или если требуется заем (при вычитании), иначе устанавливается в 0. Например, после сложения слова 0FFFFh и 1, если регистр, в который надо поместить результат, — слово, в него будет записано 0000h и флаг CF = 1.
PF — флаг четности. Устанавливается в 1, если младший байт результата предыдущей команды содержит четное число бит, равных 1; устанавливается в 0, если число единичных бит нечетное. (Это не то же самое, что делимость на два. Число делится на два без остатка, если его самый младший бит равен нулю, и не делится, если он равен 1.)
AF — флаг полупереноса или вспомогательного переноса. Устанавливается в 1, если в результате предыдущей операции произошел перенос (или заем) из третьего бита в четвертый. Этот флаг используется автоматически командами двоично-десятичной коррекции.
ZF — флаг нуля. Устанавливается в 1, если результат предыдущей команды — ноль.
SF — флаг знака. Этот флаг всегда равен старшему биту результата.
TF — флаг ловушки. Этот флаг был предусмотрен для работы отладчиков, не использующих защищенный режим. Установка его в 1 приводит к тому, что после выполнения каждой команды программы управление временно передается отладчику (вызывается прерывание 1 — см. описание команды INT).
IF — флаг прерываний. Установка этого флага в 1 приводит к тому, что процессор перестает обрабатывать прерывания от внешних устройств (см. описание команды INT). Обычно его устанавливают на короткое время для выполнения критических участков кода.
DF — флаг направления. Этот флаг контроллирует поведение команд обработки строк — когда он установлен в 1, строки обрабатываются в сторону уменьшения адресов, а когда DF = 0 — наоборот.
OF — флаг переполнения. Этот флаг устанавливается в 1, если результат предыдущей арифметической операции над числами со знаком выходит за допустимые для них пределы. Например, если при сложении двух положительных чисел получается число со старшим битом, равным единице (то есть отрицательное) и наоборот.
В разбираемом crackme используется команда XOR. Разберём подробнее. Например у нас есть 2 пары битов X (получатель) и Y (источник). Их значение может быть 0 или 1. Вот результаты выполнения XOR с разными значениями битов.

DsGFZbFrUm8.jpg


После выполнения команды XOR значение заноситься в получателя (X).

Дизассмеблируй, IDA Pro

Ссылка на crackme.

Перед запуском IDA Pro нужно осмотреть пациента.

UyIhQJilyH8.jpg


Обычная программа. Есть функция Registr в меню Help. При неправильной регистрации, видим.

7_cd7rBrS_k.jpg


Запускаем IDA. Нажимаем New, затем Portable Executable. Видео про PE файл.

DAzt2eaOt3I.jpg


4goMUMtgaQ4.jpg


pmXi2ljShVg.jpg


Интерфейс программы, как в космическом корабле : )

Если у вас окно просмотра не как у меня, нажмите пробел и включиться другой режим просмотра.

У нас слишком много данных. Необходимо за что-нибудь зацепиться. Давайте зацепимся за строку "No luck there, mate!", которая возникает при неправильной регистрации. Нажимаем Alt+B. Вводим "No luck there, mate!" и нажимаем OK.

JtioQYNts78.jpg


Нас перебросило в место, где инициализируются переменные.

6zZxIrK_wX0.jpg


Мы внутри функции sub_401362. Выделяем её и жмём X, тыкаем OK.

gfCbjSn-Rds.jpg


Сменим название функции sub_401362 на fail. Выделяем и жмём N. Для удобства, я буду переименовывать некоторые функции. Осмотрев всю карту программы, вернёмся к функции fail. Зелёная и красная стрелочка — это пути по которым программа может выполнить код. Команда JZ помогает в этом выборе.

MbhapeqXE7Q.jpg


Для удобства я добавил комментарий Good work. Нажимаем на то место, где хотите поставить комментарий и жмём ;

ozdXa6_UIpQ.jpg


Зайдём внутрь функции test_1. Чтобы выйти из функции нажмите ESC. Внутри функции test_1 видим следующую картину.

uKv5wEkWS8w.jpg


Это проверка на валидность входной строки. Берётся одна из букв строки, которую мы ввели в поле для регистрации. Она помещается в al:

mov al, [esi]

Дальше al сравнивается c 41h:

cmp al 41h

( 41h - это буква A) (цифра 1 на скриншоте). Начиная с 41h и далее идут буквы и иные знаки в таблице кодировки. Для перевода строк из шестнадцатеричного вида в десятичный нажмите H.

Ежели число, которые сравнивает программа меньше 41h выводиться "No luck!" (5). Наша буква больше A. Затем она сравнивается с 5Ah (Z) (2). И так далее по этому циклу проверяются последующие буквы (4). По окончанию данного процесса выполняется блок с функцией sub_40139C (7). Внутри этой функции выполняется сложение всех прежде полученных букв. Стоит обратить внимание на:

xor edi 5678h

ug5zw90lFYk.jpg


Запоминаем это число и то, что полученное значение заносится в eax:

mov eax edi

Выходим из функции test_1.

Заходим в функцию test_2.

ugGQ5PBFhq8.jpg


Видим цикл (1-2-3). Можем предположить, это цикл обработки пароля. В этот цикл также передается значение из функции test_1. Здесь мы видим:

xor edi 1234h

Значение заносится в ebx :

mov ebx edi

Выходим из функции test_2. Переименуем эти функции. Теперь мы кое-что поняли.

Выполняется функция login_func, значение заноситься в стек:

push eax

Потом выполняется password_func. Значение логина берётся из стека и переносится в eax:

pop eax

Следом выполняется сравнение:

cmp eax ebx

Если всё прошло успешно, появляется сообщение "Good work!"

Из всего выше описанного мы поняли алгоритм. Сначала программа складывает коды всех букв, затем делает xor 5678h и в конце ещё раз xor, но уже с 1234h.

Keygen

Пришло время для keygen'а. Для быстрого написания скриптов Python очень хорошо подходит. Алгоритм несложный. Соответственно и кода будет чуть-чуть:

Python:

#!/usr/bin/python3

import sys

def generate_key(name):
word = 0
for letter in name:
word += ord(letter)
return word ^ 0x5678 ^ 0x1234

if __name__ == '__main__':
if len(sys.argv) < 2:
print("Enter a name for registration. (Example: python3 keygen_1.py Alucard)")
sys.exit(1)
else:
print(generate_key(sys.argv[1].upper()))
sys.argv


из библиотеки sys используется для передачи аргументов командной строки.

sys.exit(1)

- выход из программы

^ - это XOR.

Проверка работjспособности keygen'а:

-FISulPPsZM.jpg


VcF186UtMss.jpg


LrdluqLpqVk.jpg
 

📌 Золотая реклама

AnonPaste

Верх