книги хакеры / журнал хакер / 188_Optimized

Кодинг

ŝŖŚŖŭŞ

ţŖ ŧŤŗśŧśŚŤŘŖţŞŵū

РЕШЕНИЕ CRACKME

ОТ «ЛК» И НОВАЯ ПАРТИЯ ЗАДАЧ ОТ EMBARCADERO

Наш старый автор, гуру машинных кодов и настоящий вайтхэт Вячеслав Закоржевский с блеском решил crackme от «Лаборатории Касперского», ссылку на который мы опубликовали в позапрошлом номере. Связано ли это с тем, что он сам работает в Лаборатории и сидит примерно в десяти метрах от автора кракми? :) Слава утверждает, что нет, и мы ему верим! Сегодня он представит на твой суд историю о том, как он его реверсил (советую

почитать: настоящий детектив), а я выкачу новые задачи и прославлю победителей.

Задачи на собеседованиях

Кодинг

5

ŝŖš ŧšŖŘű ťŤŗśŚŞŨśšŞ crackme

В прошлом номере я объявил первого победителя, но, учитывая сложность и интересность опубликованного кракми, я бы хотел прославить всех крутых хакеров, которые смогли его осилить. Вот они, эти железные парни: AV1ct0r, UniSoft, Kamazi, OKOB, Neomant, Prober, 1kg, REU.

гистрах цифры идут в том же порядке, что и были введены. Алгоритм чрезвычайно простой, и его можно описать на языке C следующим образом:

for (int i = 0; i < 8; i++)

{

Symbol = serial[i];

If(Symbol >= '0' && Symbol <= '9')

Symbol -= '0';

else ifſȣȢ ȔȡȔȟȢȗȜȜ Șȟȳ ȕȧȞȖƀ

Result <<= 4;

Result += symbol;

}

где result — результирующий дворд, а serial — указатель на введенный серийник. Причем это преобразование выполняется по четыре раза для одного и того же набора из восьми символов, а результаты рассовываются по регистрам и локальным переменным. Понятно, что это невероятно избыточно, — можно было бы сделать отдельную функцию, выполняющую вышеописанное преобразование и просто скопировать результат по другим переменным. Предполагаю, что это оптимизация компилятора или умышленное увеличение кода автором, чтобы усложнить работу реверсеру.

После этого полученный дворд «переворачивается» и кладется в локальную переменную. То есть байты (а не полубайты!) идут теперь задом наперед:

Задачи на собеседованиях

10

8

подготовка корректных входных данных. Еще раз — входные данные, к примеру, такая строка:

1234567890ABCDEF1234567890ABCDEF1234567890ABCDE

F1234567890ABCDEF

преобразуются в массив размером 16 байт:

12h, 34h, 56h, 78h. 90h, 0ABh, 0CDh, 0EFh, 12h,

34h, 56h, 78h. 90h, 0ABh, 0CDh, 0EFh

Чуть ниже по коду идет заполнение локальных переменных более чем известными (кто не знал — поисковики в по-

мощь) константами: 67452301h, 0EFCDAB89h, 98BADCFEh, 10325476h. Эти константы используются для инициализации расчета хеш-суммы по алгоритмам SHA-1, MD4, MD5. SHA-1 я сразу отмел, поскольку не нашел в коде пятую константу — 0xC3D2E1F0. Так как дальше шли две функции, принимающие на вход указатель на введенный email и его длину (которая считается там же), то я не сомневался, что передо мной пара функций — MDxUpdate/MDxFinish. Не мудрствуя лукаво я нашел онлайн-калькулятор хеш-сумм, ввел там email и сравнил полученный хеш[c], со значением хеша в отладчике. Это оказался MD4.

Я аккуратно помечал все локальные переменные, поэтому было очевидно, что две следующие функции принимают на вход посчитанный MD4 от email’а и серийный номер. «Наверняка какой-нибудь криптографический алгоритм», — подумал я. В них я встретил гигантское количество расчетов и перестановок. Реализовывать алгоритм «в лоб», мягко говоря, неэффективно, поэтому я пошел простым путем — начал забивать в поисковиках первые байты массивов, на которые ведут указатели из этих функций. Сразу же нашелся один из массивов перестановок алгоритма AES, а в течение десяти минут я нашел и проименовал все необходимые массивы —

RT0–RT3, FT0–FT3, RCON, InvSBox. Они, кстати, идут друг за другом. Наличие массива InvSBox говорит о том, что ис-

пользуется AES_Decrypt, а не AES_Encrypt. Я решил прове-

рить мои предположения и накидал простенькую программку на C, которая считает MD4 от строки, а затем выполняет AES_Decrypt над преобразованным серийным номером, используя посчитанный хеш в качестве 128-битного ключа. Все совпало со значением, полученным в отладчике. Как покажет дальнейший разбор, использовать свою собственную программку для воспроизведения поведения crackme оказалось очень хорошей идеей.

Таким образом, на данный момент мы имеем:

md4_email = MD4(email);

decrypted_serail = AES_Decrypt

(serial, md4_email,128);

А дальше началось самое интересное, на что мне пришлось потратить изрядное количество времени. Первым делом мое внимание привлек указатель на класс/структуру, который использовался во всех последующих функциях. В каждом из вызовов были процедуры, использующие, в частности, строку

9

«Error: elliptic curve routines:» и список функций, работающих

сэллиптическими кривыми, из библиотеки OpenSSL.

Ясразу же подумал: «Дело в шляпе, осталось только поизменять ход программы так, чтобы вызывался код об-

ŝŖš ŧšŖŘű ťŤŗśŚŞŨśšŞ ŝŖŚŖŭ

Тру-крякеров я прославил, а что насчет решателей задач? Опубликую полный список, страна должна знать героев! Кстати, призы от «Лаборатории Касперского» получат все перечисленные гиганты мысли —

кто лично, а кто и по почте. Эти парни не скрывают своих фамилий, вот они: Иннокентий Сенновский (был первым, прославлен в прошлом номере), Вячеслав Бадиков, Женя Коновалов, Антон Бояркин, Николай Савченков, Дмитрий Иванов, Денис Стражков.

Кодинг

12

,7 ŠŤŢťŖţŞŞ ŮšŞŨś ţŖŢŧŘŤŞŝŖŚŖŭŠŞ

тернете, и с одной из них мне повезло — 1379BDF1 обнару-

жилась в файле MIRACL/source/mcore.c библиотеки MIRACL.

Все встало на свои места за пару десятков минут — я проставил имена используемых функций и восстановил логику большей части кода.

Если опустить не самую интересную часть кода (а то статья станет слишком скучной и большой), все сводится к операции RSA-шифрования:

C = serial@AESE mod N

где serial@AES — наш введенный серийник, дешифрованный AES’ом, Е — экспонента, равная 31, а N — модуль, который жестко забит в кракми. А затем реализован следующий цикл:

for (int i=0; i<170; i++)

{

md5_c = md5[1](C + i*3, 3);[f]

If (cmp(md5_c, md5_array + i*3, 3))

break;

}

Да, тут используется измененный автором кракми алгоритм MD5; так что тебе необходимо потратить немного времени на его разбор, если хочется восстановить оригинальный алгоритм. Здесь md5_array — массив из ста семидесяти MD5 хеш-сумм, жестко забитых в файле.

Другими словами, полученный после RSA 512-байтовый массив сравнивается по три байта с заданным массивом хешей. В случае же успешной проверки реверсеру выдается MessageBox с поздравлением и выводится сообщение Serial is valid.

Очевидно, что вначале необходимо восстановить корректное значение C, а потом serial@AES и необходимый серийник. Схематично это выглядит следующим образом:

email – MD4 -> email@md4;

serial -> AES_Decrypt(email@md4) -> serial@AES;

C = RSA(serial_AES);

md5_C = MD5(C);

Если будет корректный serial@AES, то с помощью AES_ Encrypt (обратная операция) получится соответствующий серийный номер. Иными словами, получится сделать кейген — для любого введенного email’а можно сгенерить валидный серийник.

Восстановить массив C, зная массив результирующих хешей, не составило труда. Я просто реализовал перебор

Задачи на собеседованиях

ťŦŞŝ ŤŨ (0%$5&$'(52

Правильные решения задач шли на Fedor Usakov (usakov@bcom.ru). Приз — ключ для Appmethod — среды разработки для

Windows, OS X, iOS, Android, с помощью FireMonkey.

28 * 3 * 170 вариантов. Это заняло на моем домашнем компьютере около пяти минут, и я получил необходимый массив C, но без двух последних байт. Осталось самое непонятное — как восстановить serial@AES из уравнения C = serial@AESE mod N, имея на руках все остальные переменные? Для этого надо знать обратную экспоненту d, тогда получится решить уравнение

serial@AES = Cd mod N;

К сожалению, именно сложность получения d и определяет всю криптостойкость RSA4096. Чтобы в лоб посчитать d, необходимо решить уравнение

ʰ Şɨ ſLjſ ƀƀř

где ф(n) — функция Эйлера, возвращающая количество натуральных чисел, являющихся взаимно простыми с n. Именно трудоемкость вычисления функции Эйлера ставит в тупик современные компьютеры. Я попробовал факторизовать (так называется вычисление функции Эйлера) имеющийся модуль N, но за пару часов ничего не вышло, так что я начал искать другие решения. Атака Винера также не принесла результатов.

Меня не покидала мысль, что путь к решению кроется в полученном значении C. Этот массив начинается с 18 нулей, что несколько необычно — вряд ли случайное число было бы таким. Тогда я сравнил числа serial@AESE и N. Бинго! Первое число оказалось меньше, а это означает, что модуль вообще не участвует в операции RSA-шифрования.

Действительно, возьмем простой пример: 5 mod 7 = 5; другим словами, пять поделить на семь получится ноль целых и пять в остатке. Иначе говоря, вся сложность RSA улетучилась. Осталось решить из упрощенного первого уравнения получить serial@AES:

13

ŭŞŨŖŨśšŞ ŮšŞŨś ţŖŢ ŧŘŤŞ ŦśŮśţŞŵ

Правильные ответы присылай или мне, или на адрес представителя компании, который может быть указан в статье (в этом номере — shishkov@ bcom.ru). Поэтому тебе придется не только решить задачку, но и дочитать статью до конца. Не шутка — шесть страниц чистого текста!

C = serial@AESE;

Решения реализуются на RAD Studio XE6 (Delphi, C++ Builder), Appmethod.

ЗАДАЧА1

Дана строка «Hello, Embarcadero». Не обращая внимания на производительность, написать как можно больше вариантов, как поменять символы местами в обратном порядке. Варианты могут отличаться лишь синтаксисом. Можно использовать библиотечные функции работы со строками, но должны быть варианты и без них.

ЗАДАЧА2

Заданы три точки с координатами x1, y1, z1, x2,

y2, z2, x3, y3, z3. Определить, попадает ли точка с координатами x, y, z в заданную плоскость треугольника, образованного исходными точками.

ЗАДАЧА3

Проверить, является ли целое число «счастливым билетом». Если число имеет нечетную длину, то центральную цифру можно отбросить. На примере шестизначного номера счастливым считается билет, у которого сумма первых трех цифр совпадает с суммой трех последних.

ЗАДАЧА4

Создать калькулятор, умеющий работать со скобками. Реализовать, используя возмож-

ности языка. Можно предложить несколько вариантов реализации.

ЗАДАЧА5

Показать на примере применимость 'Attributes (RTTI)'. Пример может быть любой, где можно увидеть полезность и эффективность использования атрибутов.

ЗАДАЧА6

Найти подстроку максимальной длины в файле, которая встречается максимальное количество раз. В случае наличия сразу нескольких вариантов ответов выдать все.

Файл может быть больше 2 Гб

Кодинг

ťŤŘśšśŘŖş ŤŗšŖŠŖŢŞ

РАЗБИРАЕМ УНИВЕРСАЛЬНЫЙ СПОСОБ РАБОТЫ С СОДЕРЖИМЫМ В ОБЛАЧНЫХ ХРАНИЛИЩАХ

Если бы в качестве введения я начал расписывать достоинства облачных хранилищ данных, ты бы подумал, что меня только что разморозили после двадцатилетнего анабиоза или что я серьезно злоупотребляю снотворными :). Поэтому скажу кратко, по-программистски: когда передо мной встала задача сделать программу, которая могла бы без привязки к API конкретного сервиса работать с файлами на множестве хранилищ (речь шла о бэкапе), оказалось, что это не так просто. Обо всех тонкостях и подводных камнях проделанной работы я решил тебе рассказать в этой статье.

Юрий «yurembo» Язев,

независимый игродел yazevsoft@gmail.com