книги хакеры / журнал хакер / 113_Optimized

Текстнашегопервогоcrackme,написанногонаC#,впростейшемслучае выглядиттак.Этоконсольнаяпрограмма,вручнуюнабраннаявтекстовом редакторе.IDEпихаетсюдамноголишнего,затрудняющегопонимание,но наскомпилированномкодеэтоникакнеотражается.

Исходныйтекстпрограммыn2k_crackme_01h.cs

// использовать классы основной системной библиотеки using System;

class nezumi

// имя класса — произвольно и может быть любым

{

static void Main()

{

//объявляем переменную s типа строка string s;

//запрашиваем у пользователя пароль

System.Console.Write("enter password:"); s = System.Console.ReadLine();

if (s == "nezumi") {

// сравниваем введенный пароль с эталонным

System.Console.WriteLine("hello, master!");

}

else {

System.Console.WriteLine("fuck you, hacker!");

}

}

}

ВсредеIDEсборка.NET-программосуществляетсяклавишей<F6>,аиз командойстроки(приэтомcsc.exe долженнаходитьсявпутях,чегоне происходитприустановкепоумолчанию):

$csc.exe n2k_crackme_01h.cs

ВMono вместо csc.exe используется файл mcs/mcs.bat, но, независимо от способа сборки, мы получаем n2k_crackme_01h.exe, готовый к запуску. После чего нас спросят пароль и, если мы введем его неверно

—пошлют.

Компиляцияосуществляетсяпутемуказанияключа/CLR вкомандной строкекомпилятораCL.EXE(рядомскоторымможноуказатьключ/Oxдля форсированиямаксимальнойоптимизации):

$cl.exe /clr hello-clr.cpp

Полученныйфайлhello-clr.exeпредставляетсобойсмесьуправляе- могобайт-кодасбольшимколичествомвызововнеуправляемогомашин- ногокодаизразличныхбиблиотек—плюсонтянетзасобойRTL,написан- нуюнабайт-коде.Этопозволяетсочетатьвысокуюскоростьвыполненияс управляемостьюибезопасностью.Впрочем,«чистые»C#сборкивсе-таки выигрываюткаквразмерах,такивскорости.Чутьпозжетыубедишьсяв этомсамостоятельно,апокажеповерьмненаслово.

Первые эксперименты

Загружаемподопытный n2k_crackme_01h.exe вHIEW,дваждыдавим <ENTER>дляпереводаредакторавдизассемблерныйрежим,жмем<F5> ипопадаемвточкувхода,гдекрасуетсякомандаjmp _CorExeMain ; mscoree.dll.Этовесьмашинныйкод,какойтолькоесть.

Дальнейшеерасследованиепоказывает,чтоjmpнаходитсявсамомконце секции.text,закоторойрасполагаютсясекцииресурсовиперемещаемых элементов,авыше—байт-кодвиртуальноймашины.Просматриваяего вhex-mode,мыобнаружимвсетекстовыестроки(ипарольвтомчисле!)в форматеUnicode,причем,передстрокойнаходитсябайт,определяющий

длинустроки.Узнаворигинальныйпарольмы,конечно,безтрудасмоглибы «взломать»crackme—однакоредкаяпрограммахранитпаролиоткрытым текстом,даинеинтересноэто.

ЛучшезагрузимвHIEWдругойисполняемыйфайл,написанныйнаСи++— hello-clr.exe.ОнтакжевызываетCorExeMain.Вотличиеот«чистой»

.NETсборки,написаннойнаC#,здесьприсутствуетбольшоеколичество «переходников»кмашинномукоду—функциямstrcmp,gets,printf, напрямуювызываемымизбиблиотекиMSVCR90.DLL.ЗаэтоотвечаетмеханизмP/Invoke,позволяющийсоздавать«гибридные»программы,часть изкоторыхтранслируетсявмашинныйкод,ачасть—винтерпретируемый байт-код,чтосерьезнозатрудняетвзлом.Неволнуйся,когдамывозьмемся задело,никакойP/Invokeнаснеостановит!Апоказагрузим.NET-сборкув нормальныйдизассемблер.

Техника дизассемблирования

Загружаемn2k_crackme_01h.exeвIDAProивидим,чтоничегоужас- ноговCIL-коденет.Напоминаетбайт-кодвиртуальнойJava-машины.IDA Proнетолькосоздаетперекрестныессылки,ноипоказываетопкоды,и расставляеткомментарииккомандам,избавляяотнеобходимостикаждый раззаглядыватьвсправочник(ECMA-335/PartitionIII/CILInstructionSet).

Чтобы дизассемблер был дружелюбнее к хакеру, необходимо выполнить следующие действия. В меню «Options» выбрать пункт «Text representation». Там указать количество байт для отображения опкода («Number of opcode bytes») — шести вполне хватит. В разделе «Line prefixes» нужно сбросить все галочки, кроме «Function offsets», после чего вновь возвратиться в меню «Options», зайти в «Comments» и

Хакнутаяпрограммалюбойпарольвоспринимаеткакправильный

Таквыглядит«честная».NETсборкавhex-редакторе

КонсольнаяверсияIDAProдизассемблирует.NETсборку

DotnetILEditor—IL-отладчиксGUI-интерфейсом

взвести «Display auto comments» для автоматического отображения комментариев ко всем инструкциям (впрочем, при наличии некоторого опыта работы с CIL-кодом этого можно и не делать).

ПоклонникиграфическойверсииIDAProмогутзадействоватьграфы,упро- щающие(насамомделе—усложняющие)пониманиеструктурыпрограм- мы.Тутуж,какговорится,навкусицветвсефломастерыразные.Личноя никогданепользовалсяграфамиидругимнесоветую.

Атеперьпосмотрим,начтоспособенштатныйдизассемблеротMicrosoft, поумолчаниюрасположенныйвкаталогеC:\WINDOWS\Microsoft. NET\Framework\v2.0.50727\.Зоветсяон ilasm.exe.Загружаемв негоn2k_crackme_01h.exe.

Хм,вобщем-то,довольнонеплохаякартинаполучилась,анавигацияпо классамвыполненадажелучше,чемвIDAPro,причемнамноголучше(примечание:чтобыildasm.exe отображалопкодыинструкций,необходимо вменюViewвзвестигалочку«Show bytes»).

Самоевремяисследоватьдизассемблерныйтекстнашейпрограммы.Тут всеяснобезтравыидажебезкомментариев(особеннотем,ктознакомс виртуальнымимашинамисостековойорганизацией).Еслиопуститьдетали,получаетсяследующее:программавызываетSystem.Console:: Write("enter password"),послечегосчитываетстрокувпере-

меннуюV_0ивызываетфункциюSystem.String::Equality(V_0, "nezumi")дляпроверкистрокнасоответствие.Вслучаеихнесовпадениянаэкранвыводитсястрока«fuck off, hacker!»,управлениена которуюпередаетсямашиннойкомандойbrtrue.s IL_0031(сопкодом 2Dh 0Dh).Получившуюсявыкладкуищинадиске.

Чтобызаставитьпрограммувосприниматьвсепароликакправильные, двухбайтовыйусловныйпереходbrtrue.s IL_0031необходимо заменитьнапаруоднобайтовыхкомандnop(опкод— 00h,авовсене

90h,какнаx86).Илиже…заменить brtrue.s IL_0031 наbrFALSE. s IL_0031.Тогдалюбойнеправильныйпарольбудетвосприниматьсякак правильныйи,соответственно,наоборот.ОткрывECMA-335,мыузнаем, чтоинструкцияbrfalse.s имеетопкод2Ch—этовсе,чтонамнеобходи- мознатьдлявзломапрограммы.

Техника патча

Так,гденашHIEW?Готовковзлому?Какнамопределитьместоположение байта,которыймысобралисьзахачить?Ведьвиртуальныеадресавкон- текстеCIL-коданеуместны!

Воспользуемсядедовскимспособомипоищемпоследовательностьбайт (сигнатуру),обитающуювокрестностяхцелевойкоманды.Внашемслучае этоможетбыть2Dh 0Dh 72h 2F 00h 00h 70h 28h(обобратномпорядкебайтнезабываем,да?Ildasmавтоматически«нормализует»аргументы команд,IDAPro—нет,показываяихтакими,какиеониесть:наименее значимыйбайтрасполагаетсяпомладшемуадресу).Короче,вбиваем заданнуюпоследовательностьвпоиски,убедившись,чтоэтовхождение

—единственное,переводимHIEWврежимзаписипо<F3>.Заменяем2Dh на2Ch,сохраняемизменениявфайлепо<F9>ивыходим.

Сеансработысотладчикомmdbg.exe«каконесть»

Запускаем хакнутый файл и... о чудо! Он работает! Теперь любой, наугад взятый пароль, например, «123456» воспринимается как правильный. Конечно, если программа снабжена цифровым сертификатом подлинности или использует механизм контроля целостности собственного кода, этот номер не пройдет, но ведь взлом надо же с чего-то начинать!

Техника отладки

Спору нет, дизассемблер — весьма популярный инструмент для исследования программ. Популярный, но не единственный. Во многих случаях отладчик оказывается намного более предпочти-

Основные командыотладчика mdbg.exe

help:выводвстроеннойсправки,«helpкоманда»—подробная справкапокоманде;

a[ttach]:подключениекактивному.NET-процессу;

b[reak]:установкаточкиостановаилиотображениеужесуществующих;

ca[tch]:просмотрсобытий(events),вызывающихостанов отладчика;

conf[ig]:просмотропцийотладки/конфигурированияотладчика;

del[ete]:удалениеточкиостанова;

de[tach]:отключениеототлаживаемого.NET-процесса; g[o]:продолжениеработыпрограммы;

n[ext]:StepOver; o[ut]:StepsOut; s[tep]:StepInto;

p[rint]:выводсодержимоголокальныхпеременных; q[uit]:выходизпрограммы;

r[un]:запускпрограммыподотладчиком; set:изменениезначениепеременных;

setip:установкатекущейвыполняемойкоманды; sh[ow]:показокрестностейвыполняемогокода.

Дампдвоичной.NET-сборкивассемблерный файлштатнымдизассемблеромildasm.exe

тельным. Вместо того чтобы гадать, какое значение имеет переменная в данной точке (в дизассемблере), гораздо практичнее заглянуть в нее отладчиком.

Ивоттутвыясняетсялюбопытнаявещь.Науровнеисходныхтекстов MicrosoftVisualStudioсправляетсясотладкойнаура,ноготовыебинарные сборки,увы,неподдерживает.Дляработысниминеобходимоиспользо- ватьICorDebug-интерфейс,встроенныйвядроплатформы.NETиреа- лизующийбазовыеотладочныевозможности(установкаточекостанова, пошаговоеисполнениеит.д.),предоставляяихввиденабораAPI-функций. Все.NET-отладчики,которыеявидел,являютсядостаточнотонкими оберткамивокругICorDebugInterfaceинаследуютегохудшиечерты,а именно—невозможностьотлаживатьпрограммыбезсимвольной(отла- дочной)информации,автоматическиудаляемойизвсехRelease-проектов. Выходит,чтомыможемотлаживатьтолькосвоисобственныепрограммы?! Нехорошо!

Терминологическоеболото

.NET:древняя,какмир,идеядвухстадийнойкомпиляции;сначалапрограмма(написаннаяхотьнаJava,хотьнаVisualBasic,хоть наCи++,хотьнаC#,хотьнаF#)транслируетсявпромежуточ- ныйбайт-код,которыйокончательнотранслируетсяв«родной» двоичныйкоднаконкретнойцелевоймашинеилижеисполняетсяврежимеинтерпретации;

CLR:CommonLanguageRuntime(«общаясредавыполненияязы-

ков»)—компонентMicrosoft.NETFramework,включающийсебя виртуальнуюмашинуинеобходимыебиблиотеки;

CIL:CommonLanguageInfrastructure—«спецификацияобщеязы-

ковойинфраструктуры»,определяющаяархитектуруисполнительнойсистемы,базовыеклассы,синтаксисимнемонику байт-кода;

MSIL:MicrosoftIntermediateLanguage(«промежуточныйязыкот

Microsoft»)—байт-кодвиртуальной.NETмашинывреализации отMicrosoft;

IL:IntermediateLanguage(«промежуточныйязык»)—байт-код виртуальной.NETмашины,стандартизованныйврамкахECMA335.

Расследованиепоказало,чтоштатному.NETотладчику(зовущемусяmdbg. exe,где«m»—сокращениеотmanaged,тоестьуправляемыйкод)для нормальнойработывполнедостаточноpdb-файла.Воттолькокакэтотфайл получить?IDAProможетподготовитьmap-файл,ноготовыхконверторов map2pdbвСетичто-тоненаблюдается,аписатьсамому—ленивоинепро- дуктивно.

Ксчастью,существуетвесьмапростойиэлегантныйпуть.Дизассемблируембинарнуюсборкуштатнойутилитой ildasm.exe,послечегоассемблируемеезановоштатнымжетрансляторомilasm.exe,незабывуказать «волшебный»ключик /pdbдлягенерацииотладочнойинформации. Посколькуildasm.exeподдерживаетресурсыикорректноихдампит,то предложенныйспособработаетвподавляющембольшинствеслучаев,что мысейчасипродемонстрируем.

Запускаем ildasm.exe с настройками по умолчанию, загружаем в него n2k_crackme_01h.exe (оригинальный, а не хакнутый). В меню File находим пункт Dump (или нажимаем <CTRL-D>), в появившемся окне «Dump options» (смотри рисунок) оставляем все галочки в состоянии по умолчанию. Главное, чтобы была взведена галочка «Dump IL Code»! После нажимаем «OK» и вводим имя файла для дампа (напри-

мер, «cracked»).

Поокончаниидизассемблированиянадискеобразуютсядвафайла

—cracked.ilсассемблернымтекстомпрограммыиcracked.res с ресурсами.Cracked.ilпредставляетсобойобыкновенныйтекстовой файл,которыйможноправитьвлюбомтекстовомредакторе,принеобхо-

димостизаменяя«brtrue.s IL_0031»на«brfalse.s IL_0031».Но сейчаснасвпервуюочередьинтересуетнепатч,аотладка.

Беремштатныйассемблерисобираемфайлследующимобразом:

$ilasm.exe cracked.il /pdb

На диске образуются файлы cracked.exe и cracked.pdb, готовые к загрузке в отладчик. Что примечательно — отладочная информация непосредственно в сам исполняемый файл не записывается. Это очень хорошо, иначе нам пришлось бы потом оттирать ее оттуда или мириться с увеличением размера поломанного exe, что вряд ли входит в наши планы.

ОК, набираем в командной строке «$mdbg.exe cracked.exe» и… оказываемся в консольном окне отладчика, автоматически останавливающегося на первой команде функции Main (передает нам бразды правления). А что такого крутого и хорошего мы можем сделать? Начнемспросмотраокрестной,зачтоотвечаеткоманда«show»илиее болеекороткийалиас«sh».Результатвыглядиттак:

Результатработыкоманды«sh»,показывающейIL-код

run cracked.exe

# запущена бинарная сборка cracked.exe STOP: Breakpoint Hit

Коллекция.NETcrackmesнаодноименномсайте

ГрафическаяверсияIDAProдизассемблирует.NETсборку

Внешнийвид.NET-сборки,полученнойпутемтрансляцииСи++программы

ТутможнобесплатноскачатьпоследнююверсиюMicrosoftVisualStudio

Штатныйдизассемблерildasm.exeзаработой

Программа:c99madshell ОС:Win/*nix

Автор:madnet

Доработанныйc99shell

Помнится,нетакдавновыкладываляподборку самыхразныхвеб-шеллов.Былитамиphp,иperl, иasp-скрипты.Новремяидет,ахакерскаямысль нестоитнаместе.Хочупредставитьтвоемувниманиюдостойнуюпеределкупопулярноговеб-

шелла«c99shell»подназванием«c99madshell».

Веб-шеллнаписаннаосновеc99shellиперенял всеегоположительныестороны,такиекак:

• Удобный обозреватель и редактор файлов на сервере • Функциональный SQL-клиент • Командная строка

• Выполнение произвольного PHP-кода

• Поиск файлов .htpasswd, config. inc.php, suid, sgid, service.pwd, bind_bash, .fetchmail, etc • Работа с буфером • Менеджер процессов

• Базовая оценка безопасности сервера

• Работа при включенном SafeModeрежиме • Совместимость со всеми операционными системами

• Защита путем авторизации (логин/ пароль)

Изосновныхнововведений,приобретенных скриптом,отметим:

• Упрощенное отображение (никакой лишней графики, только текст и псев-

дографика)

• Невидимость для антивирусов (скрипт полностью переписан, тело закодировано)

• Уменьшенный размер (удалено все лишнее, размер составляет 44 Кб) • Отсутствие GET-запросов (все запросы передаются POST-методом) • Пофиксены мелкие недочеты

Новыйвариантвеб-шеллапропалитьгораздо сложнее,чемпредыдущий(конечно,еслитыне будешьзаливатьвкореньвеб-дирыскриптс названиемshell.php:)).Крометого,c99madshell

обладаетприятнымиудобныминтерфейсом,что являетсянесомненнымплюсомвповседневной рутине.Вобщем,какойизвеб-шелловюзать

—решатьтебе,ялишьнемногорасширилвыбор.

Программа: VkontakteSearch ОС:Win/*nix

Автор:—Hormold-

Ищемдевушек«Вконтакте»:)

«Вконтакте»по-прежнемупривлекаетвсеновых иновыхпользователей.Возможно,именно поэтомуресурспостепенностановитсяодной изосновныхмишенейдляспамеровихакеров рунета.Надоотдатьдолжноеадминампортала

—всенемногочисленныебагиониприкрывают достаточнобыстро,но,темнеменее,уменяесть, чемтебяпорадовать.Нет,янебудупредлагатьзаюзатьочереднуюспамилкуилибрутер аккакунтов.Вместоэтогопредставляютебетулзу

«VkontakteSearch».УтиланаписананаPHPи

предназначенадляпоисканужныхлюдейна просторахресурса(например,симпатичныхде- вушек:)).Да-да,самыедогадливыеужепоняли,

чтоскриптосуществляетпоискпозаданным критериямисохраняетфоткиюзеров.Все,что оттебятребуется—указатьвсорцезначения несколькихпеременных:

$password=md5("");// — твой пароль $sex="1"; // — пол, 1 — женский, 2 — мужской (не знаю, как для тебя, а мне девушки все-таки предпочтитель-

НижеперечисленонесколькопримеровIDдля городов:

49 — Екатеринбург, 60 — Казань

61 — Калининград, 72 — Краснодар,

73 — Красноярск, 1 — Москва,

87 — Мурманск, 95 — Нижний Новгород,

99 — Новосибирск, 104 — Омск, 110 — Пермь, 119 — Ростов-на-Дону, 123 — Самара, 2 — Санкт-Петербург

Думаю,сзапускомскриптапроблемневозникнет, авотспарсингомрезультатовпоискаделообстоит сложнее.Посемупредлагаюзаюзатьотдельный скриптдляобработкилога:

<?

error_reporting (E_ALL); $file=file("log.txt");

for($i=0; $i < count($file); $i++){ list($id,$img,$nick,$rep)=explode( ":",$file[$i]);

echo "Id:$id($nick)<BR><IMG SRC=’img/".$id."_".$img."°><BR>";

echo $file[$i];

}

echo count($file); ?>

Послепарсингалогатыбезпроблемсможешь вудобочитаемомвидеузнать,скольколюдейи когоименнонашелскрипт,нуи,естественно,

есть,когоискатьилитысобираешьсязамутить очереднуюпати,пригласивсдесятоксимпа- тичныхдевчонок,—этатулзаявнодлятебя. Кстати,скриптнесложнопереписатьподработус несколькимиаккаунтами,такчтодерзай.

Программа:StopAV

ОС:WindowsXP Автор:Dr.Samuil

Убиваемантивиринаповал

Описывая различные бэкдоры или, как их еще принято называть — «системы удаленного администрирования» (несанкционированного…), невольно задумываешься об установленном на машине жертвы антивирусе. Убить антивирь ручками далеко не всегда является возможным, однако, товарищ Dr.Samuil позаботился об этой проблеме, накодив такую полезную утилу, как StopAV. Тулза написана на Delphi и представляет собой убийцу антивирей. На данный момент утила убивает:

•McAffee AntiVirus 7.1 Enterprise

•Антивирус Касперского 6.0

•Антивирусная утилита AVZ 4.29

•Утилита для обнаружения сканиро вания портов 1.90

•Kaspersky Internet Security 7.0

•Panda Antivirus 2008 (3.00.00)

•WinAntiVirus Pro 2007

•Trend Micro OfficeScan 7.0

•NOD32 AntiVirus 2.7

Не хочется говорить лишних слов по поводу правомерности использования тулзы и прочего, поэтому я процитирую обращение автора, из которого тебе все станет ясно:

«Программа не должна использоваться в противоречии с законами РФ. Она не должна быть направлена на нарушение авторских прав и/или предоставление несанкционированного доступа к защищенной информации. Автор программы не несет ответственности за любой вред, ущерб или действия его программного продукта, которые могут возникнуть в ходе работы, будь оно злоумышленным или «просто в шутку»

Как ты понимаешь, сферы применения утилы могут быть совершенно разными. Посему мне остается лишь выложить тулзу на наш DVD и уповать на твою совесть.

Предвзятый обзор неприватных хакерских и околохакерских конференций