| |
SoftIce для начинающих
Тебе
никогда не хотелось иметь у себя программу, с помощью которой можно ломать
игрушки, shareware и trial программы и вообще все, что запускается на компьютере?
Я думаю, что хотелось. А такая программа существует! И уже достаточно давно.
Это SoftICE от NuMega Software. Просто считается, что ее использование это
удел избранных программистов, разбирающихся в архитектуре процессора, устройстве
железа, в ассемблере и принципах действия операционных систем. Но на самом
деле и минимальных знаний достаточно для работы с этой программой. Сначала
введу тебя в курс дела.
SoftICE является самым мощным отладчиком на сегодняшний день (т.е. прогой,
которая может разобрать по кирпичику любую другую прогу и каждый этот кирпичик
изменить как захочется). А это значит, что с его помощью можно исследовать
все: от ядра Windows до программ на С++. Создавался он для отладки 32-битных
приложений, драйверов под Win NT и Win 95/98 и других программ под Win и
Dos (так по крайней мере говорят его разработчики ;). Но люди со всего мира
нашли ему дополнительное применение :)) Ведь что собой представляет какая-нибудь
Trial-программа? Не что иное, как 32-битное WIN приложение. А ее отладка?
Правильно - устранение защиты: или проверки времени, или проверки наличия
Key-файла, или еще чего-нибудь.
В связи с тем, что многие программы уже были взломаны с помощью SI, производители
ПО стали вшивать в свои творения части кода, проверяющие наличие SI в системе
и, в случае его обнаружения, не дающие программе вообще работать (они думали,
что это поможет, - вот наивные!). Поэтому тебе могут понадобиться несколько
программ, скрывающих этот отладчик от чужих глаз. Я тебе советую посетить
сайт www.dore.ru, а точнее его отдел www.dore.ru/files/debuggers, где представлено
много полезных прог, а именно сам SI под WIN 95/98 и под WIN NT, примочки,
мешающие другим прогам определить наличие SI в системе, дополнительные плагины
к нему, делающие работу с ним приятнее и удобнее. Если же тебе нужен SOFTICE
для Win ME, Win 2000 или Win XP, то перепиши соответствующий апдейт с сайта
производителя: www.numega.com/drivercentral/icecentral.asp. Под каждым апдейтом
написано, как его устанавливать. Итак, если у тебя уже есть проинсталлированный
SoftICE, можешь пропустить следующий раздел, если нет, то прими его к сведению.
Установка
В установке нет ничего сложного, просто после нее НАДО ВНЕСТИ ИЗМЕНЕНИЯ
в файл winice.dat (он должен находиться в каталоге, куда ты установил SI),
а именно раскомментировать в нем несколько строк:
; ***** Examples of export symbols that can be included for Windows 95 *****
;Change the path to the appropriate drive and directory
EXP=c:\windows\system\kernel32.dll - эти;
EXP=c:\windows\system\user32.dll - строки надо;
EXP=c:\windows\system\gdi32.dll - раскомментировать;
Это нужно для того, чтобы видеть имена Win API функций (стандартные функции,
используемые программами при работе под Win). А именно на них мы и будем
ловить программы, но об этом позже.
Что реально может делать SoftICE и как им управлять?
Вообще SoftIce состоит из нескольких окон: регистров, данных, кода и команд.
В окне кода ты видишь текст программы на ассемблере, а в окно команд вводишь
команды управления SI. Перемещаться между окнами удобно с помощью мышки,
но можно и без нее, хотя это сложновато для начала.
Основные команды (очень важный момент)
BPX адрес/имя функции - установить в указанный адрес или на вызов функции
точку останова (еще ее называют брэйк опинтом).
BPM адрес - установить точку останова на адрес памяти.
BL - вывести список всех установленных точек останова (каждая имеет свой
номер).
BD номер точки останова - сделать точку с соответствующим номером не активной.
BE номер точки останова - команда, обратная предыдущей.
BC номер точки останова - удалить точку останова.
Фактически, другие команды нам с тобой не понадобятся. Итак, с помощью SI
можно заморозить все программы в любой момент (например, будет вызвана стандартная
функция или выполнена команда по определенному адресу). Когда ты взламываешь
прогу, тебя можно сравнить с хирургом, ковыряющимся во внутренностях человека,
твой компьютер - с операционным столом, а SI - со скальпелем, ножницами
и наркозом.
Если ты хочешь сломать какую-то программу, то твоя основная задача состоит
в том, чтобы узнать, в какой момент нужно вызвать SI (если продолжить аналогию,
то в каком месте резать :), и поковыряться в программе-пациентке. Поэтому
нам с тобой потребуется установить ловушки, чтобы поймать в них программу,
когда она либо сравнивает твой серийный номер с правильным, либо смотрит,
какое сегодня число (чтоб сказать: "Ага! Срок моего действия истек.
Зарегистрируйся, а то я обижусь и не буду работать!").
Ловушки. И собственно сам взлом
Итак, нам надо выбрать момент, когда перехватить управление у программы.
Проще всего ломаются проги, использующие Win API функции. (Это стандартные
функции, облегчающие программирование под WIN. Например, если тебе нужно
создать окно на рабочем столе, то ты просто вызываешь какую-то функцию с
параметрами, а не пишешь код, создающий окно с нуля.) То есть тебе нужно
будет определить, на вызов какой из этих функций будет реагировать SI. Алгоритм
твоих действий должен быть следующим:
1. Решить, на что ты будешь ловить свою программу. На какую API функцию.
2. Установить на ее вызов точку останова (bpx имя функции).
3. Запустить свою прогу и спровоцировать вызов этой функции.
4. Нажав F11, перейти к тому месту в программе (на тот адрес), откуда она
вызывалась.
5. Установить точку останова на выполнение команд строки с этим адресом.
6. Снова спровоцировать вызов этой функции.
7. Просмотрев регистры, узнать необходимые тебе данные (к примеру, серийный
номер) или адрес той строки, в которой обрабатываются результаты вызова
функции (это могут быть какие-либо команды ассемблера: cmp или jump).
8. Запустив HIEW или что-то похожее, внести необходимые изменения (cmp можно
заменить пустой командой nop, а какую-нибудь разновидность команды условного
перехода - на безусловный jmp и тот же адрес). Именно из-за последних нескольких
пунктов считается, что знание ассемблера является очень желательным при
работе с SI.
Самыми часто используемыми Win API функциями являются:
MessageBoxIndirect - работа с окном сообщений. Используется в 16-битных
приложениях.
MessageBox - работа с окном сообщений. Используется в 16-битных приложениях.
MessageBoxA - то же самое, но 32-битное приложение.
MessageBoxIndirectA - то же самое, что и MessageBoxIndirect, но 32-битное
приложение.
GetWindowText - обычная строка ввода типа Windows Edit. Используется в 16-битных
приложениях.
GetWindowTextA - то же самое, но 32-битное приложение. Строки используются
однобайтовые.
GetDlgItemText - примерно то же, что и предыдущая функция, отличия в деталях.
Используется в 16-битных приложениях.
GetDlgItemTextA - то же самое, но 32-битное приложение. Строки используются
однобайтовые.
Следует заметить, что GetWindowTextA и MessageBoxA очень часто используются
при проверке серийного номера. Перед взломом рекомендую посмотреть свойства
ломаемой программы и выяснить ее разрядность (щелкни на ее ярлыке правой
кнопкой мыши, появится окно Свойств, там в левом верхнем углу обычно написано
"16" или "32 бит", это и есть разрядность приложения).
Практика
Вроде теорию я тебе всю изложил. Теперь практика: классический пример. Возможно,
пример немного трудноват, но даже если ты запомнишь хотя бы малую часть,
то сможешь почувствовать себя настоящим хирургом-маньяком, ищущим себе все
новые и новые жертвы. Итак прога-пациент называется TaskLock. Будем ловить
на GetWindowTextA (команда ":bpx getwindowtexta"). Ты можешь проверить,
установилась ли точка останова командой ":bl". В результате увидишь
что-нибудь типа: "00) BPX USER32!GetWindowTextA C=01". Далее жми
F5. Продолжим. Попробуй ввести какое-нибудь значение в окне регистрации
и нажми OK. Ты получишь дурацкое сообщение о том, что код был неправильным.
Значит, это была не функция GetWindowTextA. Попробуем GetDlgItemTextA. Удали
старый брейкпоинт ":bc 0" (0 - это номер брейкпоинта в списке
брейкпоинтов) и установи новый ":bpx getdlgitemtexta". Вводи номер
заново. Теперь ты в SoftICE, в самом начале функции GetDlgItemTextA. Чтобы
попасть туда, откуда она была вызвана, нажми F11. Теперь ты внутри модуля
SGLSET.EXE. Сейчас ты уже можешь запретить реакцию на вызов функции ":bd
0".
Первая строка в окне кода выглядит так: "CALL [USER32!GetDlgItemTextA]"
Чтобы посмотреть строчки над ней, нажимай Ctrl+Up ("стрелка вверх")
до тех пор, пока не увидишь нижеприведенный кусок кода. Если ты ничего не
понимаешь в Ассемблере, я добавил комментарии, которые могут помочь.
RET ; Конец функции
PUSH EBP ; Начало другой функции
MOV EBP, ESP ; ...
SUB ESP, 0000009C ; ...
PUSH ESI ; ...
> LEA EAX, [EBP-34] ; EAX = EBP-34
PUSH EDI ; ...
MOVE ESI, ECX ; ...
PUSH 32 ; Макс. длина строки
> PUSH EAX ; Адрес текстового буфера
PUSH 000003F4 ; Идентификатор управления
PUSH DWORD PTR [ESI+1C] ; Идентификатор окна диалога
CALL [USER32!GetDlgItemTextA] ; Получить текст
Команды PUSH означают сохранение значений для последующего использования.
Я пометил важные строчки символом '>'. Глядя на этот код, мы видим, что
адрес текстового буфера хранился в регистре EAX и что EAX был EBP-34h. Поэтому
стоит взглянуть на EBP-34h ":d ebp-34". Ты должен увидеть текст,
который ввел в диалоговом окне. Теперь ты должен найти место, где твой номер
сравнивается с реальным серийным номером. Поэтому мы пошагово трассируем
программу при помощи F10 до тех пор, пока не встретим что-нибудь о EBP-34.
Не пройдет и нескольких секунд, как ты наткнешься на следующий код:
> LEA EAX, [EBP+FFFFFF64] ; EAX = EBP-9C
LEA ECX, [EBP-34] ; ECX = EBP-34
PUSH EAX ; Сохраняет EAX
PUSH ECX ; Сохраняет ECX
> CALL 00403DD0 ; Вызывает функцию
ADD ESP, 08 ; Удаляет сохраненную информацию
TEST EAX, EAX ; Проверяет значение функции
JNZ 00402BC0 ; Прыгает, если не "ноль"
Мне кажется, что это выглядит как вызов функции сравнения двух строк. Эта
функция работает так: на входе - две строки, на выходе - 0, если они равны,
и любое другое значение, если не равны. А зачем программе сравнивать какую-то
строчку с той, что ты ввел в окне диалога? Да затем, чтобы проверить ее
правильность. Значит этот номер скрывался по адресу [EBP+FFFFFF64]. SoftICE
не совсем корректно работает с отрицательными числами, и поэтому настоящий
адрес следует посчитать: 100000000 - FFFFFF64 = 9C.
Ты можешь сделать это вычисление прямо в SoftICE: "? 0-FFFFFF64".
Число 100000000 слишком велико для SoftICE, а вычитание из 0 дает тот же
самый результат. Наконец пришло время взглянуть, что же скрывается по адресу
EBP-9C (команда ":d ebp-9c"). В окне данных SoftICE ты увидишь
длинную строчку цифр - это серийный номер! Но в программе есть два типа
регистрации, следовательно, и два разных серийных номера. Поэтому после
того, как ты записал на бумажечку первый серийный номер, продолжай трассировать
программу при помощи F10. Мы дошли до следующего куска кода:
> LEA EAX, [EBP-68] ; EAX = EBP-68
LEA ECX, [EBP-34] ; ECX = EBP-34
PUSH EAX ; Сохраняет EAX
PUSH ECX ; Сохраняет ECX
> CALL 00403DD0 ; Снова вызывает функцию
ADD ESP, 08 ; Удаляет сохраненную информацию
TEST EAX, EAX ; Проверяет значение функции
JNZ 00402BFF ; Прыгает, если не "ноль"
И что ты видишь по адресу EBP-68? Второй серийный номер! Вот и все...
|
