книги хакеры / журнал хакер / 112_Optimized

же давно никто не трассирует программы от начала и до У конца — слишком утомительно и непродуктивно. Однако не

стоит полностью списывать трассировку со счетов, она и сейчас живее всех живых!

Запутанные участки кода, ответственные за проверку серийного номера, ключевого файла или расшифровку программы, довольно часто прогоняются отладчиком в пошаговом режиме, кроме того, отладчик может «негласно» задействовать трассировку для выполнения некоторых операций. В частности, в OllyDbg установка точки останова на команду и/или диапазон EIP-адресов реализуется как раз через трассировку. Ее же используют многие плагины, например, популярный FindString, осуществляющий поиск заданной строки в регистрах (трактует их как указатели). Распаковщики упакованных файлов (особенно универсальные) активно используют трассировку для освобождения от упаковщика и восстановления оригинальной точки входа в программу (Original Entry Point или, сокращенно, OEP).

Защита, умело препятствующая трассировке, затрудняет взлом программы, хотя и не делает его невозможным, поскольку на каждый антиотладочный болт с хитрой резьбой уже давно придуман свой анти-антиотла- дочный ключ.

Трассировка в x86 процессорах

Если TF-флаг, хранящийся в регистре EFLSGS (и гнездящийся в 8’ом бите, считая от нуля), взведен, то после исполнения каждой команды процессор генерирует прерывание INT 01h или EXCEPTION_SINGLE_ STEP (80000004h) — как его «обозвали» разработчики Windows. Исключение составляют команды, модифицирующие регистр SS (селектор стека) и маскирующие прерывание на выполнение следующей команды. На этот шаг разработчики процессоров пошли потому, что в коде часто встречаются конструкции вида MOV SS, new_ss/MOV ESP, new_ESP.

Легко сообразить, что, если прерывание произойдет после того, как новый селектор стека уже обозначен, а указатель вершины стека еще не инициализирован, мы получим неопределенное поведение системы, ведущее к краху (а ведь существует команда LSS, одним махом загружающая и SS, и ESP, но она не относится к числу самых популярных). Простейший способ обнаружения трассировки состоит в чтении регистра флагов (EFLAGS) и проверке состояния бита TF. Если он не равен нулю — нас кто-то злостно трассирует. С прикладного уровня прочитать содержимое регистра флагов можно самыми разными способами: командой PUSHFD, заталкивающей флаги

в стек, генерацией исключения (при которой SEH-обработчику передается контекст потока вместе со всеми регистрами, включая регистр флагов); наконец, контекст можно получить API-функцией

GetThreadContext.

Сегодня мы будем говорить лишь о первом способе — команде PUSHFD. При кажущейся незамысловатости она скрывает целый пласт хитростей, известных далеко не всякому хакеру.

Эксперимент N #1 — «чистый» PUSHFD

Напишем несложную программку, заталкивающую в стек регистр флагов через PUSHFD и тут же выталкивающую ее обратно в EAX для тестирования значение бита TF.

ПростейшаяпрограммаTF-0x0 simple.cдляобнаружения трассировкичерезPUSHFD

char yes[]="debugger is detected :-)"; char noo[]="debugger is not detected";

nezumi()

{

char *p=noo; // презумпция невиновности is on :)

Отладчик ollydbg в собственной красе

;если TF не взведен, нас не трассирует… jz not_under_dbg

;…ну или мы не смогли это обнаружить :) mov [p], offset yes

not_under_dbg:

}

MessageBox(0, p, p, MB_OK);

}

Откомпилируем ее следующим образом.

cl.exe /c /Ox /Os /G6 TF-0x0 simple.c

link.exe TF-0x0 simple.obj /ENTRY:nezumi /MERGE:. rdata=.text /ALIGN:16 /DRIVER /FIXED /SUBSYSTEM:CONSOLE KERNEL32.LIB USER32.lib

Все это шаманство потребовалось:

а.Чтобы убить стартовый код и начать программу с интересующей нас функции nezumi().

б.Чтобы сократить размер программы, равный в данном случае 768 байтам.

Не обращая внимания на ругательство линкера «warning LNK4078: multiple.text» sections found with different attributes (40000040)», запустим программу. Убедимся, что она честно говорит:

«debugger is not detected». А теперь загрузим ее в MS VC dbg и бу-

дем трассировать (клавиша <F11>), пока не достигнем первого call’а (им будет MessageBox). Ага, «debugger is detected»! Цель достигнута!

Теперь испытаем cdb.exe из набора Debugging Tools. Поскольку он органически не умеет стопиться на OEP, раскомментируем «int 03»

Обзор Debugging T2ools для Windows

и перекомпилируем программу, загрузив ее в отладчик путем указания имени файла в командной строке. Первый раз отладчик всплывает в ntdll!DbgBreakPoint по int 03h. Это всплытие нам совершенно не интересно, так что пишем «g» для продолжения выполнения программы и попадаем на «наш» собственный int 03h, стоящий в начале nezumi().

Последовательно отдавая команду «t», трассируем функцию до достижения CALL’а, а потом говорим «g». Отладчик не обнаружен! Как так? А очень просто — CDB отслеживает команду PUSHFD и эмулирует ее выполнение, «вычищая» TF-бит из стека. Аналогичным образом себя ведут SoftICE, Syser, OllyDbg и многие другие «правильные» отладчики. А вот IDA и GDB «честно» показывают TF-бит, как он есть, чем и обнаруживают свое присутствие.

Эксперимент N #2 — игры с префиксами

В лексиконе x86, помимо самостоятельных команд, есть так называемые префиксы (prefix). Например, префикс повторения (REPE/PEPNE), префикс перекрытия сегмента (CS:, DS:, SS:, ES:, FS:, GS:), префикс изменения разрядности (с опкодом 66h) и т.д. Префиксы работают только со своим набором команд; в частности, префикс повторения применяется лишь совместно со строковыми инструкциями (MOVSD, LODSD, STOSD). На остальные команды он никак не воздействует (разве что увеличивает время их декодирования), а потому PUSHFD и REPE: PUSHFD — синонимы.

Умный отладчик должен учитывать, что перед командой PUSHFD может стоять один или несколько «мусорных» префиксов, автоматически отбрасывая их. Но это в теории. Добавим «REPE» перед «PUSHFD»

в нашу программу и перекомпилируем ее, переименовав в TF0x1 prefix.c.

Такие отладчики, как CDB, SoftICE и Syser, автоматически отбрасывают префиксы, препятствуя их обнаружению. MS VC, IDA и GDB как обнаруживались, так и обнаруживаются, а OllyDbg (даже в новой версии со всеми плагинами) палится даже на банальном REPE, не говоря уже про сочетание нескольких префиксов!

Эксперимент N #3 — прерывания в маске

Немного видоизменим нашу тестовую программу, добавив перед инструкцией PUSHFD пару команд MOV AX,SS/MOV SS,AX. И хотя реальной

Официальный сайт OllyDBG

модификации регистра SS при этом не происходит, процессор все равно маскирует трассировочное прерывание на время команды, следующей на MOV SS,AX, которой и является PUSHFD.

ЛовляTF-битачерезмаскирование трассировочногопрерывания

; если TF не взведен, нас не трассируют jz not_under_dbg

mov [p],offset yes not_under_dbg:

}

MessageBox(0, p, p, MB_OK);

}

Откомпилируем и посмотрим, как отладчики справятся с этой ситуацией. Вот мы доходим до MOV SS,AX, нажимаем <F7> (Step into) и перескакиваем через PUSHFD, позволяя ей сохранить в стеке истинное состояние TF-бита, что немедленно приводит к обнаружению отладчика.

ИMSVC,иCDB,иSoftICE,иOllyDbg,иIDA,иGDB—вселовятсянаэтоткрючок. Syser(вплотьдоверсии1.95.1900.0894)тожеловился,покаянеотписалегоразработчикам,ионинепофиксилиэтотбаг.Врезультате,Syserсталединственным (насегодняшнийдень)отладчиком,распознающиминструкции,модифицирующиеSS.ЕслизанимиследуетPUSHFD,включаетсяспециальный«эмулятор», которыйподсовываетпрограммесброшенныйTF-бит.

Анти-анти-отладка

Пользователям Syser’а хорошо! Им вообще ни о чем заботиться не нужно! А что делать приверженцам остальных отладчиков?! При «ручной» трассировке программы, обнаружив PUSHFD, достаточно прекратить трассировку и, установив точку останова за ее концом, сказать отладчику <Run> или <Go>. Тогда фрагмент кода прогонят без трассировки, что (естественно) не позволит обнаружить трассировку, поскольку ее нет.

При автоматизированных прогонах в OllyDbg можно поставить точки останова на все команды, модифицирующие SS. Тем самым, заставляя его всплывать и передавая бразды правления в наши лапы (для разруливания ситуации по вышеописанной методике). Проблема в том, что таких команд очень много. Это не только MOV SS,16 bit Reg/Mem и POP SS, но еще MOV,SS/POP SS плюс различные префиксы. В частности, MOV

082

Знаешьлиты?

1.Протрассировкуветвлений

Pentium-процессорыумеюттрассироватьветвления(условные/безус- ловныепереходыивызовыфункций).ДляэтогонужновзятьMSR-ре-

гистрMSR_DEBUGCTLAивзвестивнембитBTF(single-steponbranches).

ТогдапривзведенномTF-битеврегистрефлаговEFLAGSтрассировочное прерываниебудетгенерироватьсянепослекаждоймашиннойкоманды, алишьнаинструкцияхветвления.Этооченьполезнодляразбивкипро- граммынафункциональныеблоки(например,можнонаписатьreal-time трассер,сравнивающийпрогоныветвленийпрограммыдоипослеистеченияиспытательногосрока,чтопозволитлегконайтитот«заветный» jxx,которыйнужнозахачить).Сдругойстороны,еслизащитавзведет BTF-бит,товсеизвестныемнеотладчикинесмогутнормальноработать, посколькунепроверяютегосостоянияпритрассировке.ЗаписьMSRрегистровосуществляетсяпривилегированнойкомандойWRMSR,ипри попыткеееисполнениянаприкладномуровнепроцессоргенерирует исключение.ОднакописатьсобственныйдрайвердляигрсBTF-битом совершеннонеобязательно.Можновоспользоватьсянедокументиро-

ваннойnative-APIфункциейNtSystemDebugControl(),экспортируемой изNTDLL.DLL,примервызовакоторойможнонайтинаwww.openrce. org/blog/view/535/Branch_Tracing_with_Intel_MSR_Registers.Дляэтого необходимообладатьправамиадминистратора.

Замечу,чтовпоследнихпакетахобновлениядляServer2003иXPвоз- можностиэтойфункциибылисущественноурезаны.По-видимому, политикаурезанияпродолжится,такчтокогда-нибудьбездрайвера будетнеобойтись.

2.Чтослучилосьсточкамиостанова?

Маскированиепрерыванийпослекоманд,модифицирующихсодержимоерегистраSS,распространяетсятакжеинаотладочныепрерывания.Вчастности,генерируемыеаппаратнымиточкамиостанова поисполнению,которыеустановленынакоманду,следующуюзаинструкциейимодифицирующуюрегистрSS.Они,согласнодокументацииотIntelиAMD,несрабатываютиотладчикихмирнопропускает. Этонебагвотладчике—этоособенностьx86 процессоров.

Программныеточкиостанова(представляющиесобойопкодCCh)и аппаратныеточкиостанованачтение/записьданныхпродолжают работать,какнивчемнебывало.

3.Какещеможномаскироватьпрерывания?

Существуютдваосновныхспособаанализапрограммбезисходныхтекстов:статический(дизассемблирование)идинамический

(отладка).Дизассемблированиеоченьплохосправляетсяссамомодифицирующимсяисамогенерируемымкодом.Действительно,защита можетзатолкатьвстеккучунепонятных«циферок»,перемешавих самымпричудливымобразом,ипередатьтудауправление.Ачтоу настам?Дизассемблермолчит,какпартизан,хотьпытайего,хотьне пытай!Такойкодобычносмотрятподотладчиком.

Представимсебекод,расположенныйвстекеипомещающийповерх себянесколькомашинныхкоманд.Первойизнихидеткоманда модификациирегистраSS,затирающаяпредыдущеесодержимое,на котороеуказываетрегистрEIP.Благодарямаскированиюпрерыва- ний,—«проскакивающая»следующуюкоманду,которая,всвоюоче- редь,можетзатиратьпредыдущую.Какследствие—всеотладчики, заисключениемSyser’а,отобразятлишьчастькоманд,аостальные командыбудутзатертыпрежде,чемотладчикполучитуправление. ОдинизпримеровреализациитрюкаприведенвпрограммеTF0x3 crackme.c,которуюипредлагаютебевзломать(благоисходные текстыснабженыподробнымикомментариями,такчтозадачабудет позубамдаженовичкам).

SS, EAX выполняется точно также, как и MOV SS,AX, но имеет другой опкод. Необходимо это учитывать при составлении списка команд, на которые мы брякаемся. z

xàêåð 04 /112/ 08

шкалой. Когда бегунок дойдет до конца, поиск завершится. Жмем «Ок».

4.Скорее всего, будет выдано много чисел. Нужно определить, какое из них соответствует деньгам в нашей игре (остальные, конечно, следует убрать). Как это сделать? Изменяем значение в игре. Например, покупаем что-нибудь. Теперь у нас осталось $1000. Давим на баттон «Отсеять», указываем новое значение — 1000 и нажимаем «Oк».

5.Таким образом, тебе следует продолжать отсеивание чисел до тех пор, пока не обнаружишь значение, соответствующее деньгам в игре.

Затем необходимо переместить найденное число из левой таблички в правую, при помощи кнопки «Добавить».

6.В правой таблице ты можешь делать с числами все, что захочется: изменять, удалять, копировать, заморозить значения (не дать игре изменять параметры). Для изменения значения — двойной щелчок мыши на числе. Для заморозки — щелчок мыши в первом столбце соответствующего значения. Также есть возможность сохранить заполненную таблицу, дабы не проводить поиск каждый раз заново.

Тулза распространяется в двух версиях — бес-

платной ArtMoney SE и платной ArtMoney Pro.

Чтобы ты лучше представлял себе нововведения в утиле версии SE, приведу краткий их перечень: 1.ОтнынеможнооткрытьпроцессвArtMoney,

используятулзуSpywareProcessDetectorверсии

2.01иливыше.Спомощьюэтойпрогитысможешь редактироватьлюбойскрытыйпроцессвсистеме, атакжепроцессы,ккоторымподефолтудоступ получитьневозможно.СофтинаSpywareProcess Detectorпоказываетсписокзапущенныхпроцессоввсистемеиобнаруживаетлюбыескрытые процессы,такие,кактрои/вириипрочеезверье. 2.Добавлена поддержка эмуляторов DosBox

и NTVirtual DOS Machine для операционной системы DOS.

3.Исправлены многие ошибки, например, при работе в Windows Server 2003.

Несмотря на определенные сложности в использовании, утила отлично справляется с возложенными обязанностями. Поэтому, если любишь схитрить — ArtMoney придется по душе :).

Программа:TopServer

ОС:Windows2000/XP/2003

Автор:АртемМуругов

рить — продукт качественный, удобный и вполне функциональный. Тем не менее, хочу представить твоему вниманию «TopServer» — связку Apache + PHP + MySQL + PERL + SQLite + FTP в одном пакете. Перед установкой TopServer необходимо убедиться в отсутствии установленных компонентов утилы, а также, если есть, удалить более раннюю версию софтины. После завершения инсталляции на выбранном тобой вирутальном носителе будут располагаться ссылки на следующие каталоги (сами каталоги физически находятся в указанной тобой дире):

1.docs: содержит лицензии на компо-

ненты TopServer

2.email: данная директория содержит файлы электронных писем, сформированных функцией mail() языка PHP и переданных через заглушку Sendmail.

Вданном каталоге лежат электронные письма, отправленные из пхп-скриптов функцией mail()

3.home: основная дира серверных объектов (доков *.html, *.ssi, скриптов

*.php, *.pl, *.cgi, etc). Серверные объекты располагаются в трех основных каталогах

4.usr: основной каталог серверных компонентов, там же лежат /bin, /lib

и /local

5.tmp: дира временных файлов

Основные конфиги компонентов, входящих в TopServer, располагаются здесь:

a. файл конфигурации Apache (httpd. conf): /usr/local/Apache/conf/ httpd.conf;

б. файл конфигурации PHP (php.ini): /usr/local/Apache/bin/php.ini;

в. файл конфигурации MySQL (my.ini): /usr/local/mysql5/my.ini;

Вобщем,достойныйаналогденверууженапод- ходе,нуачтоюзатьивкакихцелях—решатьтебе!

Программа:PasswordsPro ОС:2000/XP/2003

автор:InsidePro

•Атака по маске.

•Простая атака по словарям.

•Комбинированная атака по словарям.

•Гибридная атака по словарям.

•Атака по предварительно рассчитанным Rainbow-таблицам.

•Восстановление паролей длиной до 127 символов.

•Восстановление паролей к неполным хэшам всех видов.

•Редактирование хэшей пользователей.

•Поиск нужной информации в списке пользователей с хэшами.

•Быстрое добавление хэша через диалоговое окно.

•Быстрое добавление хэшей из буфера обмена.

•Быстрая проверка текущего пароля на всех пользователях из списка.

•Использование таблиц замены символов в гибридной атаке по словарям.

•Неограниченное количество словарей, используемых в атаках по словарям.

•Неограниченное количество таблиц, используемых в атаке по Rainbow-таб- лицам.

•Неограниченное количество загружаемых пользователей с хэшами (в лицензионной версии).

Ко всему прочему, прога имеет несколько дополнительных инструментов:

1.Генератор хэшей — предназначен для генерации хэшей всех типов, которые загружены в программу.

2.Генератор паролей — предназначен для генерации случайных паролей с заданными параметрами.

3.Генератор словарей — предназначен для генерации словарей, содержащих пароли из заданного диапазона, а также выполняет другие функции по работе со словарями — сортировку, слияние словарей в один файл и др.

4.Конвертер текста — позволяет конвертировать текст из Base64 формата в обычный текст и наоборот.

5.Восстановление текста под звездочками — предназначено для восстановления текста под звездочками.

6.Информация о системе — показывает различную системную информацию.

Официальный сайт проекта TopServer собственной персоной

Тебе, наверняка, известен такой распространенный продукт, как Denwer. Ведь частенько приходится анализировать движки на наличие уязвимостей на локальной машине. Что и гово-

Брут хэшей

Еще одна тулза, которая не нуждается в подробном представлении — PasswordsPro. Говорить, что утила предназначена для брута хэшей, полагаю, не надо. Тулза обладает следующими возможностями:

•Предварительная атака.

•Атака полным перебором (включая

Добавь к этому гуишный интерфейс и вполне приемлемую скорость — вот тебе и инструмент для повседневной работы :). Сам частенько использую софтинку для брута MD5 и SHA-1 хэшей. Причем, в 90% случаев результат положителен.

Кроме того, в новой версии исправлен ряд багов, поэтому юзать рекомендуется именно ее. Кстати, если ты хочешь увеличить свой шанс на успех при бруте — советую не стесняться и использовать ломаные забугорные дедики.z

Johnny Insider

/ magazine@real.xakep.ru /