Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #94, ОКТЯБРЬ 2006 г.

Чемоданчик хакера

Крис Касперски, ака мыщъх

Хакер, номер #094, стр. 094-036-1

Какие программы и когда нужно использовать

Чем вообще ломают программы? Правильно, головой и руками, а только потом специальными инструментами. Но первичны все-таки вспомогательные приложения, поскольку именно они формируют сознание, позволяя начинающему сделать свои первые шаги в дремучем лесу машинных кодов. Вот только этих приложений сейчас настолько много, что новичок, попавший на хакерский сайт, начинает теряться: что надо качать, а что не надо. Ничего, мы это исправим.

Отладчики

И начнем, как вводится, с отладчика. Лучший отладчик всех времен и народов — это, конечно же, soft-ice, на котором выросло не одно поколение хакеров. Это интерактивная программа с развитым командным интерфейсом, представляющим собой компромисс между легкостью освоения и удобством использования. Другими словами, руководство читать обязательно. Никаких интуитивно-понятных менюшек в стиле Turbo-Debugger здесь не будет.

Изначально созданный фирмой Nu-Mega, soft-ice был продан компании Compuware, долгое время распространяющей его в составе уродливого framework'a DriverStudio. 3 апреля 2006 по малопонятным причинам компания объявила о прекращении работы над продуктом, похоронив тем самым уникальнейший проект. Последняя версия DriverStudio 3.2 поддерживает всю линейку Windows, вплоть до Server 2003, а также архитектуру AMD x86-64. То есть лет на пять запаса прочности у soft-ice еще должно хватить, а там… мы что-нибудь придумаем.

Найти soft-ice можно на любом хакерском сайте или в Осле. Чтобы не качать всю судию целиком (это же без малого 200 метров), можно воспользоваться пакетом DeMoNiX'a (reversing.kulichki.net), содержащим в себе один лишь soft-ice, выдернутый из Driver Studio v2.7 build 562 и занимающий всего 2,27 Мб. Однако инсталлятор содержит ошибки, а старая версия не поддерживает новых веяний Microsoft (хотя замечательно идет под W2K, я вообще работаю с build'ом 334 и вполне им доволен).

Вместе с soft-ice желательно сразу же установить IceExt (sourceforge.net/projects/iceext) — неофициальное расширение, позволяющее скрывать отладчик от взора большинства защит, дампить память, задействовать кириллические кодировки 866/1251, приостанавливать потоки и делать множество других вещей (например, играть в тетрис). Удачно дополняет IceExt другое неофициальное расширения для soft-ice — IceDump (programmerstools.org/system/files?file=icedump6.026.zip).

Кстати, сам soft-ice замечательно работает под виртуальной машиной VM Ware, для этого достаточно добавить в vmx-файл пару строк: paevm = TRUE и processor1.use = FALSE. Отмечены проблемы с многоядерными и HT-процессами (хотя и не у всех). Лечится путем отрубания всего этого хозяйства через добавление ключа /ONECPU в файл boot.ini.

Кроме soft-ice, существуют и другие отладчики, из которых хотелось бы отметить бесплатный Olly-Debugger (www.ollydbg.de). Это удобный инструмент прикладного уровня, ориентированный на хакерские нужды, поддерживающий механизм плагинов и собравший вокруг себя целое сообщество, написавшее множество замечательных расширений и дополнений, прячущих OllyDbg от глаз защит, автоматически определяющих оригинальную точку входа в упакованной программе, облегчающих снятие протекторов и т. д. и т. п.

Содержание  Вперед на стр. 094-036-2
ttfb: 3.3659934997559 ms