Капитуляция защитных механизмов

Крис Касперски ака мыщъх

Хакер, номер #085, стр. 085-110-1

Особенности национального дизассемблирования под Linux

Дизассемблирование под Linux имеет свою специфику и свои тонкости, не освященные в доступной литературе и остающиеся под властью тьмы. Между тем, защитные механизмы не спят, становясь все сильнее и сильнее. Чтобы выиграть в этой битве, необходимо не только крепко держать дизассемблер в руках, но и уметь с ним обращаться.

[введение]

Главной особенностью дизассемблирования под Linux является полное отсутствие достойных дизассемблеров (кроме IDA PRO, конечно) и другого инструментария. Поэтому даже простая защита может поставить хакеров в тупик. Сегодня мы продемонстрируем технику дизассемблирования под Linux на примере yanisto's tiny crackme, который можно скачать с хорошего немецкого сайта www.crackmes.de/users/yanisto/tiny_crackme/. Здесь собрана целая коллекция crackme разных уровней сложности, и постоянно появляются новые с краткой информацией о них. В частности, описание нашего выглядит так:

Имеет небольшой размер (<400 байт байт-кода), но все-таки реализует некоторые трики:

- Elf headers corrupted - разрушенный ELF-заголовок;

- "Ciphered" binary - криптованный бинарник

- CRC checking - подсчет CRC

- Anti ptrace - анти ptrace

- Anti gdb - анти gdb

Difficulty: 3 - Getting harder сложность: 3 - («становись сильнее»)

Platform: Unix/linux etc. платформа: UNIX/Linux

Language: Assembler язык ассемблер

Вот его-то мы и будем пытать! В принципе, можно не мучиться, а заглянуть в одно из готовых решений (солюшенов), представленных на сайте, но это не честно, да и неинтересно. Крэкмисов под Linux совсем немного, хороших крэкмисов - еще меньше, и каждый смакуется как вобла с пивом до последнего ребрышка!

Нашим основным инструментом будет IDA PRO, однако мы еще покажем, как взломать программу с помощью обычного hex-редактора типа HIEW'а, но это будет потом, а пока набираем в командной строке:

$ ./tiny-crackme

[исследование tiny-crackme извне и изнутри]

Сразу же после запуска крэкмиса на экране появляется короткая заставка и строка «enter password», ожидающая пароля. Вводим что-нибудь наугад и, естественно, получаем «Wrong password, sorry».

Дальше гадать бессмысленно: надо ломать. Загружаем файл в свой любимый gdb, но не тут-то было! Отладчик грязно ругается, отказываясь признавать tiny-crackme исполняемым файлом. Что это еще такое?! Ведь мы же его только что запускали, и он вполне нормально исполнялся. Ладно, берем objdump и расчехляем дизассемблер, но... он тоже не может распознать формат файла и с позором убегает.

# gdb tiny-crackme

This GDB was configured as "i386-linux"..."/home/kpnc/hack/tiny-crackme": not in executable format: File format not recognized

# objdump -D tiny-crackme

objdump: tiny-crackme: File format not recognized

Почему так происходит? Да потому, что ELF-заголовок искажен, а штатные средства Linux'а таких шуток не понимают, вот и отказываются работать с ним. Пусть после этого кто-нибудь скажет, что линух - это хакерская ось! Ранние версии IDA вели себя точно так же, но в последнее время ELF-загрузчик был доработан, и теперь мы можем дизассемблировать даже извращенные файлы. IDA жутко ругается: the ELF header entry size is invalid (поле размера ELF-заголовка неверно), the SHT entry size is invalid (поле размера заголовка таблицы секций неверно); SHT table size or offset is invalid (размер заголовка таблицы секций или ее смещение неверно), file contains meaningless/illegal section declarations, using program sections (файл содержит бессмысленные/неверные объявления секций, поэтому будут использоваться программные секции, они же сегменты), но все-таки открывает его и даже начинает дизассемблировать, что очень хорошо!

Содержание  Вперед на стр. 085-110-2
ttfb: 4.1260719299316 ms