Убираем баннеры в “Штирлице” или баг в защите

Автор: Broken Sword <brokensword@mail.ru>

Наверное, нет такого человека, который никогда бы ничего не слышал о Штирлице. И речь в данной статье пойдет не о В. Тихонове, и не об анекдотах, а о лучшем в своем роде расшифровщике-трансляторе, вернее, доведении оного до совершенства :).

Любому из нас приходилось получать загадочные письма из сети, содержащие в себе прелюбопытные наборы значков и черточек. Разнообразие стандартов и кодировок породило на свет огромное количество перекодировщиков. Во всем этом безобразном разнообразии отчетливо обозначились несколько особо продвинутых программулин. Мне почему то особенно запомнились только две – Bred и Штирлиц. И если первая ничем не достает и не просит на “покушать”, то вторая изрядно выводит из себя своим “рекламным окошком”, которое по заявлению самого автора “не мешает работать программе” (Лукьянин вообще парень с юмором). Но, ближе к делу…

Родина, безусловно, начинается с отладчика, и не с простого, а с большой буквы. Как вы уже догадались – это SoftIce, Многие из вас уже испугались и начали выводить кресты, однако я просто советую вам поставить на свою машину именно этот отладчик и пользуясь данным руководством в конце пути вы просто пожмете ему руку и… больше никуда не отпустите. Еще ОЧЕНЬ пригодится дизаcмер (я рекомендую ТОЛЬКО WDASM) и HIEW (который, как окажется в последствии, совершенно не понадобится, но в педагогических целях его неплохо бы заиметь).

Больше нам реально ничего не понадобится… Ах да, разве что еще ваш любимый выходной набор “мозги + прямые руки”. И конечно, листик с ручкой (запомните, ни один серьезный взлом не обходится без листика с ручкой, а еще лучше завести для этого дела специальную тетрадь, но это уже для извращенцев).

Итак, поехали! Запускаем Shtirlitz.exe для того чтобы окончательно понять, чего же мы все таки хотим. А хотим мы убрать этот чертов баннер, ато он $%@##$ уже достал внатуре !!!

SoftIce у нас уже конечно же запущен…

Сразу же жмем ctrl-D, осмотримся, чего же у нас творится в данный момент… Оказавшись в любимом окне набиваем:

В ответ получим загадочную последовательность запущенных на данный момент процессов. Где-то в самом конце списка (на всякий случай, перемещение по списку – клавиши [вверх] и [вниз]) мы просто обязаны увидеть строку такого содержания:

Addr PID NAME

где вместо “х”-ов будут hex-цифры.

addr xxxx, где вместо иксов подставляем соотв. значение из колонки PID.

Теперь, повторно набрав в строке addr убеждаемся, что Штирлиц стал текущим процессом (т.е. голубым :).

Далее. Добившись того, чтобы Shtirlitz стал текущим процессом, можно смело узнать про него много всего полезного. Набиваем:

(Shtirlitz, кстати, в данном случае берется из колонки NAME)

И что мы видим ? А видим мы длинный список инфы про нашего пациента. Чего мы вообще хотим ? Убрать баннеры… Смотрим, чего тут можно нарыть по нашей проблеме… Ага!!! Вот оно!!! Первой же строкой!!! И не стыдно…?

Shtirlitz.banner … запомним.

Теперь запускаем WDASM. Грузим Shtirlitz.exe. Пошарим по файлу (теперь мы знаем чего искать). В строке поиска пишем banner. Ждем… Вуаля!

Всеволод Лукьянин не только с юмором, а еще и очень хитер! Видите, как ловко он вплел показ баннеров в код?! После непродолжительного разглядывания данного куска становиться очевидно :), что от результата, возвращаемого процедурой в строке

мы перепрыгиваем “через овечку” прямо в конец куска (перелетаем полностью через весь показ баннеров). Сам переход происходит в строке

Записывай пока на бумажку адрес 00401B39.

Теперь напряжемся и вместе подумаем: как же сделать так, чтобы “перелет через показ баннера” происходил в любом случае ? Выхода здесь два: либо загружать al перед je нулем посредством xor-а (mov не меняет флаги), либо просто изменить “74 на EB” (74 – код команды je, EB – код команды jmp; эти коды, наряду с CD (int) и др. кодами ты должен знать как “отче наш”)

Где наш HIEW ? Вот и он. Запускаем. Ищем и меняем байт по адресу 00401B39h. Кстати, небольшое лирическое отступление.

И до чего же мы докатились ? Запускаем Shtirlitz, смотрим…

Такой подлости мы явно не ожидали… “Файл поврежден, переустановите программу с дистрибутива”. Что же произошло? А произошло то, что shtirlitz при загрузке проверяет сам себя на вшивость (или “на измену”). Как он это делает ? А очень просто! Считывает сам себя в память (ф-ция ReadFile), затем с первого байта начинает сканировать сам себя, попутно манипулируя своим “телом” через регистры. Короче говоря, вычисляет контрольную сумму всех своих байт. (Контрольная сумма на деле оказывается не простой суммой, а результатом махинаций с регистрами, XOR-ами и MOV-ами). Вникать в алгоритм нет никакого желания да и не нужно нам это пока… Но запомните: взломать прогу “красиво” можно только полностью проникнувшись подобными алгоритмами.

Итак, восстанавливаем из сохраненной копии Shtirlitz.exe и опять в SoftIce. Просто взять и установить бряк на ReadFile будет глупо, т.к. данная API-шка после запуска shtirlitz.exe вызывается тучу раз, и какой именно нужен нам – непонятно. Будем действовать старым дедовским методом. Лезем в WDASM. Смотрим, есть ли чего нить, что отвечает за загрузку файла. В строке поиска поочередно перебираем возможные варианты: сначала openfile. Найдено GetOpenFileName. Не то. CreateFile. О! То что нада! CreateFileA!

Несколько слов по поводу данной апишки… Все что нам нужно знать про нее – это то, что перед ее вызовом последним в стек ляжет адрес на имя загружаемого файла. Вот его то нам и нужно отлавливать и контролировать, во избежание вызова “лже-CreateFile”.

Back to the SoftIce… Набиваем:

Запускаем Штирлица и ждем срабатывания бряка… Есть! Смотрим, чего у нас лежит в стеке:

Чего же это там у нас в окне данных… Ну первое число – понятно, откуда произошел вызов, оно нам не нада, а вот второе – это и есть указатель на имя открываемого файла (у вас это может быть другое число). Лезем по нему:

Облом… Shtirlitz.loc какой то… А нам нужен Shtirlitz.exe. Но ничего! Ждем следующего вызова CreateFile… Жмем F5. И вот буквально тут же! Повторяем уже знакомые операции (dd esp), вот оно второе число: 00910910. Заглянем и туда (d 910910) – yes! Вот он, родимый! Shtirlitz.exe!!! Ну все!!! ВОТ ТЕПЕРЬ можно ставить бряк на ReadFile! НЕ ВЫХОДЯ ИЗ SI пишем:

Теперь жмем F5, ждем… Вот он долгожданный бряк по ReadFile! Смотрим стек (dd esp). Видим:

нас интересуют первые четыре числа. Первое число – адрес возврата (не нада), второе число – хэндл файла (не нужен), третье число – уже интереснее (адрес, куда надо считывать файл), четвертое – сколько байт нада считывать.

Четвертое число вообще очень интересное… Кстати, ebx тоже равен этому же числу… Запомним это. Смотрим на калькуляторе: A9400h=693246d. А теперь угадай с трех раз, сколько весит файл Shtirlitz.exe ? Теперь можно точно сказать, что происходит подсчет контрольной суммы ВСЕГО файла целиком… Но ты не сиди – записывай все числа на бумажку. С комментариями, ато потом заблудишься.

Все. Пришло время заняться делом. Как только мы оказались в начале апишки ReadFile и посмотрели стек – жмем F12 (сам увидишь как это связано с первым числом). Теперь поехали трейсить! Запомни: видишь call – жми F10, чтобы не влезать в него. В других случаях – жмешь F8. Теперь главное вовремя остановиться… :). По ходу пьесы тебе часто придется вываливаться из SI, хотя бы даже для заглядывания в данную статью, поэтому перед выходом тебе ПРИДЕТСЯ набивать bc* (убрать все бряки). Так вот, для возврата тебе придется опять два раза отлавливать CreateFile, потом ReadFile… запаришься! Поэтому вспомни, что ebx был равен четвертому числу – а это ключ!!! Зная это, просто пишешь:

Итак, трейсим… через несколько F8 и парочки F10 мы попадаем в загадочную область:

Это какой то заговор… Обрати внимание на тот факт, что esi в начале цикла равен нулю, а ebx – A9400 (или размеру файла Штирлиц.exe); я нарочно выделил inc esi и последующее сравнение с ebx – тут даже койоту ясно, что идет подсчет контрольной суммы всего файла. Ну что ж, любители острых ощущений могут просидеть так пару дней, давя F8, я предпочитаю (и вам советую) сделать так:

Это есть бряк на следующую после jb команду, а сюда управление вернется только после того, как выполнится A9400 итераций. (вообще желательно выписать на бумажку значения ВСЕХ регистров и ячейки ebp-08 в этом месте, т.к. и ежу понятно – это единственные правильные значения, которые могут иметь место (ведь если бы мы “исправили” файл в HIEW, то значения регистров на выходе оказались бы совершенно иными). Вот значения регистров для “девственного” shtirlitz.exe

Кстати, как многие уже догадались 48D2 – это и есть контрольная сумма, запомним это число.

Что теперь? Пока ничего, трейсим дальше… :) Здесь нам встретятся два call-а, перелетаем их. Ждем ret-а… И вот мы вернулись непонятно куда – на

Любознательные могут сами залезть в те два call-а, я же просто скажу: после того, как мы оказались на 00423744 в esi всегда будет лежать 48D2h (помните его?), а вот в ax – то, что получилось из нашего shtirlitz.exe, и если он только не равен 48D2… то… сами понимаете.

Ну что, опять в 00423747 замена jz на jmp ? И сколько это будет продолжаться ? Пробуем… (00423747=22B47 in file)

Запускаем… Ну вот!!! Теперь еще круче!!! Вообще ничего!!! Мда…

Пришло время пораскинуть мозгами. Очевидно, что единственное, что поменялось в самом процессе работы программы – значение регистров после вычисления контрольной суммы. С одной стороны, весь цикл (00423B1E-00423B5E) можно заменить на код типа такого:

т.е. галимо подогнать значения всех регистров, зная какими они выглядят в “девственном” Штирлице.exe. Но, во-первых, это уродливо, а во вторых - это нас не спасет… (можете попробовать). Стоит только отметить, что обращение к области памяти с E90020h (там, где лежит копия файла shtirlitz.exe) происходит еще минимум 4 раза !!! Разбираться и отлавливать их все нет никакого желания, Всеволод очень неплохо постарался…

je на jmp ? Так вот, что если править код не в самом файле, а непосредственно в памяти ??? Тогда никакой возни с контрольной суммой не возникнет !!! Отлично ! Заодно можно проверить, по тому ли пути мы вообще идем… Итак, берем “девственный” shtirlitz.exe, ставим в SI бряк на readfile при ebx==A9400, запускаем shtirlitz.exe… Теперь, правим байт:

Жмем F5… Yes! Никаких баннеров !!! Мы победили… Но… Не будем же мы в самом деле каждый раз при запуске Штирлица править байт в памяти !!!

Но это уже и не нужно !!! Запустите shtirlitz.exe и убедитесь в этом сами !!! Вот он пресловутый “баг в защите” !!!

Существует еще как минимум два способа взлома данной программы. Сам автор на своем сайте в форуме признался, что если запустить Штирлица более 200 раз или с параметром –banoff в командной строке, то баннеры исчезнут… Но эти ли способы достойны настоящих хакеров?

(народная мудрость)

Broken Sword <brokensword@mail.ru>

Материалы находятся на сайте http://cracklab.narod.ru/doc/