完全に私を破る（ZeroNights 2013）

ハブロフスク市民の皆さん、こんにちは！ 私の名前はダーウィンです。今日、r0 Crewフォーラムとその準プライベートなキエフ会議のためにZeroNights 2013とKaspersky Labでどのようにクラックを解決したかをお話しします。



クラックに関するいくつかの情報：

• ファイル： ZeroNightsCrackME.exe
• プラットフォーム： Windows 7（64ビット）
• パッカー：なし
• アンチデバッグ：つまずきませんでした
• 解決策：メール/シリアル有効ペア

ツール：

• OllyDbg SnD 2.2
• IDA Pro 6.1
• いくつかの灰白質

ソリューションに取り掛かりましょう...

分析

アプリケーションのハッキングは、常にその動作の起動と表面的な調査から始まります。 クラックを実行して、データ入力に対する応答を確認しましょう。





図 1



ご想像のとおり、誤って入力されたシリアルコードについて通知されます。



それでは、IDA Proで開いて、行を検索し、このプレートが表示されている場所を見つけてみましょう。



「文字列ウィンドウ」タブに移動し（もしなければ）、「Fail、Serial is invalid !!!」という行を探します：





図 2



私たちの興味のある線の下で、私たちは他にも劣らず面白いものを見ます。 いずれかの行をクリックして、リンクコードに移動します。 その結果、次のようになります。





図 3



明らかになったところから-関数sub_4012D0でチェックが行われます。 少し上にスクロールすると（文字通り画面の半分）、別の興味深いポイントが表示されます。





図 4



ここでは、 GetWindowTextA関数への2つの呼び出しを確認します。 前の図を考慮すると、両方の機能が電子メール/シリアルフォームのフィールドからデータを受信するために使用されることが明らかになります。



取得したデータに基づいて、さらに開発するための2つのシナリオがあります。

1. 最初から始めます。 GetWindowTextA関数にブレークを設定し、データの変更を監視します。 メソッドは長く、迷子になる可能性があります。
2. 最後から始めます。 結果に影響を与えるコード（この場合は成功/失敗ウィンドウの出力）を見つけ、反対方向にねじりを解きます。 この方法は、高速で筋金入りで興味深いものです。

クラックで決定したとき、2番目のパスを選択しました。それは、高速（IMHO）であっただけでなく、有効なペアをチートしてスパイしたかったからです。 いくつかのうなり声で、これは動作しますが、動作する場合、彼らは通常、1つの有効なペアを提供するだけでなく、アルゴリズム自体を復元するように求めます。 有効なペアの監督の下で（かなり期待されている）私が=）を破ったと言うことを先に見て



しかし、順番に取りましょう...

重要な詳細を探す

最後から行くことにしたので、最初にすべきことは、導入されたシリアルの成功または失敗の結果に影響を与えるものを判断することですか？

検証表

この質問に答えるために、sub_4012D0の呼び出しの直後のコード行を最初に見てみましょう。 図に基づく 図3は、EAXレジスタがチェックされていることを示しています。 ゼロの場合は「失敗」に進み、そうでない場合は「良好」に進みます。



さて、肯定的な結果を呼び出すには、EAXレジスタのsub_4012D0関数がゼロ以外の結果を返す必要があります。



これを知って、sub_4012D0関数自体に進み、その終わりを見つけて、ゼロ以外の値のEAXの設定に影響を与えるものを判断してみましょう。 言った：





図 5



Idaは、関数に少なくとも2つの出力 （青で強調表示）があることを明確にしません。 さらに、緑のフレームの出力は EAXレジスタをリセットし、逆に赤のフレームの出力は1に設定されます。



これを決めて、今度は赤枠内のブロックの前にあるコードを見つけましょう。 これを行うには、Olka（OllyDbg）を使用します。 なぜOlyaなのか、第一に：彼女はIda（さまざまなブレークや相互参照が彼女の注意をそらす）よりも明確なアイデアを（具体的には私たちのタスクで）与えているからです。





図 6



注： OllyDbgを開く前に、アドレス空間のランダム化を担当するセキュリティメカニズムであるASLRを無効にすることをお勧めします。 これは、レジストリのブランチ「HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Memory Management」で行われ、値「0」でキー「MoveImages」（DWORD）を作成し、OSを再起動します。 これを行わないと、アプリケーションを再起動するたびにアドレスが変更されます...



図 図6は、レジスタEAX = 1の設定の前に特定の二重サイクル（アドレス0x401440-0x401464）が続くことを示しています。 これが最初の重要な要素であり、亀裂を解決するための出発点です。



アドレス0x401440に亀裂を入れて、最初のチェックを行う場合：



注：入力フィールドで「111122223333444455」以外の行を使用すると、さらに2つの問題に直面することになります。 最初はlengthで、2番目はシリアルコードで使用できる有効な文字です。 これらの制限の原因となるコードの定義はあなたにお任せします。





図 7



行0x401449で、アドレス（私の場合）0x18FB28にある値でユニットがチェックされていることがわかります。 さらに、サイクル全体を正常に完了した場合（必要なアドレスでブランチまたは値を操作することにより、そうでない場合は、フリップしていることを理解します）、合計9個の要素があることがわかります（サイズは4バイトです）。





図 8



これらの9つの要素に「検証テーブル」という名前を付けました。 私のように、要素の値をカスタマイズした場合（ループでの検証中）、あなたと私はこの結果を得たはずです。





図 9



つまり、最終的に（略称）、100010001のようになります。



重要な要素の定義を継続し、以下を決定しようとします。



誰がアドレス0x18FB28-0x18FB48に書き込みますか？

「検証テーブル」に記入するコード

このコードを検出するには、次を実行します。

• クラックを続行します（OlkaでF9を押します）。
• 呼び出しsub_4012D0にブレークポイントを配置します（または既に存在しているはずです）。
• クラックに切り替え、ポップアップウィンドウ（成功または失敗の話）で[OK]をクリックします（これにより、クラックの処理を続行します）。
• 次に、[確認]ボタンをクリックしてシリアルの再計算を開始します。その後、sub_4012D0の呼び出しで停止する必要があります。
• 呼び出しsub_4012D0の上に立って、アドレス0x18FB28のレコードにブレークポイントを置きます。
• そして、もう一度F9を押します。

すべてが正しく行われている場合は、ここに表示されます。





図 10



ここで、赤い枠は「検証テーブル」の最初の要素の計算と保存を示し、青い枠は残りの8つの要素の計算の継続を示します。



コード自体は、アドレス領域0x4011D4-0x4012BBを占有し、3回の反復を伴うループです。 各反復で、テーブルの3つの要素の値が計算されて保存されます。 このコードのPythonでの表現は次のとおりです。

for out_index in range(3): for inner_index in range(3): quotient, remainder = 0, 0 for index in range(3): x, y = index + (out_index*3), index + (inner_index*3) byte = first_serial[x] * second_serial[y] quotient = int(byte / 7) remainder += byte % 7 remainder = remainder % 7 result_table.append(remainder)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

first_serialとsecond_serialの意味は、後ほど明らかになります。 ここで、図の分析を続けます。 10。



私たちは何を持っています：

• アドレス0x657020（不明瞭なデータあり）;
• アドレス0x18fadc（あいまいなデータを含む）;
• アドレス0x18faec（値0x7）;
• アドレス0x18fae8（値0x18fb30）。

図 11





図 12



コードを慎重に検討した結果、次のことがわかりました。

• vadidationテーブルの計算では、アドレス0x18fae8は何の関係もありません。
• アドレス0x657020および0x18fadcには、9つの要素を持つ配列があります。 0x657020配列の場合、各要素は1バイトであり、0x18fadc配列の場合、4バイトです。
• 検証テーブルの各要素を計算するとき、アドレス0x18faecからの値0x7は非常に積極的に使用されます。

このデータを取得したら、アドレス0x657020および0x18fadcにあるアレイを判別してみましょう。 おそらく最も注意深い人は、9 + 9 = 18を追加すると既に気づいているでしょう。シリアルのサイズも18に等しいため、これがそれであると想定できます。 ただし、最初に紹介したものと明らかに一致しません。 最も注意深いものは、0x657020配列の要素があいまいではあるが、導入したシリアル番号（111122223）の要素のシーケンスの前半に何らかの形で似ていることにさらに気付くことができます。



今後は、入力されたシリアルコードが内部表現に変換されるため、視覚やダンプの検索で判断するのが少し難しくなります。

アドレス0x657020の背後に隠されているものは何ですか？

分析を続け、0x657020アレイにまだ何が含まれているのかを判断しますか？



これを行うには：

• メモリにインストールされたすべてのブレークを削除します。
• クラックを続行します（OlkaでF9を押します）。
• 呼び出しsub_4012D0にはブレークが必要です。
• クラックに切り替え、ポップアップウィンドウ（成功または失敗の話）で[OK]をクリックします（これにより、クラックの処理を続行します）。
• 次に、[確認]ボタンをクリックしてシリアルの再計算を開始します。その後、sub_4012D0の呼び出しで停止する必要があります。
• 呼び出しsub_4012D0の上に立って、レコードのアドレス0x657020にブレークを置きます。
• 次にF9を2回押します（最初はライブラリコードのどこかに、2番目は適切な場所にあります）。

すべてが正しく行われた場合、次のようになります。





図 13



赤で強調表示されたコードをトレースすると、次のことがわかります。

• シリアルコードの最初の9バイト（111122223）は0x657020に記録されます。
• シリアルコードは、アドレス0x18FBC4から取得されます（私の場合）。

0x657020アレイに関する私たちの疑いはゆっくりと確認され始めています。 アドレス0x18FBC4（入力したシリアル番号全体が格納されています）については、最初にここで確認する必要があります。





図 14



ここで、赤いフレームはシリアルに関する情報、青は電子メールが保存されている場所を強調しています。



ただし、シリアルに戻りましょう。さもないと、気が散ってしまいました。 図からの指示をたどった後 13、0x657020では、シリアルの半分が保存されています。





図 15



しかし、私たちが知っているように、わずかに異なるバイトをここに保存する必要があります。 したがって、ほとんどの場合、この半分のシリアルに対していくつかの操作が実行されます。 どれを見つけるには、もう一度F9を押します。 それからここにいます：





図 16



ここで、赤枠は0x657020配列の最初の要素の計算と新しい値の保存を示し、青枠は残りの8つの要素の計算の継続を示します。



コード自体は、アドレス領域0x401070-0x401165を占有します。 同じ計算が各要素に対して実行されます。 Pythonでのこれらの計算の同等のコードを以下に示します。

 def find_index(byte): byte_1 = byte >> 4 byte_2 = byte_1 << 3 res = (byte - byte_2) res = res & 0x0f return res #       0x657020 # byte = 0x657020[0] = 0x31 # index = find_index(byte) # 0x657020[0] = 0x40CB28[index]
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

図をよく見ると 16、いくつかのアドレス0x40CB28に注意してください。 少し後で内容に戻ります。



すべての変換を実行した後、図に示した結果と非常によく似た結果が得られます。 11。





図 17



図を比較すると 11秒図 17、その後、バイトが少し混ざっていることに注意してください...明確にするために、下の11番目の図を複製します。





図 18



バイトミキシングを処理するコードを検出するには、もう一度F9を押します。

その後、私たちはすでにおなじみの図を図から取得します。 13位：





図 19



コードを分析した後、アドレス0x656EC8から新しい値が取得されることが明らかになります。





図 20



0x656EC8アレイにデータを取り込むコードを以下に示します。 どうやって彼を見つけたのか、自分で理解できると思います。 記事はまだゴムではありません...





図 21



ここで何が起こっていますか？



EBXレジスタには、要素が0x656EC8アレイに直接コピーされるアドレス0x657020が含まれています。 コピーを見ると、いくつかの要素が混在していることがわかります。



0x657020： 0、1、2、3、4、5、6、7、8

0x656EC8：0、1、2、4、5、3、8、6、7



「アドレス0x657020の背後に隠されているものは何ですか？」という質問に答えたので、調査を続け、他の質問に答えることができます。

• アドレス0x40CB28の背後に隠されているもの（0x657020アレイの分析中に発見されたばかり）。
• アドレス0x18FADC（サイズがそれぞれ4バイトの9つの要素を格納する配列）の後ろに隠されているもの。

ASCII派生テーブル

0x18FADCアレイの背後に隠れているデータの分析は、独立した開発のために残されています。 0x657020アレイと同様に行動する必要があります。 0x18FADC配列にはシリアルコードの後半が格納されているとしか言えません。



ここでは、アドレス0x40B28が何であるかを分析します。 これを行うには、次の操作を実行します。

• すべてのメモリロックをオフにします。
• クラックを続行します（OlkaでF9を押します）。
• 呼び出しsub_4012D0にはブレークが必要です。
• クラックに切り替え、ポップアップウィンドウ（成功または失敗の話）で[OK]をクリックします（これにより、クラックの処理を続行します）。
• 次に、[確認]ボタンをクリックしてシリアルの再計算を開始します。その後、sub_4012D0の呼び出しで停止する必要があります。
• 呼び出しsub_4012D0に立って、レコードのアドレス0x40B28にブレークを置きます。
• 次に、F9をクリックします。

すべてが正しく行われた場合、次のようになります。





図 22



赤枠内のコードはASCIIテーブルを作成し、0x40B28に保存されます。 メールに基づいた青いフレームで、作成されたテーブルが変換されます。 この変換の最終結果は、「置換表」と呼ばれます。



Pythonでのこのコードの表現は次のとおりです。

 mail = "support@reverse4you.org" def get_table(mail): ascii_table = [] for index in range(256): ascii_table.append(index) mail = list(mail) len_mail = len(mail) index = 0 accumulate_index = 0 while(index < 256): mail_index = index % len_mail byte_ascii = ascii_table[index] byte_mail = ord(mail[mail_index]) accumulate_index += byte_mail accumulate_index += byte_ascii accumulate_index = accumulate_index & 0xFF byte = ascii_table[accumulate_index] ascii_table[accumulate_index] = byte_ascii ascii_table[index] = byte index += 1 return ascii_table
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

おめでとうございます。この時点で、未知の瞬間をすべて明らかにし、有効なメール/シリアルペアを作成するために必要なすべての重要な要素を発見しました。

すべてをまとめる

何がありますか？

1. 有効範囲。 シリアルコードは18文字に等しくなければなりません。これは、文字[0-9]、[az]、[AZ]で構成されている必要があります。
2. 変換表。 入力されたシリアルコードを内部表現に変換するために使用されます。
3. シリアルコードを内部表現に変換するアルゴリズム。
4. 検証テーブルに記入するためのアルゴリズム。
5. 検証テーブル：100010001。

何が必要ですか？

すべての変換を渡した後、必要な「検証テーブル」（100010001）を取得できるように、シリアルコードを作成します。

どうやってやった

私は少しばかり軽視しなければならなかったことを認めなければなりません...「ゼロ」と「1」を操作する代わりに（数時間後にこれに到達しました）、シリアルコードの内部表現に従ってパスワードを選択し始めました。 0xc0、0x28、...、0xffなどの値を使用して、必要なゼロと1を見つけようとしました（つまり、「置換テーブル」の最初の16文字）。 もちろん間違いでした。 私は単に存在しなかった難しい仕事を探していたと言わなければなりません。 さらに、私は非常に重要なバイトも捨てましたが、それは常に私を妨害しました（「ゼロ」を与えた数字で割ると）...一般的に、伝えるべき長い話...



最初は、1バイトの効果の別のバイトへの依存性を判断しようとしましたが、最終的には同様のテーブルになりました（最初のバージョンは、後で虹のすべての色でペイントされましたが、残念ながら削除しましたが、この1つは残っています）：





図 23



その後、夕方の終わり（夕食直後）にいくつかの良い考えがあり、最終的に生のバイト「0xc0、0x28、...」ではなく「ゼロ」と「ワン」を使用するようになりました。 0xff。 " このアイデアが思い浮かんだとたんに、私は常に私を悩ませ、邪魔をする不運なバイトを思い出しました（それは、数字とやり取りするときに「ゼロ」を与えました）。 これに気づいて、私はすぐにコンピューターを見つけ、文字通り1〜2分で自分用の有効なペアを収集しました。



試みが失敗したとき、必要なバイト数に関するさまざまな理論をすばやくテストできる関数をいくつか作成しました。 彼らのおかげで、2〜3分で有効なペアを作成でき、それらを使用してkeygenを作成しました。 どういうわけかコードを最適化または短縮しようとしなかったと言う価値があります。そのため、かなり面倒なことがわかりました（そして正直なところ、2日目に書いた後、私はそこに何を入れたかすぐには分かりませんでした）。 したがって、それがあまり誓わない場合。



次のリンクは、3つのkeygens Pashkin 'a、 BoRoV ' aおよび私の最愛のDarwin 'aを見つけることができます（BoRoV keygenが最も好きでした）。



アーカイブパスワード：

• パシュキン： reverse4you.org_4_r00t
• ダーウィン： AggGgAgaGcGGggCGCG
• BoRoV：アーカイブなしの純粋な形式で利用可能

それだけです、ご清聴ありがとうございました。



***



記事の続きはこちらにあります 。