最小のリバースエンジニアリング：Breaking Keygen

この投稿は、このトピックに興味を持ち始めたばかりの人にとって本当に興味深いものになります。 経験のある人では、彼はあくびを起こすだけです。 おそらくエピローグを除いて...

自社製品のデバッグや最適化に関係しない、それほど法的ではない部分のリバースエンジニアリングには、「それがどのように機能するかを調べる」というタスクも含まれます。 言い換えれば、プログラムの元のアルゴリズムを復元し、その実行可能ファイルを手にします。

基本を守り、いくつかの問題を回避するために、何かを「クラック」するのではなく、... keygen。 90％では、国際法を含め、梱包、暗号化、またはその他の方法で保護されません...

最初は言葉でした。 ダブル

そのため、keygenと逆アセンブラーが必要です。 2番目については、それがIda Proであると仮定しましょう。 Webで見つかった実験的な名前のないkeygen：









Idaでkeygenファイルを開くと、関数のリストが表示されます。





このリストを分析した後、いくつかの標準関数（WinMain、start、DialogFunc）と多数の補助システム関数が表示されます。 これらはすべて、フレームワークを構成する標準機能です。

逆アセンブラは、プログラムのタスクの実装を表すユーザー関数を認識せず、APIおよびシステムコールのラッパーではなく、単にsub_digitsを呼び出します。 そのような関数が1つしかないことを考えると、関心のあるアルゴリズムまたはその一部を含む可能性が最も高いと思われます。





keygenを実行しましょう。 彼は2つの4桁の行を要求します。 8文字が一度にキー計算機能に送信されるとします。 機能コードsub_401100を分析します。 仮説に対する答えは、最初の2行に含まれています。

var_4 = dword ptr -4

arg_0 = dword ptr 8

2行目は、関数引数をオフセット8で取得することを明確に示しています。ただし、引数のサイズは8ではなく4バイトに等しいダブルワードです。したがって、ほとんどの場合、関数は1パスで4文字の1行を処理し、2回呼び出されます。

確かに生じる可能性のある質問は、なぜ関数引数を受け取るために8バイトのオフセットが予約されていますが、引数が1つしかないため4を指しているのですか？ 思い出すと、スタックは小さくなります。 スタックに値が追加されると、スタックポインターは対応するバイト数だけ減少します。 したがって、スタックに関数の引数を追加した後、動作を開始する前に、何か他のものがスタックに追加されます。 これは明らかに、システムコール関数を呼び出した後にスタックに追加されるリターンアドレスです。



sub401100関数呼び出しが見つかったプログラム内の場所を見つけます。 実際には、DialogFunc + 97とDialogFunc + 113の2つがあります。 興味のある手順はここから始まります：





最初に、2つのSendDlgItemMessageA関数が連続して呼び出されます。 この関数は、要素のハンドルを取得し、メッセージシステムメッセージを送信します。 私たちのケースでは、両方のケースでMsgは0Dhであり、これはWM_GETTEXT定数に相当する16進数です。 ここでは、ユーザーが「2つの4文字の文字列」を入力した2つのテキストフィールドの値が取得されます。 関数名の文字Aは、ASCII形式が使用されていることを示します（文字ごとに1バイト）。

最初の行はlParamオフセットで書き込まれ、2番目の行は明らかです-var_1Cオフセットで。

したがって、SendDlgItemMessageA関数が実行された後、レジスタの現在の状態がpushaコマンドを使用してスタックに保存され、1行の1バイトがecx、edx、eaxレジスタに書き込まれます。 その結果、各レジスタは000000 ##の形式を取ります。 次に：

1. SHLコマンドは、eaxレジスタのビットの内容を1バイトシフトします。つまり、算術の内容に16進法で100を乗算するか、10進法で256を乗算します。 その結果、eaxの形式は0000 ## 00（たとえば、00001200）になります。
2. OR演算は、受信したeaxとecxレジスタの間で000000 ##の形式で実行されます（00000034とします）。 その結果、eaxは00001234のようになります。
3. 文字列の最後の4バイト目は「無料」のexxに書き込まれます。
4. exの内容は再びバイト単位でシフトされ、次のORコマンドのために下位バイトのスペースを解放します。 eaxは00123400のようになります。
5. 今回はexとedxの間でOR命令が実行されます。これには、たとえば00000056が含まれます。exは00123456です。
6. 2つのステップSHL eax、8およびORが繰り返され、その結果、新しいecxコンテンツ（00000078）が「終了」eaxに追加されます。 その結果、eaxは値12345678を保存します。

次に、この値は「変数」に格納されます-メモリ領域のオフセットarg_4に。 以前にスタックに保存されていたレジスタの状態（以前の値）は、スタックからプルされ、レジスタに配布されます。 次に、オフセットarg_4の値がレジスタeaxに再び書き込まれ、この値がレジスタからスタックにプッシュされます。 その後、sub_401100関数呼び出しが続きます。



これらの操作の意味は何ですか？ 理論を使わずに、実際に見つけることは非常に簡単です。 デバッガーにブレークポイントを設定します。たとえば、プッシュeax命令（サブ関数が呼び出される直前）にプログラムを実行します。 Keygenが起動し、回線を要求します。 qwerとtyuiに入り、ブレークポイントで停止した後、値：72657771を確認します。テキストにデコードします：rewq。 つまり、これらの操作の物理的な意味は行反転です。



これで、sub_401100で元の行の1つがダブルワードのサイズで送信され、上下逆さまになり、すべての標準レジスタに収まることがわかりました。 おそらく、sub_401100の手順をご覧ください。



最初は、ここでは何も興味深いことはありません。レジスタの状態は慎重にスタックに保存されます。 そして、ここに私たちが興味を持っている最初のチームがあります-PUSHAの指示に従います。 オフセットarg_0に保存されている関数引数をexxに書き込みます。 次に、この値がeaxに転送されます。 そして、半分を切り捨てます。思い出すと、この例では72657771がsub_401100に渡されます。 10h（10進数で16）だけ左に論理シフトすると、レジスタの値が77710000に変わります。

その後、レジスタ値はNOT命令によって反転されます。 これは、レジスタのバイナリ表現では、すべてのゼロが1に変わり、ユニットがゼロに変わることを意味します。 この命令を実行した後のレジスタには、888EFFFFFが含まれています。

ADD命令は、結果の値を引数の元の値に追加（加算、プラスなど）します。この値は、exxレジスタにまだ含まれています（なぜexxで、次にexaxで記述されたのかは明らかです）。 結果はexに保存されます。 この操作が完了した後のexhの外観を確認します：FAF47770。

この結果はexxからexahにコピーされ、その後、SHR命令がexaxのコンテンツに適用されます。 この操作はSHLの反対です。後者が数字を左にシフトした場合、最初の数字は右にシフトします。 論理的な左シフト演算が2の累乗の乗算と同等であるように、論理的な右シフト演算は同じ除算と同等です。 この操作の結果である7D7A3BBの値を見てみましょう。

次に、exとexの内容に対して別の暴力を犯します。XOR命令はモジュロ2加算または「排他的OR」です。 大まかに言って、この演算の本質は、オペランドが明確な場合にのみ、結果が単一（真）に等しいことです。 たとえば、0 xor 1の場合、結果はtrueまたは1です。 0 xor 0または1 xor 1の場合、結果はfalseまたはゼロになります。 この場合、レジスタeax（7D7A3BB）およびexx（FAF47770）に関してこの命令に従った結果、FD23D4CBの値がレジスタeaxに書き込まれます。



次のLEA ecxコマンド[eax + eax * 8]は、exを9でエレガントかつ簡単に乗算し、結果をexxに書き込みます。 次に、この値はedxにコピーされ、13桁右にシフトされます。edxで73213、exxでE6427B23になります。 その後-再びXorim exxとedx、exx E6454930で書きます。 これをeaxにコピーし、8A926000だけ左に9桁シフトしてから、反転して756D9FFFを取得します。 この値をexxレジスタに追加します-5BB2E92Fがあります。 これをeaxにコピーし、17桁-2DD9-で既に右にシフトし、exxでXorimをシフトします。 最終的に5BB2C4F6になります。 それから...それから...何がありますか？ なに、みんな？

したがって、この値をオフセットvar_4のメモリ領域に保存し、レジスタステータススタックからロードし、再びメモリから最終値を取得し、最後にスタックの先頭に残っているレジスタ状態を取得します。 関数を終了します。 万歳！...しかし、喜ぶには時期尚早です。最初の関数呼び出しの終了時点では、最大4つの半角文字が残っていますが、まだ生の文字列が残っているため、これを神の形にする必要があります。



逆アセンブラーから逆コンパイラーまで、より高いレベルの分析に移りましょう。 Cのような擬似コードの形式で、sub_401100呼び出しを含むDialogFunc関数全体を想像してください。 実際、この逆アセンブラは「疑似コード」と呼びます。実際、これは実際にはCコードであり、見苦しいだけです。 私たちは見ます：





これは、アセンブリのリストよりも読みやすくなっています。 ただし、すべての場合において、デコンパイラーに頼ることができるわけではありません。アセンブラーロジックのスレッド、デバッガーのレジスターとスタックのステータスを数時間監視し、FSBまたはFBIに説明を書く準備が必要です。 夕方には、特に面白いジョークがあります。

私が言ったように、読書は簡単ですが、それでも完璧にはほど遠いです。 コードを分析して、変数にわかりやすい名前を付けましょう。 キー変数には明確で論理的な名前を付け、カウンターにはますますシンプルにします。

エピローグ

レベル完了 。 次の（そして最後の）目標は、このアルゴリズムに従ってkeygenを書くことです。 習慣から、Linuxシェルスクリプト言語bashで記述します。 test $ {＃reg1} -gt && reg1 = `echo" $ {reg1：-8} "`は、8文字までのエミュレートされたレジスタ値を含む文字列の切り捨てです。 操作を実行するときに、余分な上級ビットがそこに追加されました。 残りはすべて、アセンブラーリストの骨の折れるエミュレーションです。 異常なプログラミングハブを上に示しましたよね？..



悪名高いsub_401100のbash実装：





Keygenキー機能：





テストと比較：

おわりに

Linuxコンソールから一部のゲームソフトウェアのキーを直接生成できるようになりましたが、これはいくつかの理由で不可能です。まず、このkeygenがどのようなソフトウェアを対象としているかわからない-インターネットでランダムにダウンロードしました。 第二に、偽のキーとライセンスのない専有ソフトウェアの使用は国際法で禁止されています。 ;）