ギドラで簡単な「割れ目」を破る-パート1

おそらく多くの人が、これがどんな獣なのかを直接知っているでしょう- ギドラ （ "Hydra"）と、それがプログラムを実際に食べるものは、このツールは最近公開されたばかりですが、今年3月に。 Hydraやその機能などの説明で読者を悩ませることはありません。 トピックに参加している人は、すでにこのすべてを研究していると確信しています。トピックにまだ参加していない人は、いつでもインターネットで詳細な情報を簡単に見つけることができるため、いつでも実行できます。 ちなみに、Hydra（プラグインの開発）の側面の1つは既にHabré（優れた記事！）で取り上げられています。主なリンクのみを提供します。

• NSA Webサイトの公式ページ
• Githubプロジェクト
• Hacker Magazineの最初のレビュー
• Ghidraの解析プログラムを備えた優れたYouTubeチャンネル

そのため、Hydraは、 モジュール構造を備えた無料のクロスプラットフォームのインタラクティブな逆アセンブラーおよび逆コンパイラーであり、ほぼすべてのメインCPUアーキテクチャをサポートし、逆アセンブルされたコード、メモリー、復元された（逆コンパイルされた）コード、デバッグシンボルなどを操作するための柔軟なグラフィカルインターフェイスを備えています 。



このHydraで何かを壊そう！

ステップ1.亀裂を見つけて調べる

「犠牲者」として、単純なクラックミープログラムを見つけます。 下のスクリーンショットのように、私はcrackmes.oneに行き、検索で難易度= 2-3（「単純」および「中」）、プログラムのソース言語=「C / C ++」およびプラットフォーム=「マルチプラットフォーム」を示しました。







検索は2つの結果を返しました（下の緑色）。 最初のクラックは16ビットであることが判明し、Win10 64ビットでは開始しませんでしたが、2番目（ level_2 by seveb ）が発生しました。 このリンクからダウンロードできます。



クラックをダウンロードして解凍します。 サイトに示されているように、アーカイブのパスワードはcrackmes.deです。 アーカイブには、LinuxとWindowsに対応する2つのディレクトリがあります。 私のマシンでは、Windowsディレクトリに移動し、その中で唯一の「実行可能ファイル」であるlevel_2.exeに会います。 実行して、彼女が望むものを見てみましょう。







残念なようです！ プログラムを起動すると、何も表示されません。 パラメータとして任意の文字列を渡して、再度実行しようとします（突然、キーを待っていますか？）-そして再び何も...しかし、絶望しないでください。 また、タスクとして起動パラメーターを見つける必要があると仮定しましょう！ 「スイスナイフ」であるHydraを見つけましょう。

ステップ2. Hydraでのプロジェクトの作成と予備分析

すでにHydraがインストールされているとします。 まだではない場合、すべてが簡単です。





Hydraを起動し、開いたプロジェクトマネージャーですぐに新しいプロジェクトを作成します。 crackme3という名前を付けました （つまり、crackmeおよびcrackme2プロジェクトはすでに作成されています）。 実際、プロジェクトはファイルディレクトリであり、任意のファイルを追加して学習することができます（exe、dllなど）。 level_2.exeをすぐに追加します（ [ファイル] | [インポート]またはIキーのみ）：







Hydraは、インポートする前に、Win32 OSおよびx86プラットフォーム用の32ビットPE（ポータブル実行可能ファイル）として、実験的なクワックを特定したことがわかります。 インポート後、さらに情報を待っています：







ここでは、前述のビット深度に加えて、 エンディアンネスの順序に興味があるかもしれません。これは、Intel 86thプラットフォームで想定されていたLittle （低バイトから高バイトまで）です。



予備的な分析で、これで完了です。

ステップ3.自動分析を実行する

Hydraでプログラムの完全自動分析を開始する時間。 これは、対応するファイル（level_2.exe）をダブルクリックして行います。 モジュール構造のHydraは、すべての基本機能にプラグインシステムを提供します。プラグインシステムは、追加/無効化、または独立して開発できます。 分析についても同様です-各プラグインは、分析のタイプを担当します。 そのため、最初に目的の分析のタイプを選択できるウィンドウが表示されます。





ここでは、デフォルト設定のままにして分析を実行するのが理にかなっています。 分析自体は非常に高速です（約7秒かかりました）が、フォーラムのユーザーは、大規模プロジェクトではHydraの速度がIDA Proに負けていると訴えています。 これは本当かもしれませんが、小さなファイルの場合、この違いは重要ではありません。



これで分析は完了です。 その結果は、コードブラウザウィンドウに表示されます。







このウィンドウはHydraで作業するための主要なウィンドウです。したがって、より慎重に検討する必要があります。

ステップ4.プログラムアルゴリズムの学習-main（）関数

さて、クラックプログラムの直接分析に進みましょう。 ほとんどの場合、プログラムのエントリポイントを検索することから始めます。 起動時に呼び出されるメイン関数。 クラックがC / C ++で記述されていることを知っていると、main関数の名前はmain（）またはそのようなものになると推測されます:) ツリーのシンボル（左パネル）のフィルターに「main」と入力し、「 関数」セクションの関数_main（）を確認します。 マウスをクリックしてそこに移動します。

main（）関数とあいまいな関数の名前の変更の概要

逆アセンブラのリストでは、対応するコードセクションがすぐに表示され、右側にこの関数の逆コンパイルされたCコードが表示されます。 Hydraのもう1つの便利な機能は、選択の同期です。マウスがASMコマンドの範囲を選択すると、逆コンパイラーの対応するコードセクションが強調表示され、逆も同様です。 さらに、メモリ表示ウィンドウが開いている場合、割り当てはメモリと同期されます。 彼らが言うように、すべての独創的なことは簡単です！



すぐに、（たとえば、IDAでの作業とは対照的に）Hydraでの作業の重要な特徴に注目します。 Hydraでの作業の主な目的は、逆コンパイルされたコードの分析です 。 このため、Hydraの作成者（覚えている-私たちはNSAからのスパイについて話している:)）は、逆コンパイルの品質とコードを使用することの利便性に多大な注意を払いました。 特に、コードをダブルクリックするだけで、関数、変数、メモリのセクションの定義に進むことができます。 また、デフォルトの名前には意味がなく、混乱を招く可能性があるため、変数と関数はすぐに名前を変更できます。これは非常に便利です。 後で見るように、このメカニズムをよく使用します。



したがって、ここにメイン（）関数があります。これは、次のようにHydraが「分析」します。





変数の定義、標準のCタイプ、条件、ループ、関数呼び出しなど、すべてが正常に思えます。 しかし、コードを詳しく見ると、何らかの理由で一部の関数の名前が定義されておらず、疑似関数_text（） （逆コンパイラウィンドウ-.text（））に置き換えられていることがわかり ます 。 これらの関数が何であるかを定義することから始めましょう。



最初の呼び出しの本文をダブルクリック

  _Dest = (char *)_text(0x100,1);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは、データ用のメモリを割り当てるために使用される標準calloc（）関数の単なるラッパー関数であることがわかります。 したがって、この関数の名前をcalloc2（）に変更してみましょう。 機能ヘッダーにカーソルを設定し、コンテキストメニューを呼び出して、[ 名前の変更 ] 機能 （ホットキー-L ）を選択し、開いたフィールドに新しい名前を入力します。







関数の名前がす​​ぐに変更されたことがわかります。 メイン（）本文（ツールバーの[ 戻る ]ボタンまたはAlt + <- ）に戻ります。ここでは、神秘的な_text（）calloc2（）の代わりに、すでに立っていることがわかります。 いいね！



他のすべてのラッパー関数についても同じことを行います。定義を1つずつ確認し、それらの機能を確認し、名前を変更し（C関数の標準名にインデックス2を追加）、メイン関数に戻ります。

メイン（）関数コードを理解します

さて、奇妙な機能を見つけました。 メイン関数のコードの調査を開始します。 変数宣言をスキップすると、文字列で指定された条件が満たされた場合にのみ、関数が変数iVar2の値を返すことがわかります。これはゼロ（関数の成功の兆候）です。

 if (_Argc == 3) { ... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

_Argcは、 main（）に渡されるコマンドラインパラメーター（引数）の数です。 つまり、プログラムは2つの引数を「食べ」ます（最初の引数は、常に実行可能ファイルへのパスです）。



では、先に進みましょう。 ここでは、256文字のC文字列（ char配列）を作成します。

 char *_Dest; _Dest = (char *)calloc2(0x100,1); //  new char[256]  C++
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、3回の繰り返しのループがあります。 その中で、最初にbVar1フラグが設定されているかどうかを確認し、 設定されている場合は、次のコマンドライン引数（文字列）を_Destにコピーします。

 while (i < 3) { /*    .  */ if (bVar1) { /*   */ memset2(_Dest,0,0x100); /*    _Dest    */ strncpy2(_Dest,_Argv[i],0x100); break; } ... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このフラグは、次の引数を解析するときに設定されます。

 n_strlen = strlen2(_Argv[i]); if (((n_strlen == 2) && (((int)*_Argv[i] & 0x7fffffffU) == 0x2d)) && (((int)_Argv[i][1] & 0x7fffffffU) == 0x66)) { bVar1 = true; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初の行は、この引数の長さを計算します。 さらに、条件は、引数の長さが2、最後から2番目の文字== "-"、最後の文字== "f"でなければならないことをチェックします。 デコンパイラが、バイトマスクを使用して文字列から文字を抽出する方法を「翻訳」していることに注目してください。

数値の10進値と対応するASCII文字は、対応する16進リテラルの上にカーソルを置くと表示できます。 ASCIIマッピングは常に機能するとは限りません（？）。そのため、インターネット上のASCIIテーブルを確認することをお勧めします。 また、（コンテキストメニュー-> 変換を使用して ）スカラーを任意の番号システムから他のシステムに直接変換することもできます。この場合、この番号は選択した番号システムのすべての場所（逆アセンブラーおよび逆コンパイラー）に表示されます。 しかし、個人的には、仕事の調和のためにコードにヘックスを残すことを好みます。 メモリアドレス、オフセットなど ヘクスはどこにでも設定されます。

ループの後にこのコードがあります：

 if ((bVar1) && (*_Dest != 0)) { /*    1) "-f"  2)  -         */ _File = fopen2(_Dest,"rb"); if (_File == (FILE *)0x0) { /*  1    */ perror2("Failed to open file"); return 1; } ... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここですぐにコメントを追加しました。 引数（ "-f path_to_file"）の有効性を確認し、対応するファイルを開きます（2番目の引数が渡され、_Destにコピーしました）。 ファイルは、 fopen（）関数の「rb」パラメーターで示されるように、バイナリ形式で読み取られます。 読み取りが失敗した場合（たとえば、ファイルが使用できない場合）、エラーメッセージがstderrorストリームに出力され、プログラムはコード1で終了します。



次は最も興味深いです：

  /* !!!     !!! */ ppcVar3 = _construct_key(_File); if (ppcVar3 == (char **)0x0) { /*    ,  "Nope" */ puts2("Nope."); _free_key((void **)0x0); } else { /*    -      */ printf2("%s%s%s%s\n",*ppcVar3 + 0x10d,*ppcVar3 + 0x219,*ppcVar3 + 0x325,*ppcVar3 + 0x431); _free_key(ppcVar3); } fclose2(_File);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

開いているファイル記述子（ _File ）は_construct_key（）関数に渡され、明らかに、求められているキーの検証を実行します。 この関数は、 ppcVar3変数に格納されている2次元のバイト配列（ char ** ）を返します。 配列が空の場合、簡潔な「Nope」がコンソールに表示されます（つまり、「Nope！」）、メモリは解放されます。 それ以外の場合（配列が空でない場合）、明らかに正しいキーが表示され、メモリも解放されます。 関数の最後で、ファイル記述子が閉じられ、メモリが解放され、値iVar2が返されます。



だから、今、私たちは次のものが必要であることに気付きました：



1）正しいキーでバイナリファイルを作成します。

2）引数「-f」の後にクラックのパスを渡す



記事の第2部では 、関数_construct_key（）を分析します。これは、判明したように、ファイル内のキーをチェックする役割を果たします。