Как пользоваться программой ida pro. IDA Pro - самый мощный дизассемблер в мире
Тот, кто хоть раз пытался дизассемблировать мало-мальски серьезную программу, знает, что лучшего инструмента, чем IDA Pro, не найти. Это легко объясняется интеллектуальностью (дизассемблер сам комментирует код и распознает стандартные библиотечные и системные функции), интерактивностью (вы в любой можете прервать процесс дизассемблирования, внести нужные изменения и потом продолжить), поддержкой собственного скриптового языка (IDC), наличием плагинов (позволяющих сэкономить десятки часов исследования) и IDA SDK.Отладчик по сравнению с дизассемблером часто называют "агрессивной средой", требующей от вас постоянного участия, работы мысли и заставляющей все время принимать решения. Работая с IDA Pro, вы легко убедитесь в данном утверждении: комфорт и функциональность IDA Pro позволяют уйти от вопроса "знаю, что хочу, но не знаю, как этого добиться" и сосредоточиться на проблеме "каким путем достичь необходимого результата, используя возможности IDA Pro".
Но использование дизассемблера требует не только знаний и опыта, оно сопряжено также с массой этических и правовых вопросов. Ни для кого не секрет, что IDA Pro является одним из любимых инструментов взломщиков - людей, крадущих чужие программы.
Сегодня, уважаемый читатель, мы хотим представить вашему вниманию интервью с создателем IDA Pro - Ильфаком Гильфановым (Ilfak Guilfanov).
Интервью
TanaT : Расскажите, пожалуйста, немного о себе.Ильфак : Так сразу с себя? Ну, попробую. В школу ходил в маленькой деревушке в Татарстане, потом - поступил в Московский Государственный Университет им. Ломоносова на мехмат. Очень интересное место, мне очень повезло, что я учился в окружении многих неординарных людей.
Первые два года были посвящены учебе и еще раз учебе, я узнал кучу нового для себя. Включая компьютеры. Первый компьютер в своей жизни я увидел на втором курсе. В приоткрытой двери Лаборатории Вычислительных Методов на 13 этаже увидел телевизор с буквочками зеленого цвета на экране. Очень удивился, ведь до сих пор телевизоры показывали только картинки, а не текст. Я знал, что где-то существуют ЭВМ, они очень большие и что-то вычисляют, но для чего и как, имел только смутное представление. Этот день, когда я впервые увидел терминал, подключенный к CM-4 (аналог PDP-11), в буквальном смысле изменил мою жизнь - терминалы были очень маленькие, вместо чисел на экране был текст, и все это было рядом, можно было пощупать, понажимать на клавиши...
Я узнал, что текст, так шустро меняющийся на экране, можно менять, и для этого нужно писать "программы". Также есть клавиатура для ввода букв. Можно сделать так, чтобы ЭВМ считала за тебя все, что угодно на свете - от решения квадратных уравнений до генерации простых чисел.
Мне страшно повезло - у нас на мехмате тогда был очень интересный курс по программированию. Этот курс был потом издан в виде учебника его автором, А. Г. Кушниренко, которому я благодарен за его прекрасные лекции и систему обучения. С его участием была написана специальная система для студентов, чтобы научить их основам программирования, именно той сути, самой важной части, без которой программист никогда не напишет хорошие программы. Разработка программного обеспечения для этого курса осуществлялась молодыми сотрудниками ЛВМ Г. В. Лебедевым, А. А. Веденовым, Д. В. Варсанофьевым, А. Г. Дымченко и др. Основу курса составляло не освоение конкретного языка программирования, а изучение основных структур данных и базовых алгоритмов обработки информации. Даже сегодня я бы рекомендовал всем желающим научиться программировать начать именно с него.
В настоящее время я работаю в бельгийской компании Datarescue, основная задача - продолжение работ над дизассемблером, среди других проектов. У меня в помощниках есть 2 молодых программиста, которые тоже работают над проектом. У нас также есть программы, относящиеся к безопасности в Интернете (криптография) и восстановлению данных.
Ильфак Гильфанов, создатель IDA
IDA Pro в действии. Обратите внимание, что имена Win API функций определены корректно
TanaT : А может ли IDA Pro дизассемблировать байт-код Java и управляемый код на MSIL?
Ильфак : Конечно же, IDA дизассемблирует программы на Java или C#. И что примечательно, она может дизассемблировать классы и в очень тяжелых случаях, когда входной файл был испорчен, но все еще работоспособен.
TanaT : Откуда вы почерпнули знания и опыт, так необходимые для разработки такого рода программы?
Ильфак : Про свою учебу в университете я уже рассказал. Опыт пришел со временем. Код, который был написан в начале 90-ых годов, на мой взгляд, далек от совершенства, но он работает, и поэтому мы его пока переписывать не будем.
А знания... Ну, сами знаете, какова жизнь программиста. Известно, что "надо все время бежать, чтобы оставаться на месте". Это изречение, как никакое другое, подходит к программистскому ремеслу. Книжки про языки программирования, про дизайн в целом, про логику и сложные системы... Особо хочу выделить функциональные языки и прочие странности, программировать на которых необязательно, но очень полезно знать. Интересны книги про архитектуру (это та, классическая архитектура, которая со зданиями связана). Они дают основу - здравый смысл, что у каждой программы должен быть фундамент, несущая структура, крыша... Мне нравится архитектор Christopher Alexander с его книгой The Timeless Way of Building.
TanaT : Скрипты для IDA Pro - отличная идея. Как она родилась у вас в голове?
Ильфак : Ну, идея вроде лежит на поверхности? Нет ни одной большой программы, которая бы не позволяла запрограммировать ее тем или иным способом. Честно говоря, мне хотелось написать кусочек компилятора (лексический + синтаксический анализ, как это описано у Ахо и Ульмана), вот скрипты и оказались неплохим поводом. Сегодня я бы не стал писать свой язык, а просто бы подключил имеющиеся, например Perl или Python. Это было бы и проще, и позволило бы большему количеству пользователей писать скрипты.
TanaT : Сейчас уже поздно добавить поддержку эти скриптов языков в IDA? Или нецелесообразно?
Ильфак : Мы сами не планируем поддержку других языков, но любой пользователь IDA может это сделать сам с помощью IDA SDK. Я даже краешком уха слышал про подобные работы для подключения Python к IDA.
IDA Pro это не только дизассемблер, но и отладчик. Можете убедиться, посмотрев на картинку
TanaT : Можете рассказать немного об IDA SDK? Он позволяет писать плагины к IDA самому?
Ильфак : Да, с помощью IDA SDK можно всячески расширять IDA, добавлять новую функциональность, поддержку новых процессоров и платформ. Существует 3 типа дополнительных модулей, которые можно разработать с помощью SDK: это процессорные модули, загрузчики и плагины. Процессорные модули позволяют разбирать программы для новых процессоров. Загрузчики нужны для поддержки новых форматов файлов. И, наконец, плагины позволяют расширить функциональность IDA - это может быть добавление новых команд или же улучшение анализа посредством установления обработчиков событий в IDA.
IDA API является достаточно сложным и богатым API и насчитывает порядка 1000 функций. Мы постарались сделать полностью доступной базу данных IDA и дать полный контроль над анализом. Конечно, такой большой API не так просто освоить. Поэтому в составе SDK есть много примеров реальных модулей из реальной жизни. И опять-таки можно найти примеры в сети.
TanaT : Без сомнения, IDA Pro - самый мощный и гибкий дизассемблер в мире. Вам приятно это осознавать? Чем для вас является IDA Pro: хобби/увлечением или профессиональным продуктом?
Ильфак : Он начался как хобби в далеком 1991 году, просто увлечением для себя и для друзей. И потихоньку вырос во что-то, и это используется многими специалистами по всем мире. Теперь IDA является коммерческой программой, и, естественно, мое отношение к ней поменялось. Параллельно с разработкой IDA мне интересно заниматься другими проектами. Например, проблема восстановления фотографий с цифровых носителей на первый взгляд является простенькой задачей, но для достижения максимальных результатов потребовалось разработать нестандартный алгоритм, и получившаяся программа дает лучшие результаты (данные тестов компьютерных журналов). Работа над Photorescue привела к возникновению нового хобби - цифровой фотографии, так что это хобби может тоже перерасти в профессиональную деятельность, когда-нибудь...
TanaT : Как вы считаете, в каких случаях программисту требуется именно интерактивность IDA? Только тогда, когда код зашифрован?
Ильфак : Не только. Думаю, интерактивность IDA является самой главной ее особенностью. Во-первых, пользователь может мгновенно изменить представление программы на экране, что очень полезно, если автоматический анализ неправильно разобрал функцию. Можно также переименовать функцию или добавить комментарий, и все изменения сразу же видны на экране. Во-вторых, развитая система навигации позволяет найти интересующую часть программы без долгих поисков по листингу.
Анализ программ чем-то схож с разгадыванием кроссвордов: чем больше информации мы имеем, тем проще угадать следующее слово. Чем больше осмысленных имен и комментариев в листинге, тем проще понять логику работы и соответственно переименовать анализируемую функцию. Мы начинаем практически с чистого листа, когда все функции, кроме импортированных, названы, как sub_1234. Такое автоматически сгенерированное имя не дает никакой информации о том, что эта функция делает. Потом, в процессе разбора (я предпочитаю разбор снизу вверх, то есть первыми анализируются функции самого нижнего уровня) мы переименовываем функции, и таким образом делаем листинг более ясным и понятным. Без интерактивности это было бы просто невозможно.
Конечно, интерактивность не всегда нужна. Например, если нам нужно найти код, обладающий какими-нибудь свойствами в большой коллекции программ, то анализировать все программы вручную не хочется (представьте себе, что у вас семейство программ из 200 файлов). Для таких случаев лучше запустить IDA из командного файла и поручить анализ и нахождение интересующего кода IDC: скрипту или плагину.
TanaT : Кстати, о плагинах. Не подскажете, где можно найти стандартные (да и любые другие) плагины к IDA?
Ильфак : До сих пор самым доступным местом была группа IDAExtensions в Yahoo. С созданием cvs-управляемого проекта на sourceforge большинство плагинов, скорее всего, будут доступны оттуда.
WinGraph позволяет легко построить структуру программы
TanaT : Как вы считаете, какая категория людей является основным пользователем вашего продукта? Пираты/хакеры или разработчики?
Ильфак : Не те и не другие. Основные пользователи - это специалисты по информационной безопасности, антивирусные компании, и вообще специалисты по безопасности в целом.
Разработчики и хакеры, конечно же, тоже используют IDA, но не являются основными покупателями. Про хакеров я вообще молчу, я совершенно не хочу, чтобы IDA использовался для взлома программ, и буду всячески бороться против этого.
Разработчикам же далеко не всегда нужен дизассемблер. Уже учитывая тот факт, что многие не знают язык ассемблера, можно сказать, что большинству разработчиков дизассемблер не понадобится. Исключение составляют специалисты, работающие на низком уровне - писатели драйверов и встроенных систем, вынужденные работать на ассемблере.
Я не знаю, почему в России считается, что основными пользователями IDA являются хакеры. Если бы IDA приносила пользу только им, то я бы прекратил работу над ней, не задумываясь.
Тем, кто использует IDA для взлома, скажу следующее: "ломать - не строить". Программы, как и любой другой продукт человеческой деятельности, требуют труда - кто-то должен потратить свое время и силы, чтобы программу придумать, написать и проверить. Взломщик подобен вору, который увидел что-то, не принадлежащее ему, и забрал. Не потому что он такой доблестный и умный, сумел взломать программу, а просто потому, что защита была слабая или разработчик вообще не уделял ей внимания. Где тут доблесть? Мне совсем не нравится, что IDA используется для таких целей.
TanaT : Сразу возникает вопрос, ведь хороший дизассемблер не должен "сыпаться" при первых же "антидизассемблерных" приемах. Получается, что, разрабатывая дизассемблер и повышая его интеллект + функциональность, вы делаете жизнь хакера легче. Противоречие?
Ильфак : Скорее, диалектика. IDA делает анализ программ проще для всех. Значит и защита программ становится более изощренней, придумываются новые методы. Как, например, подступиться к системе, которая использует подход объектно-ориентированного программирования с передачей сообщений между объектами? По листингу практически ничего невозможно будет понять, т.к. так кроме косвенных вызовов с номерами сообщений, практически ничего не будет.
TanaT : Сколько сегодня стоит IDA Pro и можно ли ее где-нибудь купить в России?
Ильфак : Да, IDA можно купить в Москве в компании Гелиософт. Их адрес [email protected] . Точные цены можно узнать у представителей компании, они в пределах $266-795 в зависимости от конкретной версии.
TanaT : Каковы системные требования IDA? Если говорить об IBM PC, какие операционные системы она поддерживает?
Ильфак : Первые версии IDA были предназначены для работы под MS DOS с 640кб памяти, поэтому при дизайне программы я предпочитал решения, не требующие много памяти или быстрого процессора. Сейчас, конечно, нереально запустить IDA на такой малой памяти, но любой современный компьютер подойдет. Чем больше памяти и чем быстрее процессор, тем лучше, конечно.
IDA работает под MS Windows (любые версии), MS DOS, OS/2. Абсолютное большинство пользователей работает под MS Windows, поэтому мы даже не уверены, что имеет смысл продолжать поддерживать другие системы. Если у кого есть соображения по этому поводу, прошу в e-mail ([email protected] ), мы с удовольствием выслушаем аргументы в пользу этих систем.
Тогда как IDA может работать под управлением трёх операционных систем, количество платформ, для которых она может дизассемблировать файлы - практически не ограниченно. Назовите практически любую современную операционную систему, и окажется, что IDA сможет анализировать выполняемые файлы для нее. Я уже не помню точного количества процессоров, поддерживаемых IDA, но знаю, что их больше 32: несколько лет назад мне пришлось расширить битовую маску для списка процессоров (раньше был ulong, теперь ulonglong, надеюсь, хватит лет на пять).
TanaT : В каком направлении вы сейчас совершенствуете свой дизассемблер? Добавляете поддержку новых процессоров или улучшаете функциональность?
Ильфак : Мы постоянно добавляем новые процессоры и улучшаем функциональность. На мой взгляд, сегодня в IDA есть практически все, что нужно для анализа программ, за исключением одной фундаментальной вещи - анализа потоков данных и возможностей, вытекающих из этого анализа. Мы могли бы реализовать этот анализ для IBM PC, но очень хочется сделать что-то, что будет работать для любых процессоров. Иначе может оказаться, что сделанное сегодня придется выбросить через несколько лет или переписать для новых процессоров. Не секрет, что 64-битовые процессоры скоро будут доступны многим, и они вряд ли будут совместимы по бинарному коду с IBM PC.
В последней версии IDA появился отладчик для MS Windows файлов, и в будущем, вероятно, мы добавим новые модули отладчика - для Linux, для микроконтроллеров, сделаем удаленную отладку.
Конечно, еще одно направление - это выдача кода на языке высокого уровня, например С, т.е. написание декомпилятора. Задача достойная, и мы над ней работаем. Очень много деталей, которые нужно учитывать для работы с программами из реальной жизни.
Тут надо сразу сказать, что декомпилятор никогда не будет входить в состав IDA. Если (и это - большое "если") декомпилятор будет сделан, то только в виде отдельного продукта.
TanaT : Декомпилятор на язык С был бы отличным инструментов для многих профессионалов в reverse engineering. Думаете, это реально?
Ильфак : Это реально, если ставить перед собой разумные цели. Если цель - сделать систему, которая выдаст код для последующей компиляции и использования в составе другой программы, то ответ отрицательный. Вернее, такой декомпилятор сделать можно, и даже очень легко, но это меня лично совсем не интересует. Такая система была бы очень удобна для кражи кода. Если кто хочет заниматься этим, то, пожалуйста, без меня. Да, если хорошенько поискать, то такие системы можно найти в Интернете.
Если же целью является облегчение понимания программ, т.е. представление логики программы на языке высокого уровня так, чтобы это было читаемо человеком, то задача намного сложнее, но тоже решаема. Объем работ очень велик, а рынок для декомпиляторов - маленький. Может этим и объясняется тот факт, что настоящих декомпиляторов, способных разбирать реальные программы, не существует?
Кстати, уже существует маленький декомпилятор на основе IDA. Он был создан одним студентом как master thesis. Вы можете найти сайт, поискав его по имени: desquirr.
TanaT : Небольшое замешательство вызывает тот факт, что, хотя везде указано, что вы являетесь создателем IDA Pro, продает его компания Datarescue. Можете прояснить ситуацию?
Ильфак : Ну, так оно и есть. Компания Datarescue продает IDA Pro. Я не занимаюсь продажами напрямую, предпочитаю заниматься программированием, это у меня лучше получается.
TanaT : Есть ли версия вашего продукта не "Pro"?
Ильфак : Да, есть. Студенты, или пользователи, лишь иногда дизассемблирующие программы, могут пользоваться бесплатной версией IDA Freeware, которая доступна в Интернете, например, на Simtel"е . Эта версия является полноценной версией, которая продавалась несколько лет назад. Единственное, что может удивить современных пользователей, привыкших работать с мышкой - это текстовый интерфейс программы, но суть программы та же. Настоящий программист не обращает внимания на такие мелкие детали, как интерфейс программы:).
TanaT : Скажите, пожалуйста, а доступна ли где-нибудь trial- или demo-версия IDA Pro?
Ильфак : Да, конечно. Мы раздаем демонстрационные версии потенциальным покупателям - серьезным компаниям, государственным учреждениям и т. д. Сразу же хочу отметить, что у Васи Пупкина, подписавшегося как FuRiOuSDaRkLoRd, и просящего демо-версию в 5-ый раз (потому что он хочет "самолично" убедиться, что IDA отвечает его "высоким требованиям"), очень мало шансов получить ее. Такие запросы у нас сразу идут в корзину.
Хотя бывают смешные случаи. Например, меня поразил один "бедный пастор в аргентине", желающий пользоваться IDA. Он также написал, что будет молиться за нас, если мы ему пришлем программу. Интересно, что ему нужно было дизассемблировать, не библию же? Или "бедный студент", которому немедленно понадобилось анализировать какой-нибудь специальный микроконтроллер, потому что "клиенту нужно срочно".
TanaT : Кого из конкурентов вы можете выделить? Есть ли кто-либо, кто может составить конкуренцию IDA?
Ильфак : Честно говоря, не знаю, что сказать.
TanaT : Многие пользователи жалуются, что к IDA PRO почти нет официальной документации и научиться работать с ней, особенно с ее скриптовым языком, довольно сложно. Можете прокомментировать?
Ильфак : Да, это правда. Разбирать программы на языке ассемблера уже сложно, я просто не знаю, как это сделать проще (знал бы - сделал бы:)). Могу лишь посоветовать прочитать страницы помощи, посмотреть на примеры IDC скриптов, поставляемых вместе с IDA, поискать в Интернете примеры использования. Что касается документации, ее нет, и вряд ли будет в ближайшем будущем, к сожалению. Есть контекстная помощь, вызываемая по F1.
Дело еще усугубляется тем, что многие пользователи не знают, что им делать, т.е. не умеют анализировать программы. Тут очень многое зависит от уровня пользователя. Кто-то не знает язык ассемблера и ему нужно объяснять, что такое xor eax,eax. Другому непонятно, что такое DialogProc, т.к. он никогда не программировал в Windows. Третьему непонятно, почему количество push в функции не соответствует количеству pop. А ведь это самые простые случаи. Обычно пользователь загружает программу в IDA и не знает, что делать. Ответить на этот вопрос непросто, ведь "что делать" зависит от того, "что хочется получить".
Поэтому мы решили поступить самым простым способом - у нас есть F1, который описывает каждую команду, каждую функцию в IDC. Пользователю, знающему, что он хочет получить, достаточно пройтись по списку команд и постараться подобрать набор, который решит конкретную проблему. А вот незнающему пользователю будет сложнее, и помощь, наверное, должна заключаться в обучении пользователя самим азам ассемблера, представления программ в бинарном виде, типичным приемам MS Windows, и так по нарастающей. Для зарубежных пользователей мы время от время проводим такие курсы. При наличии достаточного количества интересующихся можем устроить курсы и в России.
Первым ассемблером и одновременно первым интерпретатором стал псевдокод и набор инструкций Short Code, разработанный в июле 1949 года американцами Пресом Экертом и Джоном Мошли для компьютера BINAC. Решение любой задачи вначале записывалось математическими уравнениями. Те, в свою очередь, посимвольно транслировались в коды: из “a=b+c” в “S0 03 S1 07 S2”. На заключительном этапе коды приобретали двоичный вид, а каждая строка после ввода автоматически выполнялась. Первая практическая задача, которую решил ассемблер, - расчет таблиц артиллерийской стрельбы для американских баллиститов. Ассемблеры на мнемонических кодах (с “MOV” и “ADD”) появились только в середине 50-х. Авторы ассемблера более известны изобретением самых первых вычислительных машин (на вакуумных трубках): ENIAC (1946), BINAC (1949) и прямого предка современных компьютеров UNIVAC I (1951). К сожалению, ни Эскерт, ни Мошли до наших дней не дожили.
TanaT : Вы читали книгу Криса Касперски "Образ мышления дизассемблера IDA"? Сегодня это единственная книга по IDA на русском, поэтому хотелось бы услышать о ней ваше мнение. Может вы знакомы с ее автором?
Ильфак : Да, я знаком с Крисом, и он обращался ко мне с вопросами при написании книги. Книга хороша, как развернутый справочник по функциям IDC, и рассчитана на читателя, разбирающегося в ассемблере и любящего манипулировать битами и байтами. Конечно же, я могу лишь порекомендовать эту книгу любому, кому хочется досконально разобраться с IDC и научиться писать хорошие скрипты.
Но жизнь не стоит на месте и со времени написания книги вышли новые версии IDA. Появились новые возможности (например, разработка плагинов в книге не рассматривается). Надеюсь, Крис напишет продолжение, в котором будет уделено больше внимания современным программам и типичным проблемам, с которыми сталкиваются начинающие специалисты по информационной безопасности.
TanaT : А почему вы сами не напишите что-то похожее на "Advanced IDA Pro Developer"s/Users’s Guide"? Ведь никто не знает все тонкости IDA, IDA SDK и IDC так, как вы. Думаю, эта книга разошлась бы немалым тиражом в одной только России. К тому же практика издания книг по своим продуктам сегодня довольно распространена: взять все тот же Microsoft Press…
Ильфак : Вы не первый, кто поднимает вопрос о книге. Может когда-нибудь я и решусь, но пока еще не готов к писательству. Если я буду писать книгу, то вряд ли останется время для улучшения IDA, так что пока пусть книга подождет:)
TanaT : Разрешите личный вопрос: я нигде доселе не читал интервью с вами, вы не любите их давать?
Ильфак : Это - мое первое интервью.
TanaT : Хотите сказать нашим читателям что-нибудь?
Ильфак : Хочу сказать спасибо всем, кто помогал в развитии IDA - генерируя идеи, делясь кодом, регистрируя программу, и просто поддержкой добрым словом. Надеюсь, что и в дальнейшем IDA останется инструментом профессионалов, использующих его для благородных целей.
Спасибо за вопросы.
TanaT : И вам большое спасибо за столь интересные ответы. Успехов вам лично и вашему творению, IDA, надеемся, этот дизассемблер и дальше будет развиваться не менее интенсивно и плодотворно.
- Tutorial
Этот пост будет интересно действительно тем, кто только начинает интересоваться этой темой. У людей с опытом он, возможно, вызовет только зевки. За исключением разве что, может быть, …
Реверс-инжиниринг в той менее легальной части, где он не касается отладки и оптимизации собственного продукта, касается в том числе и такой задачи: «узнать, а как у них это работает». Иначе говоря, восстановление исходного алгоритма программы, имея на руках ее исполнимый файл.
Для того, чтобы держаться азов и избежать некоторых проблем - «взломаем» не что-нибудь, а… кейген. В 90% он не будет запакован, зашифрован или иным способом защищен - в том числе и нормами международного права…
Вначале было слово. Двойное
Итак, нам нужен кейген и дизассемблер. Что касается второго - то предположим, что это будет Ida Pro. Подопытный безымянный кейген, найденный на просторах Сети:Открыв файл кейгена в Ida, видим список функций.
Проанализировав этот список, мы видим несколько стандартных функций (WinMain, start, DialogFunc) и кучу вспомогательных-системных. Все это стандартные функции, составляющие каркас.
Пользовательские функции, которые представляют реализацию задач программы, а не ее обертку из API-шных и системных вызовов, дизассемблер не распознает и называет попросту sub_цифры. Учитывая, что такая функция здесь всего одна - она и должна привлечь наше внимание как, скорее всего, содержащая интересующий нас алгоритм или его часть.
Давайте запустим кейген. Он просит ввести две 4-значных строки. Предположим, в функцию расчета ключа отправляются сразу восемь символов. Анализируем код функции sub_401100. Ответ на гипотезу содержится в первых двух строках:
var_4= dword ptr -4
arg_0= dword ptr 8
Вторая строка недвусмысленно намекает нам на получение аргумента функции по смещению 8. Однако размер аргумента - двойное слово, равное 4 байтам, а не 8. Значит, вероятнее всего за один проход функция обрабатывает одну строку из четырех символов, а вызывается она два раза.
Вопрос, который наверняка может возникнуть: почему для получения аргумента функции резервируется смещение в 8 байт, а указывает на 4, ведь аргумент всего один? Как мы помним, стек растет вниз; при добавлении в стек значения стековый указатель уменьшается на соответствующее количество байт. Следовательно, после добавления в стек аргумента функции и до начала ее работы в стек добавляется что-то еще. Это, очевидно, адрес возврата, добавляемый в стек после вызова системной функции call.
Найдем места в программе, где встречаются вызовы функции sub401100. Таковых оказывается действительно два: по адресу DialogFunc+97 и DialogFunc+113. Интересующие нас инструкции начинаются здесь:
Относительно длинный кусок кода
loc_401196: mov esi, mov edi, ds:SendDlgItemMessageA lea ecx, push ecx ; lParam push 0Ah ; wParam push 0Dh ; Msg push 3E8h ; nIDDlgItem push esi ; hDlg call edi ; SendDlgItemMessageA lea edx, push edx ; lParam push 0Ah ; wParam push 0Dh ; Msg push 3E9h ; nIDDlgItem push esi ; hDlg call edi ; SendDlgItemMessageA pusha movsx ecx, byte ptr movsx edx, byte ptr movsx eax, byte ptr shl eax, 8 or eax, ecx movsx ecx, byte ptr shl eax, 8 or eax, edx shl eax, 8 or eax, ecx mov , eax popa mov eax, push eax call sub_401100
Сначала подряд вызываются две функции SendDlgItemMessageA. Эта функция берет хэндл элемента и посылает ему системное сообщение Msg. В нашем случае Msg в обоих случаях равен 0Dh, что является шестнадцатиричным эквивалентом константы WM_GETTEXT. Здесь извлекаются значения двух текстовых полей, в которые пользователь ввел «две 4-символьных строки». Буква А в названии функции указывает, что используется формат ASCII - по одному байту на символ.
Первая строка записывается по смещению lParam, вторая, что очевидно - по смещению var_1C.
Итак, после выполнения функций SendDlgItemMessageA текущее состояние регистров сохраняется в стеке с помощью команды pusha, затем в регистры ecx, edx и eax записывается по одному байту одной из строк. В результате каждый из регистров принимает вид: 000000##. Затем:
- Команда SHL сдвигает битовое содержимое регистра eax на 1 байт или, другими словами, умножает арифметическое содержимое на 100 в шестнадцатиричной системе или на 256 в десятичной. В результате еах принимает вид 0000##00 (например, 00001200).
- Выполняется операция OR между полученным значением eax и регистром ecx в виде 000000## (пусть это будет 00000034). В результате еах будет выглядеть так: 00001234.
- В «освободившийся» есх записывается последний, четвертый байт строки.
- Содержимое еах снова сдвигается на байт, освобождая место в младшем байте для следующей команды OR. Теперь еах выглядит так: 00123400.
- Инструкция OR выполняется, на этот раз между еах и edx, который содержит, допустим, 00000056. Теперь еах - 00123456.
- Повторяются два шага SHL eax,8 и OR, в результате чего новое содержимое ecx (00000078) добавляется в «конец» еах. В итоге, еах хранит значение 12345678.
В чем смысл этих операций? Выяснить очень просто даже на практике, без теории. Поставим в отладчике брейкпойнт, например, на инструкции push eax (перед самым вызовом подфункции) и запустим программу на выполнение. Кейген запустится, попросит ввести строки. Введя qwer и tyui и остановившись на брейкпойнте, смотрим значение еах: 72657771. Декодируем в текст: rewq. То есть физический смысл этих операций - инверсия строки.
Теперь мы знаем, что в sub_401100 передается одна из исходных строк, перевернутая задом наперед, в размере двойного слова, целиком умещающаяся в любом из стандартных регистров. Пожалуй, можно взглянуть на инструкции sub_401100.
Еще один относительно длинный кусок кода
sub_401100 proc near var_4= dword ptr -4 arg_0= dword ptr 8 push ebp mov ebp, esp push ecx push ebx push esi push edi pusha mov ecx, mov eax, ecx shl eax, 10h not eax add ecx, eax mov eax, ecx shr eax, 5 xor eax, ecx lea ecx, mov edx, ecx shr edx, 0Dh xor ecx, edx mov eax, ecx shl eax, 9 not eax add ecx, eax mov eax, ecx shr eax, 11h xor eax, ecx mov , eax popa mov eax, pop edi pop esi pop ebx mov esp, ebp pop ebp retn sub_401100 endp
В самом начале здесь ничего интересного - состояния регистров заботливо сохраняются в стеке. А вот первая команда, которая нам интересна - следующая за инструкцией PUSHA. Она записывает в есх аргумент функции, хранящийся по смещению arg_0. Потом это значение перекидывается в еах. И обрезается наполовину: как мы помним, в нашем примере в sub_401100 передается 72657771; логический сдвиг влево на 10h (16 в десятичной) превращает значение регистра в 77710000.
После этого значение регистра инвертируется инструкцией NOT. Это значит, что в двоичном представлении регистра все нули превращаются в единицы, а единицы - в нули. Регистр после выполнения этой инструкции содержит 888ЕFFFF.
Инструкция ADD добавляет (прибавляет, плюсует, и т.д.) получившееся значение к исходному значению аргумента, которое все еще содержится в регистре есх (теперь понятно, зачем было записывать его сначала в есх, а затем в еах?). Результат сохраняется в есх. Проверим, как будет выглядеть есх после выполнения этой операции: FAF47770.
Этот результат копируется из есх в еах, после чего к содержимому еах применяется инструкция SHR. Эта операция противоположна SHL - если последняя сдвигает разряды влево, то первая сдвигает их вправо. Подобно тому, как операция логического сдвига влево эквивалентна умножению на степени двойки, операция логического сдвига вправо эквивалентна такому же делению. Посмотрим, какое значение окажется результатом этой операции: 7D7A3BB.
Теперь совершим еще одно насилие над содержимым еах и есх: инструкция XOR - сложение по модулю 2 или «исключающее ИЛИ». Суть этой операции, грубо говоря, в том, что в результат ее равен единице (истине) только, если операнды ее раЗнозначные. Например, в случае 0 xor 1 результатом будет истина, или единица. В случае 0 xor 0 или 1 xor 1 - результатом будет ложь, или ноль. В нашем случае в результате выполнения этой инструкции применительно к регистрам еах (7D7A3BB) и есх (FAF47770) в регистр еах запишется значение FD23D4CB.
Следующая команда LEA ecx, элегантно и непринужденно умножает еах на 9 и записывает результат в есх. Затем это значение копируется в edx и сдвигается вправо на 13 разрядов: получаем 73213 в еdx и E6427B23 в есх. Затем - снова ксорим есх и edx, записывая в есх E6454930. Копируем это в еах, сдвигаем влево на 9 разрядов: 8А926000, затем инвертируем это, получая 756D9FFF. Прибавляем это значение к регистру есх - имеем 5BB2E92F. Копируем это в еах, сдвигаем вправо аж на 17 разрядов - 2DD9 - и ксорим с есх. Получаем в итоге 5BB2C4F6. Затем… затем… что там у нас? Что, все?..
Итак, мы сохраняем это значение в область памяти по смещению var_4, загружаем из стека состояния регистров, снова берем из памяти итоговое значение и окончательно забираем из стека оставшиеся там состояния регистров, сохраненные в начале. Выходим из функции. Ура!.. впрочем, радоваться еще рано, пока что на выходе из первого вызова функции мы имеем максимум - четыре полупечатных символа, а ведь у нас еще целая необработанная строка есть, да и эту еще к божескому виду привести надо.
Перейдем на более высокий уровень анализа - от дизассемблера к декомпилятору. Представим всю функцию DialogFunc, в которой содержатся вызовы sub_401100, в виде С-подобного псевдокода. Собственно говоря, это дизассемблер называет его «псевдокодом», на деле это практически и есть код на С, только страшненький. Глядим:
Нужно больше кода. Нужно построить зиккурат.
SendDlgItemMessageA(hDlg, 1000, 0xDu, 0xAu, (LPARAM)&lParam); SendDlgItemMessageA(hDlg, 1001, 0xDu, 0xAu, (LPARAM)&v15); v5 = sub_401100((char)lParam | ((SBYTE1(lParam) | ((SBYTE2(lParam) | (SBYTE3(lParam) << 8)) << 8)) << 8)); v6 = 0; do { v21 = v5 % 0x24; v7 = v21; v5 /= 0x24u; if (v7 >= 10) v8 = v7 + 55; else v8 = v7 + 48; v21 = v8; } while (v6 < 4); v22 = 0; v9 = sub_401100(v15 | ((v16 | ((v17 | (v18 << 8)) << 8)) << 8)); v10 = 0; do { v19 = v9 % 0x24; v11 = v19; v9 /= 0x24u; if (v11 >= 10) v12 = v11 + 55; else v12 = v11 + 48; v19 = v12; } while (v10 < 4); v20 = 0; wsprintfA(&v13, "%s-%s-%s-%s", &lParam, &v15, v21, v19); SendDlgItemMessageA(hDlg, 1002, 0xCu, 0, (LPARAM)&v13);
Это уже легче читать, чем ассемблерный листинг. Однако не во всех случаях можно положиться на декомпилятор: нужно быть готовым часами следить за нитью ассемблерной логики, за состояниями регистров и стека в отладчике… а потом давать письменные объяснения сотрудникам ФСБ или ФБР. Под вечер у меня особенно смешные шутки.
Как я уже сказал, читать это легче, но до совершенства еще далеко. Давайте проанализируем код и дадим переменным более удобочитаемые названия. Ключевым переменным дадим понятные и логичные названия, а счетчикам и временным - попроще.
То же самое, только переведенное с китайского на индусский.
SendDlgItemMessageA(hDlg, 1000, 0xDu, 0xAu, (LPARAM)&first_given_string); SendDlgItemMessageA(hDlg, 1001, 0xDu, 0xAu, (LPARAM)&second_given_string); first_given_string_encoded = sub_401100((char)first_given_string | ((SBYTE1(first_given_string) | ((SBYTE2(first_given_string) | (SBYTE3(first_given_string) << 8)) << 8)) << 8)); i = 0; do { first_result_string[i] = first_string_encoded % 0x24; temp_char = first_result_string[i]; first_string_encoded /= 0x24u; if (temp_char >= 10) next_char = temp_char + 55; else next_char = temp_char + 48; first_result_string = next_char; } while (i < 4); some_kind_of_data = 0; second_string_encoded = sub_401100(byte1 | ((byte2 | ((byte3 | (byte4 << 8)) << 8)) << 8)); j = 0; do { second_result_string[j] = second_string_encoded % 0x24; temp_char2 = second_result_string[j]; second_string_encoded /= 0x24u; if (temp_char2 >= 10) next_char2 = temp_char2 + 55; else next_char2 = temp_char2 + 48; second_result_string = next_char2; } while (j < 4); yet_another_some_kind_of_data = 0; wsprintfA(&buffer, "%s-%s-%s-%s", &first_given_string, &second_given_string, first_result_string, second_result_string); SendDlgItemMessageA(hDlg, 1002, 0xCu, 0, (LPARAM)&buffer);
У каждого из команды ][ - свои предпочтения по части софта и утилит для
пентеста. Посовещавшись, выяснилось, что выбор так разнится, что можно составить
настоящий джентльменский набор из проверенных программ. На том и решили. Чтобы
не делать сборную солянку, весь список мы разбили на темы. Сегодня мы разберем
отладчики и дизасемблеры — все, что понадобится для реверсинга приложений.
OllyDbg
Если ты хоть раз читал статьи о крякинге или, например, смотрел видеоуроки от
нашего реверсера Cr@wler’а, то имя "Ольки" тебе должны быть знакомо. Это
32-битный отладчик работающий на ring-3 с продуманным интерфейсом и полезными
функциями, которые существенным образом облегчают процесс отладки. В OllyDBG
встроен специальный анализатор, которые распознает и визуально обозначает
процедуры, циклы, константы и строки, внедренные в код, обращение к функциям API,
параметры этих функции и т.п. Для новичка (и не только) — это именно то, что
надо! В ходу до сих пор находится версия 1.10, а бета-версия второй ветки еще с
марта не претерпела изменений, однако уже сейчас можно оценить многочисленные
нововведения дебаггера. Работа ведется уже давно, и поэтому разработчику уже
есть что показать (прежде всего новый движок). Бету едва ли можно рассматривать
как основной инструмент для серьезных дел, поэтому спешу предупредить: о
стабильности нового движка пока приходится только мечтать, поэтому используй "бетку"
на свой страх и риск.
Тут надо сказать, что стал OllyDbg стандартным user-land отладчиком, взятым
на вооружение хакерами и они тут же захотели его улучшить. Появилось множество
нестандартных сборок: одни фиксят ошибки Ольги, другие расширяют функционал,
третьи – скрывают ее от протекторов. Недостаток - "движок" отладчика работает
через MS Debugging API, страдающий кучей врожденных ограничений, оставляющий за
собой множество трудноудаляемых следов и представляющий легкую мишень для
антиотладочных технологий.
Immunity Debugger
Известный мод одноименной фирмы, специализирующейся на безопасности и
скрестившей Ольгу 1.10 с Питоном – интерпретируемым языком, на котором очень
легко и быстро писать скрипты. Конечно, писать их можно прямо в Ольге, но это не
слишком удобно, все приходится делать вручную и решать типовые задачи (типа
поиска в памяти), которые уже давно решены.
В Immunity Debugger
входит множество библиотек, написанных на Питоне и
заточенных под хакерские нужды. Библиотеки вызываются из Питоновых программ,
среди которых значится и searchcrypt.py – отличное средство идентификации
следующих криптографических алгоритмов: AES, BLOWFISH, CAMELLIA, CAST, MD5, RC2,
RC5, RIPEMD160, SHA1, SHA256, SHA512.
Immunity Debugger используют многие специалисты по безопасности,
выкладывающие proof-of-concept expolit’ы, написанные на Питоне и предназначенные
для работы исключительно в среде данного отладчика. И хотя хакер с головой
разберется в алгоритме работы exploit’а и без Immunity Debugger’а, портируя
exploit на любой другой язык, рано или поздно отладчик оказывается на
компьютере, зачастую становясь основным инструментом, вытесняющим Ольгу.
YDbg
Популярный и очень мощный мод, основанный на Ольге 1.10 и собравший в своем
дистрибутиве огромное количество плагинов, скриптов, а также кучу других
полезных инструментов. В отличие от Immunity Debugger’а, ориентированного на
специалистов по безопасности, YDbg
писался хакерами и для хакеров, ломающих
защиты с протекторами (те активно сопротивляются такому положению дел и
напичканы анти-отладочными приемами, распознающими присутствие Ольги по главному
окну с ее именем и пунктам меню). Поэтому первое, что бросается в глаза при
запуске YDbg (исполняемый файл которого переименован из OLLYDBG.EXE в SND.exe),
это "покореженные" пункты меню. В частности, "Memory" превратилось в "M3m0ry", "SEH
chain" в "S3H chain", "Breakpoints" в "Br3akp01nts" и т. д. Словом, все
"хакерские" пункты изменены – попробуй их найти (естественно, в новых версиях
протекторов наверняка появится детекция YDbg, но пока он успешно скрывается от
кучи защит, палящих Ольгу). В состав дистрибутива YDbg входит 36 популярных
плагинов (и не нужно теперь рыскать по Сети в их поисках). Среди них затесался
настоящий бриллиант – IDA Sigs, название которого говорит само за себя. Да-да!
Это плагин, поддерживающий IDA-сигнатуры и отображающий их в виде комментариев к
вызываемым функциям в Ольге или в YDbg. Другой полезный плагин – red-hawk
("красный ястреб") представляет собой панельку инструментов, позволяющую, в
частности, одним движением мыши установить точки останова на нужные функции
(например, в Visual Basic’е это что-то типа __vbaStrCmp или __vbaStrCopy,
используемые для сравнения и копирования строк, соответственно). Начинающие
хакеры просто визжат от восторга, поскольку красный ястреб фактически является
учебником по взлому, а так попробуй догадаться, что нужно делать! Каталог \SCRIPT
содержит 637 скриптов, главным образом предназначенных для снятия различных
протекторов/упаковщиков исполняемых файлов и автоматизации всяких рутинных дел.
SoftICE
Всем известный (даже тем, кто к крякингу даже близко не подходил) отладчик
для Windows, работающий дна уровне ядра. В отличие от прикладного отладчика, как
например OllyDbg, SoftICE
способен приостановить все операции в Windows, что
очень важно для отладки драйверов. Работает в обход MS Debugging API, что
значительно усложняет антиотладку, однако, учитывая, что для разработчиков защит
soft-ice – враг номер один, практически все протекторы легко распознают его
присутствие в системе. Поэтому никак не обойтись без специальных расширений
(которые упомянем дальше). SoftICE был первоначально разработан компанией NuMega,
которая включала его в пакет программ для быстрой разработки
высокопроизводительных драйверов под названием Driver Studio, который
впоследствии был приобретён Compuware. Помнишь, сколько всевозможных мануалов
было по поводу установки Soft-Ice’а под Windows XP? Увы, начиная с висты,
отладчик не работает. Разработчики приостановили разработку в апреле 2006 года.
На официальном сайте его не найти и доступен только на торрентах.
Microsoft Debugger
Входит в состав WDK (Windows Driver Kit - бывший Driver Development Kit или
DDK), а также в комплект Debugging Tools. Оба они бесплатны, но WDK намного
больше по объему и требует предварительной регистрации для получения Windows
Live ID, в то время как Debugging Tools раздается без регистрации вместе с SDK,
в которую входит документация, заголовочные файлы, библиотеки и несколько
примеров, как надо писать плагины.
Microsoft Debugger
может работать как на прикладном уровне (ring-3), так и на
уровне ядра. Вплоть до XP ядерная отладка требовала, как минимум, двух машин,
соединенных COM-шнурком, но теперь достаточно и одной.
Поставляется в двух редакциях: windbg.exe – графический интерфейс и cdb.exe -
интерфейс командой строки. И та и другая являются лишь тонкими обертками вокруг
dbgeng.dll, в которой, собственно, и реализован основной отладочный "движок",
документированный протокол обмена. Поэтому, чтобы в очередной раз не писать
трассер с нуля, dbgeng.dll можно использовать в качестве "фундамента" при
написании универсальных распаковщиков исполняемых файлов.
Syser Kernel Debugger
Достойных отладчиков ядра всего три: SoftICE, Syser и Microsoft Kernel
Debugger, но SoftICE не работает на Висте и Server 2008, а Microsoft Kernel
Debugger – для хакерских целей не самый лучший вариант. Остается Syser
, который
хакеры взяли на вооружение и весьма активно используют. Написан он двумя
предприимчивыми китайскими реверсерами Wu YanFeng и Chen JunHao. По сути, Syser
— отладчик уровня ядра с графическим оконным интерфейсом. Позволяет отлаживать
как приложения, так и драйвера. Сочетает в себе функции IDA Pro, Softice и
Ollydbg. Поддерживает подсветку листинга дизассеблера, динамическую загрузку и
выгрузку, все команды отладчика SoftICE, полноценную работу с юникодом и
многопроцессорными системами. Проработаны многие мелочи: например корректно
работает буфер обмена, позволяющий копировать данные из уровня Ring 3 в уровень
Ring 0. Многие из операций можно автоматизировать с помощью скриптов. Надо
сказать, что Syser — преемник SoftICE, из которого, как говорят, были дернуты
целые модули. У него масса преимуществ, как, впрочем, масса недостатков, поэтому
реально его приходится юзать совместно с Microsoft Kernel Debugger.
GDB
GNU Debugger
– основной отладчик под UNIX, ориентированный на совершенно иной
тип мышления, чем все вышеперечисленные отладчики. Это не просто интерактивный
отладчик, скорее это станок с программным управлением, гибким и мощным
интерфейсом. Отлаживать с его помощью "честные" программы - одно удовольствие,
но в плане антиотладки дела обстоят плохо. GDB даже не пытается сопротивляться и
работает через библиотеку ptrace (которая на самом деле никакая не библиотека, а
системный вызов). GDB принципиально неспособен отлаживать программы, которые не
хотят, чтобы их отлаживали. А такие программы мало-помалу начинают появляться.
Естественно, помимо GDB существуют и другие отладчики для никсов, например,
Lin-Ice, но поскольку антиотладочные технологии под UNIX только-только начинают
развиваться, в большинстве случаев вполне сгодиться и GDB.
IDA Pro
IDA Pro
— это одновременно интерактивный дизассемблер и отладчик. Она
позволяет превратить бинарный код программы в ассемблерный текст, который может
быть применен для анализа работы программы. Правда, стоит сказать, что
встроенный ring-3 отладчик довольно примитивен. Он работает через MS Debugging
API (в NT) и через библиотеку ptrace (в UNIX), что делает его легкой добычей для
защитных механизмов. Но зато IDA Pro - интерактивный дизассемблер более чем с
десятилетней историей, первая версия которой увидела свет 6 мая 1991 года. Юрий
Харон вместе с Ильфаком начали работать в том направлении, куда еще никто не
вкладывал деньги. До этого дизассемблеры писались исключительно на пионерском
энтузиазме параллельно с изучением ассемблера и довольно быстро забрасывались.
Стоит ли удивляться, что парням удалось решить практически все фундаментальные
проблемы дизассемблирования, над которыми просто не хотели работать остальные
разработчики, зная, что быстрой отдачи не будет и проект потребует десятилетий
упорного труда. К пятой версии IDA Pro имела в своем арсенале все необходимое
для автоматической декомпиляции, причем не просто декомпиляции, а очень
качественной декомпиляции. На текущй момент последний резиз 5.5 от 12 июня.
Влюбленные в продукт пользователи генерят немало полезных плагинов, в том числе
поддерживающих разные скриптовые языки для написания сценариев в дополнение к
встроенному IDC. Например,
IdaRUB
добавляет поддержку Ruby, а
IDAPython — Python.
Тут надо сказать, что начиная с версии 5.4 IDAPython идет предустановленной в
дистрибутивы ИДЫ.
Hex-Rays
Дальше разработчики подумали и решили, что уж раз смогли получить
человеческий код на ассемблере, то неплохо дописать еще одну фичу, переводящую
китайскую ассемблерную грамоту в доступный и понятный листинг на языке Си.
Закипела напряженная работа, по ходу которой выявлялись все новые и новые
подводные камни, обход которых требовал времени, усилий и мозговой активности. В
итоге на свет появился , требующий обязательно установленную на компьютеру
ИДУ. Декомпилятору подается на вход бинарник, указывается ряд параметров, после
чего Hex-Rays выплевывает исходник на чистом C — в большинстве своем понятный и
доступный. Правда, спешить компилировать его обратно в бинарник не стоит, потому
как в большинстве случаев в момент компиляции ты увидишь столько ошибок, сколько
еще не видывал. Одна из причин — отсутствие поддержки в Hex-Rays ресурсов.
W32DASM
Отличный дизассемблер, удобный и понятный. Набор функций с точки зрения
профессионала довольно ограничен, да и вообще его пора отнести к инструментам из
прошлого века, но нет… W32DASM
выдает хороший листинг, и для новичков является
отличным вариантом понять и разобраться, что к чему. К тому же именно на него
опираются в многочисленных мануалов для новичков, в том числе нашим манулом для
начинающих "Крякинг — это просто" ().
DeDe
PEiD
Любой коммерческий продукт должен быть достаточно хорошо защищен.
Разработчики намеренно использует разного рода упаковщики и так называемые
протекторы, которые применяют разного рода антиотладочные средства, максимально
препятствующие взлому программы. Обойти их можно, но для этого нужно четко
представлять, что использовалось для защиты программы, какой плагин для
отладчика использовать — и от этого "крутиться". Изящно определить название и
версию упаковщик способна небольшая утилита PEiD
. Собственно, для этого она и
нужна.
PE Explorer
Программа для просмотра и редактирования PE-файлов — начиная с EXE, DLL и
ActiveX контролов, и заканчивая скринсейвверами SCR (Screensavers), апплетами
панели управления CPL, SYS и бинарниками для платформы Windows Mobile. По сути,
это не одна утилита, а целый набор тулз для того, чтобы посмотреть изнутри, как
работает программа или библиотека. Включает в себя просмотрщик заголовков,
экспорт вызовов API-функций, редактор ресурсов, дизассемблер.
Загрузка...
