LEKCJA15.TXT

Lekcja XV - "Techniki lamamniu zabezpieczen keyfile"

Narzedzia:
1. Softice

-----------------------
     WSTEPNIAK
-----------------------

czy to ptak??.. nie!
czy to samolot??.. nie!
To muSzyn piszacy swoje teksty !
hi hi.. zawsze chcialem to powiedziec.. a ty co taki smutny.. hmm.. no co ci jest?? he he.. nie martw sie bedzie dobrze.. sam jeszcze pamietam swoje wejscia na crack scene (uhh.. ile tego bylo..)..
Ja bylem trudny przypadek... przejscie przez "brame" cracku.. tzn. zlamanie pierwszego proga przyszlo mi.. ekhm... az trudno mi to przez gardlo przechodzi... ponad 1,5 roku po tym jak zaczalem sie tym interesowac.... pamietam, to bylo 23 maja 199x roku w
8 klasie podstawowki.. ach co to byl za dzien... na nim zrobilem to pierwszy raz.. ach ! co to byl za dzien !! to byl on ! taki piekny vcdrom... szczegolnie ze... jak ostatnio patrzylem tlock'iem zabezpieczony a ten kto sie interesuje to wie ze zaraz na
poczatku wystarczy tylko odpowiedni rejestr wylukac i juz mamy serialka... teraz by mi to samo zajelo 3s... a wtedy siedzialem nad tym dwa dni!.. takie zycie moi mili... tak jestem tym przejety (mam juz plazme na mozgu) ze postanowilem wszystkie nowo wy
chodzace wersje tlock'a keygenowac... juz jednego mam na koncie.. 1:0 dla mnie (yeah!) ale malo mi ciagle tego badziewia.. a i jakbys mial info o jakis nowych progach zabezpieczonych tym badziewiem to mailme < muszyn@hoga.pl > i zapodaj jakis kontakt z t
ym progiem (link'a, chip itp..).. wtedy napewno podziele sie z toba efektami mojej pracy.. o kurde ale sie rozpisalem a ty czekasz i czekasz az skoncze pierniczyc i przejde do konkretow wiec zaczynajmy wreszcie nareszcie...

-----------------------
      LET'S GO
-----------------------

Po (dlugim??) krotkim wejsciu czas na jakis pierniczony konkret.. nie?? Tym razem mamy cosik innego niz do tej pory wiec warto przeczytac... nauczyc sie czegos nowego az w koncu przerobic caly ten kursik i zaczac (wreszcie) lamac samemu...

-----------------------
  OPIS ZABEZPIECZENIA
-----------------------

Tym razem mamy zabezpieczenie typu "keyfile". Tak chlopak, widze jak ci juz mozg sciska. To zabezpieczenie charakteryzuje sie tym ze wszystkie dane potrzebne do rejestracji znajduja sie w pliku. Ogolnie program zabezpieczony keyfile musi zrobic jedna rze
cz, a mianowicie musi OTWORZYC plik... tak, juz widze ten twoj crackerski usmieszek... tu go lapiemy...
Uscislajac i zwezajac temat program zabezpieczony keyfile musi wykonac nastepujace czynnosci:
- otworzyc plik (o tym juz sobie powiedzielismy ;-])
- odczytac z niego odpowiedni string...
- jako ze pobral juz to co go interesowalo.. to moze dalej robic/mieszac/kodowac/dekodowac i wogole wszystko co normalnie robi z wpisywanym serialem/haslem,

Zabezpieczenie takie ma jedna wade.. cholernie latwo jest je zlapac... Ale znow ma zalete.. do pliku mozesz zapisywac wartosci ktorych z klawiatury nie wprowadzisz tzn. z klawiatury mozesz wprowadzic wartosci od 21h do ok. 7Eh (gornej granicy dokladnie n
ie znam ale to jest cos kolo podanej wartosci plus special char). Pod win otwieranie pliku odbywa sie poprzez wywolanie funkcji:

CreateFileA

Nastepnie odczytywanie:

ReadFile

ew. zapisywanie:

WriteFile

jeszcze podczas operacji na plikach czesto spotykane sa:
SetFilePointer
GetFileSize

ale uzywanie ich do zlapania programu jest.. ekm... durne... tak nawet sobie nie wyobrazacie jak duzo moze byc setfilepointer w jednym programie podczas jego inicjacji... powiem tylko ze przeszedlem to na wlasnej skorze i moze byc baaardzo duzo... ponad
godzine ctrl-d ciskalem po zalozeniu tej pulapki...;-))
Obecnie zabezpieczenie typu keyfile jest przynajmniej przeze mnie coraz rzadziej a wlasciwie prawie wcale spotykane. Coraz wiecej programow kryje swoje zabezpiecznie w rejestrze win i chyba na tym trzeba skupic swoje dzialania. Ale my mamy keyfile i musi
my to polamac bo przeciez co to za cracker co keyfile nie lamal...

-----------------------
   ROZPRACUJMY TO
-----------------------

Jak juz wczesniej powiedzielismy do otwierania pliku sluzy funkcja CreateFileA, sluzy ona nie tylko do otwierania, rowniez do tworzenia i takich tam roznych zwiazanych z tym rzeczy.
Mysle ze juz mamy wszystkie informacje aby powolutku zaczac lamac keyfile. Uruchom test_crackme nr 4. Od razu dostajesz wiadomosc ze jeszcze nie scrackowales tego crackme... wiec czas mu pokazac szkole.. no ale co to.. popatrz na naglowek okna,, he .. "u
ncracked".. co znaczy ze test_crackme nie jest jeszcze sccrackowane, patrzysz nie ma miejsca zeby wpisac haslo czy cos.. aaaaah tak.. no zapomnialem.. przeciez to keyfile... i wszystkie dane pobiera z pliku... ale jakiego pliku??? wogole to skad on wiedz
ial ze ja go jeszcze nie zcrackowalem?? odpowiedz sie nasuwa sama... wiedzial ze nie jest zcrackowany po tym ze nie znalazl pliku.. jakiego?? zamknij crackme.. zaloz pulapke w si na createfilea:

bpx createfilea

juz masz??.. oki.. na poczatek musisz wiedziec ze si przerwie ci na kazdym wywolaniu createfilea... inaczej mowiac przerwie na kazdej PROBIE otwarcia/utworzenia pliku, a probie dlatego ze otwarcie pliku moze sie niepowiesc np. dlatego ze pliku nie ma jak
 rowniez tworzenie tez moze sie nie powiesc chocby dlatego ze jest pelen dysk, a dla nas to nawet lepiej bo my niemamy pliku a tak bedziemy wiedzieli kiedy i co chce otworzyc... jesli zalozyles pulapke to teraz wyjdz z si.. i uruchom test_crackme... i co
?? przerwal?? no pewnie ze tak... ale jak juz powiedzielismy wczesniej przerwie na kazdej probie otwarcia pliku a klikajac dwukrotnie na ikone test_crackme.. probowales go otworzyc a nas nie interesuje test_crackme tylko jakis plik ktory powinien byc na
zewnatrz.. wiec ctrl-d.. i juz jestesmy spowrotem.. teraz F11 i widzisz cos takiego:

015F:00401048  68000000C0          PUSH      C0000000
015F:0040104D  682F314000          PUSH      0040312F <- XXX
015F:00401052  E8A7010000          CALL      KERNEL32!CreateFileA

tu jest bardzo wazny kawalek kodu... poza tym ze jest to wywolanie funkcji odpowiedzialnej za tworzenie/OTWIERANIE plikow... to bardzo latwo mozna sprawdzic co jest otwierane/tworzone poprzez ta funkcje a konkretnie jaka nazwe nosi ten obiekt.. a robi si
e to w sposob nastepujacy.
Pamietasz jak mowilem o getwindowtexta i o odnajdywaniu adresu pod korym jest zapisywane haslo... w ten sam sposob odnajdujemy otwierany/tworzony obiekt po wywolaniu funkcji createfilea.. z ta tylko drobna roznica ze argument nas interesujacy to nie prze
dostatni tylko... ostatni, czyli to jest ten oznaczony XXX... no to jesli chcesz wiedziec co chce otwierac/tworzyc ta funkcja wystarczy ze zapodasz:

d 0040312F [enter]

i nagle jak swiatlem porazony zobaczyles tajemniczy ciag:

crackme.key

he.. pomysl, co to moze byc?? ja nic nie mowie.. sprobuj sie domyslic.. ekkh... znow musze ci powiedziec?? dobra, ale to juz ostatni raz... otoz to jest potrzebny plik.. w zasadzie to tylko jego nazwa... ale to juz bardzo wiele.... no ale mozesz przeciez
 zapytac, "skad komputer wie czy plik jest czy tez go nie ma?? czy to jest wbudowane w srodku funkcji czy moze programista dopisal jakas procke sprawdzajaca to??".. powiem ze sprawdzenie takie jest bardzo proste do zrobienia i jest zaraz po wywolaniu fun
kcji:

015F:00401057  83F8FF              CMP       EAX,-01
015F:0040105A  0F84A8000000        JZ        00401108

tu mamy porownanie rejestru eax z -01. A czymze niby jest -01.... no wiec -01==FFFFFFFF a funkcja createfilea zwraca w przypadku niepowodzenia w rejestrze eax wartosc -01 czyli FFFFFFFF... a w przypadku powodzenia jakas tam inna wartosc ktora jest uchwyt
em pliku, ale to material na calkiem inny tutorial... nas intersuje to ze jezeli plik nie zostanie OTWARTY/utworzony do funkcja zwraca -01 (FFFFFFFF) a w przeciwnym wypadku liczbe rozna od -01 (FFFFFFFF) czyli moze to byc 0111h jak rowniez setki innych..
.
Wiec wniosek az sam pedzi do glowy... jezeli zaraz po wywolaniu funkcji porownamy zawartosc rejestru eax z -01 (FFFFFFFF) to jesli wynik bedzie pozytywny (wartosci beda takie same -  np. flaga Z ustawiona) to eax == -01 (FFFFFFFF) a to znaczy ze pliku ni
e ma... czyli dla naszego kawalka kodu jesli skok "jz" sie wykona to pliku nie ma... a my znajac nazwe pliku prawidlowego mozemy go utworzyc i w ten sposob pozbedziemy sie problemu z nie znalezieniem a w konsekwencji nie otwarciem pliku, co powoduje wyko
nanie skoku "jz" a my nie chcemy zeby sie wykonal wiec tworzymy plik, jaki??
to juz chyba pamietasz a jesli nie no to masz:

crackme.key

i teraz jesli go stworzyles znow zakladasz pulapke na createfilea i jedziesz dalej...
Teraz musisz dojsc do tego momentu na ktorym skonczylismy... juz jestes?? no to mozemy zawijac dalej (w te sreberka ;-])
Zobacz, teraz po wywolaniu funkcji w eax nie ma -01 (FFFFFFFF) jest jakas inna wartosc... czyli w naszym przypadku plik zostal OTWARTY... a jesli zostal otwarty to skok "jz" sie nie wykona czyli nasza przewaga i mozemy analizowac dalej kod:

015F:00401060  A351314000          MOV       [00403151],EAX

mozesz sie zastanawiac co to jest ale powiem ci ze to nas nie interesuje.. jesli bys chcial wiedziec co to robi to ci powiem.. ale krotko. Pamietasz jak wczesniej mowilem, ze w eax jest zwracany uchwyt pliku.. no i tu wlasnie ten uchwyt jest przenoszony
do zawartosci adresu 00403151... no ale teraz mozesz zapytac.. "co to jest ten uchwyt??".. nie bede sie nad tym rozwijal.. mozna ta liczbe uznac za taka raczke. Wez zagotuj sobie wody w czajniku.... po zagotowaniu woda jest goraca i czajnik ma temperatur
e ponad 100 C...i gdyby nie raczka ktora jest wmontowana w czajnik nie mogl bys zlapac tego czajnika.. no chyba ze jestes wytrzymaly na taki bol.. ale zakladam ze nie... a pomysl sobie ze ta raczka by byla na tym czajniku calyczas.. tylko nie wiedzialbys
 gdzie ona jest.. i ktos musialby ci dopiero powiedziec gdzie ona jest abys mogl wziac ten czajnik... i podobna sytuac...