Hacking, während Sie schlafen wieder Wie die Seriennummer eines Programms mit OllyDbg bekommen
Vor einigen Monaten habe ich an so etwas wie ein „Hacker-Wettbewerb“ einen Job in einem CERT zu erhalten. Einer der Tests bestand darin, die Seriennummer eines einfachen Programms zu bekommen. Der Veranstalter schickte mir eine ausführbare Datei namens reversing_test.exe
Wir werden mit OllyDbg v1.10 arbeiten. Sie können dieses fantastische Tool von hier herunterladen: OllyDbg v1.10.
Sie können die Details im Bild unten sehen.
Das erste, was ich in der Regel in diesen Fällen zu tun ist zu prüfen, ob die ausführbare Datei komprimiert ist oder nicht. Einige Programme packen einige ihrer Codes, um unseren Versuch zu begrenzen, um statisch zu analysieren. Um dies zu erreichen Zweck wir PEiD verwenden werden. Im Bild unten sehen Sie, dass das Programm keine Kompression „Im Moment gibt *“ erkennt. Wenn die Datei mit UPX beispielsweise komprimiert wurden, würde das Programm beraten uns darüber, und wir konnten es mit diesem Tool dekomprimieren.
Wenn wir auf der „EP Abschnitt“ unten klicken, werden wir einige ausführbare Details sehen.
Wir können die R. Größe (Raw Size) "400" und die Bildhöhe (Virtual Size) "350" sind ähnlich in ".text" sehen. Der .text Abschnitt enthält die Anweisungen, die die CPU ausführt, und es sollte der einzige Abschnitt sein, der den Code enthält. Wenn eines Tages erkennen Sie, dass die R.Size „0“ ist und die Bildhöhe ist „1000“ zum Beispiel, wäre es ein Indikator dafür sein, dass die ausführbare Datei, weil in der Platte komprimiert wird es keine Größe hat (es ist verpackt ) und im Speicher hat eine Größe (es selbst ausgepackt).
Der nächste Schritt wäre, das Programm durch einen Doppelklick auf die ausführbare Datei auszuführen. Danach können wir ein MS-DOS-Fenster gestartet wird und das Programm erfordert, dass wir die Seriennummer eingeben, dass. Wir geben einen Satz, um das Verhalten des Programms zu überprüfen.
Nun werden wir OllyDbg laufen. Es benötigt keine Installation, es einfach herunterladen und dekomprimieren. Wenn OllyDbg geöffnet wird, laden Sie einfach die ausführbare Datei klicken auf Datei -> Öffnen.
Jetzt können wir den binären Code. Keine Sorge, erinnert Dieser Beitrag ist auf Anfänger ausgerichtet. Wir werden auf die Play-Taste, um auf die ausführbare gerade geladen in unserem Debugger und überprüfen Sie die Datei Verhalten auszuführen.
Das Programm hat begonnen und wir können die Premieren Zeichenketten wie „Drücken Sie die Eingabetaste beenden“ sehen.
(Bitte klicken Sie auf das Bild, um die gesamten Details zu sehen)
Aber. Etwas passiert. Das Programm erfordert uns nicht die Seriennummer eingeben, wie es geschieht, wenn wir die Anwendung öffnen, ohne einen Debugger zu verwenden. Es ist wirklich seltsam. Es ist wie das Programm über unsere Absichten kennt und es wird von selbst geschlossen, wenn wir versuchen, es mit einem Debugger-Tool auszuführen.
Wenn wir die Datei erneut auf OllyDbg, eine Zeile des Codes lenkt unsere Aufmerksamkeit neu zu laden. Das Programm ruft zum „IsDebuggerPresent“ API.
Wenn wir diese API auf Microsoft suchen können wir sehen, dass „Mit dieser Funktion eine Anwendung ermöglicht es zu bestimmen, ob es gedebuggt wird, so dass sie ihr Verhalten ändern können“.
Ok, wird das Programm geschlossen, wenn es geöffnet ist innerhalb eines Debuggers. Es gibt viele Optionen, die von dieser Technik wurde erkannt zu vermeiden. Um dies zu erreichen Zweck wir die „Hide Debugger 1.2.4“ Plugin verwenden wollen. Einfach herunterladen und entpacken Sie die DLL in der gleichen OllyDbg Ordner.
Es ist notwendig, OllyDbg neu starten, um mit diesem Plugin zu arbeiten. Wenn Sie auf Plugins Registerkarte klicken, können Sie Debugger-Plugin ausblenden sehen. Sie brauchen nichts anderes zu tun.
Wir haben gerade das Plugin installiert zu vermeiden, entdeckt zu werden, und jetzt werden wir wieder laden und die ausführbare Datei zu spielen. Jetzt wird das Programm erfordert die Eingabe der Seriennummer. Großartige Neuigkeiten.
Wir werden einen Satz schreiben, die leicht erkennbar sein wird.
Wenn wir wieder nach OllyDbg kommen können wir unseren Satz im Arg1 sehen.
(Bitte klicken Sie auf das Bild, um die gesamten Details zu sehen)
Wenn wir für diesen Satz durch den Code weiterhin suchen, können wir den Code unten finden. Wir können die String2 = „28939387“ sehen, die String1 = „Ich werde jetzt in OllyDbg für diesen Satz zu suchen.“, Und die API-Aufruf CompareStringA.
Wir können herausfinden, dass die ausführbare Datei diese Strings, um miteinander vergleicht für Sie zu prüfen, ob beide den gleichen Wert haben. Wir können annehmen, dass die Zeichenfolge „28939387“ ist die Seriennummer.
(Bitte klicken Sie auf das Bild, um die gesamten Details zu sehen)
OllyDbg bietet uns den Wert dieser Linie mit der linken Maustaste auf die Linie interessiert sind wir zu kopieren.
Dann werden wir die Linie der Wert auf dem Merkzettel kleben und dann werden wir nur die „String2“ Wert kopieren: 28.939.387.
Am Ende müssen wir nur noch versuchen, den Wert einfügen nur in unserem Programm kopiert und. Gut. Wir haben die Seriennummer unseres Programms erhalten.
Dieser Beitrag könnte auf viele der einfachen Programmen, die eine keygen integriert haben angewendet werden, aber es ist notwendig, mehr Wissen zu haben, wenn Sie komplexere Programme knacken wollen.