starkelec Aug 25 2016 at 18:26

Reverse engineering тестового crackme от Лаборатории Касперского

2 min

29K

Information Security*Cryptography*Algorithms*Reverse engineering*

From sandbox

+46

Comments 23

troyanskiy Aug 25 2016 at 19:04

Круто!
Возможно я покажусь нубом в этом, хотя, так оно и есть, но нельзя ли просто поменять бинарники в местах, где происходит прыжок если условие не выполняется?
Например с je на jne?

JerleShannara Aug 25 2016 at 19:09

Это можно, но совершенно некрасиво. Ваш вариант — это «патч» от жадности, вышла новая версия — повторяй заново. Вариант автора — это «кейген», вышла новая версия — ничего не надо делать, если алгоритм ключа не сменили. Плюс вдруг далее где-то проверяется целостность кода, какие-то участки проверки не только проверяют ключ и т.д.

saboteur_kiev Aug 25 2016 at 19:15

Суть в том, что в статье алгоритм проверки ключа был полностью разбран.
А следовательно собеседование пройдет не тот, кто поменял первый je на jmp, а тот, кто смог разобрать все до конца.

starkelec Aug 26 2016 at 02:58

Всё правильно подмечено. Реверс-инжиниринг тем и отличается от крэкерства, что подразумевает полный разбор алгоритма защиты, а не его банальный обход безусловным переходом.

REU Aug 26 2016 at 11:31

«Крекерство» это не только смена переходов, а также кейгенинг, снятие навесных защит и многое другое.

troyanskiy Aug 26 2016 at 09:51

Это мне понятно, что чем детальнее разберешься как работает программа (кейген), тем больше шансов на получение работы в Лаборатории. У меня вопрос был чисто «спортивный» можно ли вообще подменять условия прыжков в бинарниках. И, судя по ответам, таки можно.
Спасибо!

UFO just landed and posted this here

starkelec Aug 26 2016 at 02:56

Да, вы совершенно правы. Я описался. Речь идет о двух разрядах.

RenatSh Aug 25 2016 at 22:45

А существует бесплатный или триальный Hex Rays?

0xcffaedfe Aug 25 2016 at 22:50

Нет, либо карженный, либо купленный

Deosis Aug 26 2016 at 06:59

Реверс-инженеры патчат бинарники новой версии из предыдущей.

xaizek Aug 27 2016 at 15:16

Ошибся веткой.

xaizek Aug 27 2016 at 15:16

Есть Evaluation Version и бесплатная IDA v5.0 (старая версия).

RenatSh Aug 27 2016 at 15:51

Вроде бесплатная IDA не содерджит Hex Rays

xaizek Aug 27 2016 at 17:04

А, т.е. Hex Rays это ещё и сам декомпилятор называется. Всегда считал IDA и Hex Rays двумя названиями одного и того же, а декомпилятор отдельным. Тогда ошибся.

dkv Aug 26 2016 at 07:00

В целом, ida здесь лишняя. Основная работа сделана через отладчик и его достаточно. Кстати, а что нынче есть подобное hiew, но для x64?

Ghost_nsk Aug 26 2016 at 09:08

Если память не изменяет, в 2013 была проблема с отладкой x64, и файлик видимо не спроста был такой. Думаю задача именно в умении реверсить без отладчика.

REU Aug 26 2016 at 11:33

Не было проблем.

Ghost_nsk Aug 26 2016 at 12:35

Просветите чем в то время для этого пользовались?

REU Aug 26 2016 at 13:17

IDA

REU Aug 26 2016 at 13:23

В 5.5 или даже в 5.2 можно было отлаживать х64.

Itachi261092 Aug 30 2016 at 11:29

Отличная статья! А может мне кто нибудь подсказать, насколько реально провести реверс-инжиниринг закрытого кода оси на mp4-плеерах cowon? Проблема в том, что родная ось и оболочка просто безобразны. Хотелось бы иметь возможность как то её кастомизировать. но о её коде вообще ничего не известно. через реверс-инжиниринг возможно разобраться в коде и написать свою кастомную версию прошивки?

dkv Aug 30 2016 at 19:42

Так это смотря, что за cowon. Во-первых, для части из них есть Рокбокс. Во-вторых, если для вашего плеера плеера нет Рокбокса, то и спрашивать нужно у комьюнити, почему его нет и как запилить. А в целом — берём полный образ прошивки, прогоняем её через binwalk и чешем репу в зависимости от выхлопа в консоли. Если прошивка закриптована, то ищем способы расшифровать либо снять дамп с памяти самого плеера. Учитывая, что там ARM, а не x86, ассмеблер там будет сильно другой и вот я, например, без декомпилятора его не понимаю вообще.

Show the best of all time