Enciclopedia Del Reversing.pdf

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

INDICE Il Reversing §Piccola introduzione sulla CPU e come funziona............................................ .............................................................6 .................6 §Sistemi §Sistemi di enumerazione !ecimale"#inario e esadecimale$...............................7 §Gli strumenti del reverser............................................ ................................................................... .............................................. ................................9 .........9

§Concetti #ase sul reversing §PE........................................... PE.................................................................. .............................................. .............................................. ....................................17 .............17 §EP/OEP.......................................... OEP................................................................. .............................................. .............................................. ............................17 .....17 §Packer................................. Packer........................................................ .............................................. .............................................. ........................................17 .................17 §Dump...................................... Dump............................................................. .............................................. .............................................. ....................................17 .............17 §Sus!stem............................... Sus!stem...................................................... .............................................. .............................................. ....................................17 .............17 §"reackPoint................................ "reackPoint....................................................... .............................................. .............................................. ................................1# .........1# §Hen$le................................ Hen$le....................................................... .............................................. .............................................. ........................................1# .................1# §%rhea$.................................... %rhea$........................................................... .............................................. .............................................. ....................................1# .............1# §&rack'E................................ &rack'E....................................................... .............................................. .............................................. ....................................1# .............1# §Stack.................................. Stack......................................................... .............................................. .............................................. ........................................19 .................19 §(egistri ............................................ ................................................................... .............................................. .............................................. ........................)* .)* §+a memoria................................... memoria.......................................................... .............................................. .............................................. ............................)1 .....)1 §(,' - (O'........................................ (O'............................................................... .............................................. ................................)1 .........)1 §Signature.................................... Signature........................................................... .............................................. .............................................. ................................)1 .........)1 §+importana $el linguaggio.................................. linguaggio......................................................... .............................................. ............................)0 .....)0

§Concetti di #ase sulle %PI e i &reac'point §,P 2tili............................................... 2tili...................................................................... .............................................. .............................................. ...................................)6 ............)6 §Istruzioni di linguaggio assem#l( §&osa sono..................................... sono............................................................ .............................................. .............................................. .......................................... ................... )# §'O3.......................................... 'O3................................................................. .............................................. .............................................. .............................................) ......................)## §&'P........................................... .................................................................. .............................................. .............................................. ............................................) .....................)99 §4'P - &on$iionali 54e4................................... 54e4.......................................................... .............................................. ........................................0* .................0* §&,++ - (E%............................................................ (E%................................................................................... .............................................. ...................................01 ............01 §8% ........................................... .................................................................. .............................................. .............................................. .............................................0 ......................0)) §)e protezioni §Serial.......................................... Serial................................................................. .............................................. .............................................. .............................................. .......................00 00 § 8ag .............................................. ..................................................................... .............................................. .............................................. ..........................................06 ...................06 §%rial - Sca$ene .............................................. ..................................................................... .............................................. ............................................ .....................** §Packer - 2npaking............................... 2npaking...................................................... .............................................. .............................................. .................................. ...........


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

INDICE Il Reversing §Piccola introduzione sulla CPU e come funziona............................................ .............................................................6 .................6 §Sistemi §Sistemi di enumerazione !ecimale"#inario e esadecimale$...............................7 §Gli strumenti del reverser............................................ ................................................................... .............................................. ................................9 .........9

§Concetti #ase sul reversing §PE........................................... PE.................................................................. .............................................. .............................................. ....................................17 .............17 §EP/OEP.......................................... OEP................................................................. .............................................. .............................................. ............................17 .....17 §Packer................................. Packer........................................................ .............................................. .............................................. ........................................17 .................17 §Dump...................................... Dump............................................................. .............................................. .............................................. ....................................17 .............17 §Sus!stem............................... Sus!stem...................................................... .............................................. .............................................. ....................................17 .............17 §"reackPoint................................ "reackPoint....................................................... .............................................. .............................................. ................................1# .........1# §Hen$le................................ Hen$le....................................................... .............................................. .............................................. ........................................1# .................1# §%rhea$.................................... %rhea$........................................................... .............................................. .............................................. ....................................1# .............1# §&rack'E................................ &rack'E....................................................... .............................................. .............................................. ....................................1# .............1# §Stack.................................. Stack......................................................... .............................................. .............................................. ........................................19 .................19 §(egistri ............................................ ................................................................... .............................................. .............................................. ........................)* .)* §+a memoria................................... memoria.......................................................... .............................................. .............................................. ............................)1 .....)1 §(,' - (O'........................................ (O'............................................................... .............................................. ................................)1 .........)1 §Signature.................................... Signature........................................................... .............................................. .............................................. ................................)1 .........)1 §+importana $el linguaggio.................................. linguaggio......................................................... .............................................. ............................)0 .....)0

§Concetti di #ase sulle %PI e i &reac'point §,P 2tili............................................... 2tili...................................................................... .............................................. .............................................. ...................................)6 ............)6 §Istruzioni di linguaggio assem#l( §&osa sono..................................... sono............................................................ .............................................. .............................................. .......................................... ................... )# §'O3.......................................... 'O3................................................................. .............................................. .............................................. .............................................) ......................)## §&'P........................................... .................................................................. .............................................. .............................................. ............................................) .....................)99 §4'P - &on$iionali 54e4................................... 54e4.......................................................... .............................................. ........................................0* .................0* §&,++ - (E%............................................................ (E%................................................................................... .............................................. ...................................01 ............01 §8% ........................................... .................................................................. .............................................. .............................................. .............................................0 ......................0)) §)e protezioni §Serial.......................................... Serial................................................................. .............................................. .............................................. .............................................. .......................00 00 § 8ag .............................................. ..................................................................... .............................................. .............................................. ..........................................06 ...................06 §%rial - Sca$ene .............................................. ..................................................................... .............................................. ............................................ .....................** §Packer - 2npaking............................... 2npaking...................................................... .............................................. .............................................. .................................. ...........


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

§ 8ormal 2npack........................... 2npack.................................................. .............................................. .............................................. ...............................6 ........6 §'anual 2npack............................... 2npack...................................................... .............................................. .............................................. ...........................9 ....9 §,$vance 2npack................................. 2npack........................................................ .............................................. .............................................. .......................0 0 §,ccenno a$ altri meto$i $i Packing ................................................. ........................................................................ .......................6 6 §(i;erimenti esterni a ;ile o registro .............................................. ..................................................................... ........................................60 .................60 §*ozioni e trucc+i di reversing §,ilitare un ottone ............................................ ................................................................... .............................................. .........................................6 ..................6 §(icostruire le mporte cosa sono.......................................................... sono................................................................................. ..............................6 .......6 §E;;ettuare un $ump...................................... $ump............................................................. .............................................. .............................................. ..........................6 ...6 §Oltrepassare la su$ola tecnica $ei caratteri con Oll!Dg....................................... Oll!Dg..................................................66 ...........66

§Il reversing di Visual #asic ,-$............................................ ................................................................... .............................................. ...............................67 ........67

§I crac' commerciali"reversing serio /tutorial0 §Paci;ic assault <+ivello =........................................... .........................................................7 ..............7 §,>e <+ivello =.........................................................77 §Dama Delu> <+ivello =..........................................................# §I tool utili di Ctrl_alt_canc............................................. .................................................................... .............................................. ........................................## .................## §Ringraziamenti e saluti............................................. .................................................................... .............................................. .............................................. .......................#9 #9


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

l reversing. Parola ricca $i misteroe se utiliata nella sua variante ?volgare@cracking$iventa un sogno agognato $a tutti. "isogna perA innanitutto $istinguere letica $ei reverser $a Buella $ei pirati.  piratiruano vi$eogame o so;tCare e li $istriuiscono craccati per internet.  reverser sono invece coloro che craccano i su$$etti so;tCare ma sena ;ine $i lucro. 8el mon$o $el reversing in;atti mai e poi mai imparerete a ?crakkare@ un vi$eogioco pren$en$o $a internet la ?crack@ e piaan$ola nella cartella $i gioco. uesto *1*  reversing lamering. %uttora sono circon$ato $i gente che a;;erma $i essere cracker. Fantastico. Parliamo un po$immi che ne pensi $elle nuove proteioni che stanno pian piano intro$ucen$o le case $i so;tCareG  ke!gen sono sempre pi inutilimeglio sra$icare la proteione se possiile piuttosto che carpirne lalgoritmo. Di;;icile runnare leseguiile protetto $a har$Care ;ingerprint su tutti i P& $opo averlo craccato. +a reaione ?tipo@ $i uno $i Buesti in$ivi$ui : “Di che cazzo parli?Cioè,ma hai visto che cavolata craccare san andreas? Cioè potevano anche sforzarsi di più...”

EggiIper ;ortuna che mettono i rea$me altrimenti non saresti neppure capace $i copiare leseguiile.K Essen$o Buesto il livello me$io $i un utente che si limita a scaricare eseguiili craccati $a altriho $eciso $i sten$ere Buesta gui$a. %uttora le autoritI non $istinguono il piratache si limita a scaricare le crack usate $a altrie il S8&E(O ;ine $i stu$io $el reverser. 5, me non ;rega un cao avere programmi a pagamento craccatitanto ci sono spessissimo i corrispon$enti open source. l reversing  una ;orma $arte e se praticata con perseverana e sena ossessione puA $iventare un ottimo calmante per la mente. &omattiamo per Buesto i$eale. Purtroppo $evo avvertirvi che per inoltrarvi in Buesto mon$o  necessario avere almeno $ei ru$imentali ;on$amenti anche su aspetti meno pratici $el reversing 5Buin$i mettete via Buegli schi;osi $eugger che state scal$an$osperan$o che si inii suito con un el crack commerciale. n;atti i ;on$amenti a cui mi ri;erisco sono Buelli $ella programmaione e $el ;unionamento $el vostro P&. 8onon limitatevi allapparena. 8on un har$ $isk $a cui si leggono i $atiuno schermo con cui leggere i $ocumenti e via $icen$o. Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

+e noioni che seguiranno sono aastana complicate 5ma $a me esplicate nel mo$o pi semplice possiile. 3i premetto che Bueste in;ormaioni sono necessarie al reversersono laria che respiraaltrimentiin mancana $i Buesti ;on$amenti sarI soltanto un povero user che tenta $i seguire malamente un tutorial. n;atti la gui$a segue un or$inato meto$o $i appren$imentosu$$iviso in seioni logichecorre$ato $a almeno un esempio pratico per seione. 8on scoraggiatevi e stu$iateJ NB.: Se sei un lamer che legge questa guida per crakkare un videogame o un programma perchè sei furbo e non hai voglia di pagarlo,fa pure. Tanto non ci capirai un cazzo !

NBB.: "a guida è stata corretta e revisionata con attenzione da #redator $http:%%ne&enteam.net%' che con pazienza ha dato il supporto tecnico necessario ad una stesura semplice ed efficace del documento che vi accingete a leggere.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

l vostro computer ha un centro ove vengono svolte tutte le operaioni. uesto  la &P2 5&entral Process 2nit. &i sono molti tipi $i processori. n particolare noi ci occuperemo $i Buelli ntel. uesta ;aricuccia $i processori $ivenne incre$iilmente ;amosa negli anni 7* Buan$o incominciA a pro$urre microprocessori sempre pi veloci e sempre compatiili. &osa vuol $ire compatiiliG 3uol $ire che un programma che girava sul vecchissimo #*#6 gira pure su un pentium. uesto perch linterprete $ei coman$i inari  rimasto lo stesso. l linguaggio con cui si programmava su Buelle macchine 5e sto parlan$o $el linguaggio alto cio il linguaggio ase su cui tutto poggia  rimasto costante. ,l contrario varie altre case pro$uttive creavano processori ma che non comunicavano luno con laltro. ,nche se puA semrare il contrariola &P2 ;a eseguire solo una operaione alla volta. PerA ci sono $a $ire ) cose: 1 +a velocitI $i ;unionamento semra che le ;accia partire in contemporanea ) +a &P2 ha la possiilitI $i mettere in Stan$! unaione. uesto crea le;;etto $i simultaneitI. n pratica  come un giocatore $i ping pong che corre intorno al tavolo per pren$ere la pallina sena ;arla ca$ere$ove il giocatore  la &P2 e la pallina sono i processi. +a reale simultaneitI c Buan$o si usano $elle peri;eriche esterne. ui il $iscorso  $iverso perch la &P2 $i occupa soltanto $i impostare la lettura $ella peri;erica in Buestione. Poi tutta la prelevaione $i in;ormaioni  ;atta $alla D',. ui c la simultaneitI reale perch una volta impostata la lettura $ella peri;erica la &P2 si preoccupa $i altro.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

o parto $al presupposto che voi sappiate giI contare in ase 1*J &osa vuol $ire contare in ase 1*G 3uol $ire Buello che avete sempre ;atto ogni volta che contavate. 1K1L) 6*M*L)* KL# 8aturalmentesi puA contare in molte altre asi )0 ecc. uelle che ci interessano a noi sono la ) e la 16. ueste vengono rispettivamente $ette inaria esace$imale. 8on sappiamo che i numeri nella ase $ecimale vanno $allo * al 9 per poi ripetersi con un 1 $avanti che poi $iventa un ) e cosN via. &io *1)067#91*111)101.... Si va $allo ero al nove per poi ripetersi nel 1* ;ino al 19. Poi il )* ;ino al )9 ecc. Supponiamo che ora io ;ermi i numeri non al 9 ma all#. Si avree una con$iione $el genere: *1)067#1*111)101116171#)*... Se Buin$i ora $evo sommare )K) ottengo sempre . 'a se sommassi K ottengo non 9 5perch non cJ ma ottengo 1*. Perch se sommo K $evo ottenere il numero $opo lotto che nel nostro caso  il 1*. Se poi il al posto $i levare solo il nove e limino anche altri numeri potrei arrivare a$ averne solo pi ): lo * e l1. Se in;atti tolgo 9#760) mi rimangono solo i primi ). &osa vuol $ire BuestoG &he contan$o non posso superare l1. Se ;accio Buin$i 1K1 non ottengo ) ma ottengo 1*. PerchG Perch la seBuena saree: *11*111**1*111*1111***1**11*1*1*1111**11*l111*1111... &he in $ecimale vuol $ire: *1) 0   6 7 # 9 1* 11 1) 10 1 1... uin$i ora sappiamo che 1K1  uguale a 1*.

J

uesto meto$o $i numeraione  molto utile se non esseniale per inoltrarsi nel reversing. 'a un altro meto$o ;orse ancora pi esseniale  la ase esa$ecimale. uesta ase  come $ice la parola stessa in 16. uin$i 1K1L) KL9 ma 1)KL))J Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

&ome ;unionaG Semplice al posto che togliere numeri 5come per le asi prece$enti Bui si inseriscono nuovi numeri. uesti sono: 1)067#9,"&DEF1*111)101116171#191,1"1&1D1E1F)*... Ecco una como$a taella riassuntiva: Desimale

"inario

Esa$ecimale

1

*

1

)

1

)

0   6 7 # 9 1* 11 1) 10 1 1 16 17 1# 19 )*

1* 11 1** 1*1 11* 111 1*** 1**1 1*1* 1*11 11** 11*1 111* 1111 1**** 1***1 1**11 1*1**

0   6 7 # 9 , " & D E F 1* 11 1) 10 1

uesta piccola taellina vi mostra i valori numeri nelle tre asi che a noi interessano. Poi ci sono in;inite altre asi che perA non sono utiliate $al computer. 'a perch il computer usa le asi ) e 16G l computer come voi sapete lavora il linguaggio macchina. &iA vuol $ire che tutto ciA che voi ve$ete in veritI non  cosN com ma  uninsieme $i 1 e $i *. Per Buesta ragione Buan$o si vuole comunicare col computer in mo$o terra terra isogna livellarci al suo linguaggio. +ui in;atti non capisce assolutamente nullaegli 1 e gli ero Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

corrispon$o al ;lusso $i corrente sui suoi transistor 51 e nessun ;lusso 5*. Per Buanto riguar$a la ase 16 Buesta  perch allinterno $el computer i ;ile ;unionano e vengono trasmessi a piccoli pacchetti $i # unitI ciascuno 5# it Se noi moltiplichiamo # per ) otteniamo 16. Perch non usiamo # lo capiremo pi avanti. Per ;inire: M h signi;ica un numero esa$ecimale 16h M  signi;ica un numero inario 1*1 M per i numeri $ecimali non si usa niente


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Eccoci. 2n uon reverser sicuramente $eve essere $otato $i un minimo $i intelligena e perspicaciama una suite $i tool come Buelli che seguono puA sicuramente ;are como$o e areviare il lavoro $i tutti. 8":  tool presenti sono solo un punto $i partena suggerito $al sottoscritto. 8O8  $etto che siano in assoluto i miglioricon lesperiena ognuno $i noi troverI il meto$o e il programma che pi si a$$ice al nostro mo$o $i proce$ere. %alvolta si $ovrI imparare anche a scriversi i programmi perch non sempre sono $isponiili nella rete. 5o pure ho creato una piccola serie $i utilit! che alla ;ine $ella gui$a vi presenterA. Se la vostra $oman$a : “ma cavolo! Farsi un programma? o non so programmare!”. Spiacente amicoma  necessario sapere ene almeno un linguaggio $i programmaione.  motivi sono ): a Per creare $ei ke!gen  necessario saper programmare J Per capire la logica $i un programma $a reversareisogna entrare nella mente $el programmatore per capire cosa avrI pensato e come ci vuole ingannare. &ome minimo isogna saper programmare appunto. 8on importa Buale linguaggiotanto come $ico iosono tutti ;ratelli.

Primo $i tutti in assolutoil $eugger. !E&UGGER

&osa  un $euggerGE un tool molto complessoche permette $i $isassemlare il co$ice $elleseguiile preso in analisi;ino a risalire al linguaggio asseml! che lo compone.5Per la trattaione completa $ellasseml! recarsi nellapposita seione. 8on solo BuestoensN permette $i seguire il ?movimento@ $i un eseguiile passoMpasso $euggan$olo appunto. Permette $i settare $ei punti $i stop 5reackpoint$i mo$i;icare le istruioni asseml! con Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

altreimposte $a noimagari proprio per crakkarlo e ;ar ;unionare sena registraione il programma preso in esame. Permette $i visualiare la memoriai registri lo stack e un sacco $i altre cose interessanti 58on preoccuparsi se per ora molti $ei termini citati sono a voi sconosciutiavrete mo$o $i impararne il signi;icato proseguen$o nella lettura. 2n $eugger interessante;unionale e open source  sicuramente Oll!Dg. +unica pecca  che lavora a ring 0cio al livello $i permessi $i un normale programmae Buesto in alcuni casi puA $are prolemi. &omunBueecco oll!$g in tutto il suo splen$ore:

+a parte principale $ella ;inestra presenta il $isassemlato $el programma. 8ella arra in alto ci sono i coman$i per runnare il programma sotto $eug 5F9e steppare 5an$an$o passo passo per analiare il comportamento poco per volta 5F#. +a colonna $i $estra contiene i registri in tempo realela seione assa e lunga  il $ump $ella memoriamentre lultima cella in asso a $estra  lo stack. Oll!  $avvero ;acile $a usare. Per settare un reackpoint  su;;icente un $oppio click sulla istruionela Buale $iventerI rossa. Per mo$i;icare listruione  su;;icente un $oppio click sulla parte centrale. Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Esseniale per luso $i oll!  anche la comman$ lineper settare reackpoint al volo sena $overli ricercare allinterno $el co$ice $isassemlato. Pac'er detector

Davvero importante Buesto toolspecie Buan$o si ha a che ;are con il co$ice protetto $a un packer. n;atti un programma $i Buesto tipo permette in genere $i ottenere il nome $el packeril linguaggio con cui il  stato programmato leseguiile e varie in;o generali sul ;ormato PE. 2no $ei pi interessanti packer $etector  il mitico (Dpacker $etector.

PE %nal(zer

2n PE anal!er serve in generale per ottenere tutte le in;o sul PE $elleseguiile preso in esame. E utilissimo per ricostruire un eseguiile ;unionante per esempio $opo un $ump. 2no $ei migliori  sicuramente +or$PEla cui ;unione ?(euil$ PE@  in assoluto unica al mon$o per ;unionalitI e capacitI.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

2e3 Editor

Sinceramente lo trovo aastana inutile $ato che lhe> e$itor  $i norma integrato nei $eugger e $ecompilatorituttavia talvolta  como$o avere a $isposiione un tool a parte. Serve per analiare gli e>e a livello inario per cui en poco possiamo mo$i;icare sena aver prima analiato il programma $a craccare $entro un $eugger. 2no molto como$o e Opensource  Frhe$:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

!isassem#latore

,ltro esseniale strumento$isassemla in co$ice macchina un eseguiile.l migliore in assoluto;orse un po $i;;icoltoso $a usare per chi  alle prime armi  sicuramente D, Pro. &he permette $i ;are una miria$e $i cose. %ra le pi importanti ricor$iamo: struioni logiche sotto ;orma $i schema He> e$itor integrato relaionaile col $isassemlato 5e viceversa mport E>port Funioni (icerca stringhe $i testo Funiona anche $a $eugger e permette lalteraione $ei registri ?on the ;l!@ l programma monitora continuamente il ;lusso $elleseguiile 5$a notare la arra colorata in alto e permette $i esplorare call e ;unioni in maniera semplice e veloce. Eccolo:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

(eg)on * +ilemon

Due ottimi programmi volti a monitorare laccesso ai ;ile e al registro $i un $eterminato programma.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

mp(ec

(icostruisce le mport $opo un $ump. Permette anche il como$o uso $i plug in per areviare il lavoro $i ricostruione.

-b!ecompiler

8on molto utili i $ecompilatori$ato che non ;unionano realmente. %uttavia Buello per v6  $avvero molto utile specie per risalire alle ,P usate oppure al co$ice $iretto $i un tasto.

ep+inder


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

2n tool veramente in$ispensaile per risalire allOEP $el programma preso in esame.

8aturalmente Buesti sono solo consigliin realtI i tool li cercherete $a soli Buan$o ne avrete isogno.&iA non esclu$e che spesso vi troverete a scriverne $i personaliun po per s;iio un po per reale necessitI.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

/PE Porta#le E3ecuta#le$

l ;ormato PE  un ;ormato stan$ar$ utiliato $ai sistemi Cin$oCs per ?capire@ un ;ile $i tipo .e>e 5eseguiile .$ll 5lireria o .s!s 5$river.+a sigla ?portale@  soltanto un i$enti;icativo per ; ar capire che tutti i PE possono ;unionare su ogni piatta;orma Cin$oCs a 0) o 6 it. Dentro un PE sono $islocate molteplici in;ormaione per la sua corretta interpretaionetra cui le mport e E>port %alche sono lelenco $elle ,P utiliate nel programma e le relative ;unionile risorse 5liconalinter;accia gra;icama anche le stringhe $i testo e le %+S %ale. /EP-1EP

+EP 5Entr! Pointpunto $i ingresso $i un programmanon  altro che il punto $i iniio $a cui partono tutte le routine $el programma$a cui Cin$oCs parte per ;ar ;unionare un eseguiile. Spesso un EP puA essere camu;;ato 5per esempio con un e>e packer o a$$irittura virtualiato 5come nel caso $i e>ecr!ptor. +OEP invece sta per Original Entr! Pointche  un altra $enominaione per chiamare lEP nascosto...e$  il sogno $i tutti gli unpakker...: /P%C4ER - PR1TECT1R

E un so;tCare capace $i comprimere un eseguiile e proteggerlo 5si> mo$o $i $ire $agli okki $el reverser. ,lcuni packer sono molto semplici come 2PQ o ,SP pack i Buali comprimono leseguiile e al momento $ellunpack lo scomprimono in memoriae $a lN lo eseguonosena che il reverser 5se non con un $eug possa ve$erne il contenuto. ,ltri invece$enominati protectorperch proteggono il co$ice come %he'i$a utiliano un har$Care ;ingerprintun i$enti;icativo univoco $el P& a cui viene associata una sola ke! vali$a. ,rma$illo invece virtualia anche $elle parti $i co$ice per ren$ere ancora pi $i;;icile raggiungere lOEP. ,lcuni anche usano $elle avanate o asilari tecniche anti$eug. ,rma$illo apre $ei threa$ che rivelano la presena $i un $eugma esistono anche altre soluioni...la piu utiliata 5;orse neppure piu pero  l,P sDeuggerPresent la Buale restituisce al prog un valore 1 se il processo  sotto$eug e un valore * se non lo ...;acile capire come viene implementata Buest aproteionema  altrettanto ;acile superarla e i$enti;icarla 53e$i il mio prog e i vari plugin $i oll!


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

/!U5P

l $ump$a non inten$ere come $ump esa$ecimale una operaione che si esegue spesso in amito $i reversingper esempio per lierare un so;tCare $a un packer.&onsiste nellestrarre una parte $el co$ice inario 5generalmente appena scompresso in memoria nel caso $ei packer e ren$erlo eseguiile $irettamente $a Buel puntocome un e>e a se stante.Spesso i $ump non ;unionano al primo colpopoich o la imagesie $elle>e  corrottao le mport sono state ?$istrutte@o per altri motivi.Per Buesto i $ump vanno sempre ricostruitia;;inch lOS possa compren$erli. /Su#s(stem

n$ica il tipo $i applicaione con la Buale si ha a che ;are 5tutti i packer $etector e PE anal!er ne portano traccia.Per esempiio un applicaione puA essere una +irar! 5un Dll una applicaione 2 5con inter;accia gra;ica o Rin0) console 5in cui non  presente la 2la riga $i coman$o per inten$erci. /&reac'Point

E un punto $i interruione che viene settato $entro un $eugger per analiare una $eterminata routine o chiamata alle ,P 5ve$i seione ,P. n genere per settare reackpoint  su;;icente ;are un $oppio click nella linea laterale a sinistra $el $isassemlatooppure 5$entro oll!$g su;;iciente $otarsi $ella comman$line $i Oll!Dg e ;ar prece$ere al nome $ell,P la sigla p> 5ve$i seione ,P. /2andle

E un valore univoco che viene attriuito a$ ognina $elle ;inestre che aiamo aperte nel P&.Spesso viene usato $ai programmi anti reverser per in$ivi$uare un $eugger o simili. /Tr+ead

2n %rhea$  un processo ;iglio $i un processo pi gran$e.l trehea$ ha un i$enti;icativo univoco e una creation ;lagche corrispon$e al tipo $i trhea$. Per esempiopuA esserci un trehea$ con creation ;lag  &(E,%ES2SPE8DED che crea trhea$ a$$ormentatie possono essere chiusi solo $a appositi coman$i. ,nche i trhea$ sono $ei $iversivi che possono essere utiliati per proteggere un eseguiileper esempio E>ecr!ptoro lo stesso Pirupiru crack me $i pre$ator che trovate nella seione crack'E.

/Crac'5e

2n crack'E  la palestra $ei reverser. Si esercitano su Buesti programmiMprova per evitare i Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

compiere illegalitI su programmi commerciali. Esistono vari tipi $i crack me: Patch &onsiste nel mo$i;icare una parte $i asseml! utile per ren$ere utiliaile un programma sena proteioni $i sorta. Te!gen Preve$ono in genere proteioni tramite passCor$e richie$ono la scoperta $ellalgoritmo che genera la chiave e la eventuale scrittura $i un Te!en 2npack Preve$ono luso $i un packer 5noto o scritto $al creatore $el crackme per proteggere leseguiile $a un reverse. +o scopo  Buello $i ottenere un Dump ;unionante Enale eneralmente hanno alcuni pulsanti o controlli $isailitati $a ren$ere attivi $e;initivamente. 2na trattaione completa $elle varie proteioni la troverete $urante la lettura $i Buesta gui$a.

/)o Stac'

+o stack e unarea $i memoria $ove possono essere salvati momentaneamente 5perch memoria temporanea i registri $ella &P2. uesta operaione $i salvataggio puA essere ;atta o attraverso listruione P2SH o attraverso listruione &,++. l primo meto$o  voluto $irettamente laltro  in$irettamente. li stessi $ati vengono ripresi sia $irettamente attraverso istruioni POP che in$irettamente 5relativamente al registro P o alla coppia &S:P attraverso istruioni (E%8 o (E%F 5(E%urn 8ear o (E%urn Far. +o Stack puo trovarsi sia nello stesso segmento $el programma 5come nel caso $ei ;iles .&O' che in un altro segmento 5;iles .EQEU in ogni caso i $ati nello stack vengono puntati $alla coppia $i registri SS:SP e i $ati vengono inseriti $all,+%O verso il ",SSO cioe con valori $i SP sempre $ecrescenti via via che si inseriscono nuovi $ati nello stack. Spessissimo nel reversing lo stack viene utiliato per prelevare in;ormaioni utili circa serialirisultati $i routine e altro. (icor$iamo che possiamo esplorare lo stack $irettamente $a Oll!Dg 5ve$i seione: %ool $el reverser.

/ (egistri

er "uanto riguarda la #ase $%, "uesta è perchè all&interno del computer, i


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

file funzionano e vengono trasmessi a piccoli pacchetti di ' unit( ciascuno )' #it* +e noi moltiplichiamo ' per  otteniamo $%. erchè non usiamo ' lo capiremo più avanti. 5(icor$ateG Ecco la spiegaione

uesti it vanno in ase # e sono Buelle cose che contengono concretamente tutto ciA che il computer ha e visualia. uesti it ;unionano graie a $ei registri che sono i contenutori $ei numeri inari. uesti sono tanti e sono continuamente mo$i;icati $all8%E+ ma sta $i ;atto che sono compatiili lun laltro tra i vari computer.  registri possono contenere un numero inario che va $a ******** a 11111111 che in parole povere vuol $ire $a * a ). ,iamo Buin$i $etto: i it trasportano le in;ormaioni. +e in;ormaioni sono in inario e Buesti numeri sono contenuti nei registri $ei vari it. 8on $evete perA pensare che in ogni it ci siano $ei registriJ E il contrarioJ n ogni registro ci sono # it. 'a $ato che non possiamo slegarli lun laltro non preoccupativi $i sapere essattamente la struttura architettonica $i un microprocesM sore. Ogni registro ha una struttura simile. Ecco uno schema:

Registri a 8 bit Registri a 16 bit Registri a 32 bit

,H ,+ ,Q E,Q

"H "+ "Q E"Q

&H &+ &Q E&Q

Dovete allincirca impararvelo a memoriaJ &osa sono i registri a 16 itG 8ulla sono $ue registri presi assieme. Dato che si usa spesso e volentieri pren$erli a coppie e consi$erarli uno solo si conta anche a 16. uesti comunBue sono i registri ase. Poi esistono altri tipi $i registri nati successivamente allo #*## e per Buesta ragione sono $etti speciali: M(egistri speciali a 16 it: P "P S D SP

5struction Pointer ovvero puntatore alle istruioni. 5"ase Pointer  ovvero puntatore alla ase $i $ati. 5Source n$e>  ovvero n$ice Sorgente $i $ati. 5Destination n$e>  ovvero n$ice Destinaione $i $ati. 5Stack Pointer  ovvero puntatore allo stack.


DH D+ DQ EDQ

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

M(egistri $i segmento a 16 it: &S DS ES SS

5&o$e Segment 5Data Segment 5E>tra Segment 5Stack Segment

 Punta al segmento $ove si trovano le istruioni  Punta al segmento $ei $ati  Punta al segmento $ati 5e>tra  Punta al segmento $i stack

2n meto$o pratico per visualiare il contenuto $ei registri $i aprire il prompt $ei coman$i e $igitare $eugpoi premere r e invio

/ "0 )1)(0

Ogni singolo ;ile ogni singola esecuione $i programma tutto Buanto richie$e memoria nel vostro computer. %utto  memoria. 8oi sappiamo per a$esso che la memoria  ;ormata $a it. Se noi raccogliamo a gruppi $i # i it otteniamo un !te.  !te sono $ei pacchetti $i memoria che non contengono altro che * e 1 in seBuena. ,nche i !te ovviamente sono $ei registri. uesti in particolare sono:


Guida al Reversing

&S:P SS:SP DS:<"P "Q S D= ES:<"P "Q S D=

C.REV.T

Ctrl_alt_canc Corp.

n$iria la 'emoria $ove risie$ono i programmi n$iria la 'emoria $ove risie$e lo stack n$iria la 'emoria $ove risie$ono i $ati n$iria la 'emoria $ove risie$ono i $ati

, partire $al 0#6 esistono altri $ue registri $i segmento FS e S che possono essere utiliati per in$iriare la memoria Dati. n ultima analisi Buin$i sia un programma che BualunBue tipo $i $ato  memoriato sotto ;orma $i singoli it 5stato * o 1 e in$iriaili a gruppi $i # 5un "!te per volta o a gruppi $i pi "!tes secon$o il seguente stan$ar$: 1 "!te 1 Ror$ 5pari a ) "!tes 1 DouleRor$ 5pari a  "!tes 1 ua$Ror$ 5pari a # "!tes 1 %en"!te 5pari a 1* "!tes ueste sono ragguppaioni stantar$.

/ (0) * ()

l vostro computer ha $ella memoria. uesta  su$$ivisa in ) parti per $istinte la (,' e la (O'. +a (,' 5(an$om ,ccess 'emor! o meglio memoria $i accesso casuale  Buella memoria che viene utiliata $al computer per ricor$are ;ile momentanei o per ;ar partire $ei programmi. uesta memoria  temporanea nel senso che se spegnete il computer Buella memoria si cancella automaticamente e per$ete tutto. Poi c la memoria (O' 5(ea$ Onl! 'emor! o 'emoria $i sola lettura. uesta  Buella permanente. uella ove stanno i vostri ;ile salvati come i vostri programmi come tutto Buello che avete ogni volta che ravviate il computer. Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

8ella (O' c il "OS. l "OS 5"asic nputMOutput S!stem  un ?programma@ che ha il compito $ellaccensione $el computer. 3eri;ica i $ispositivi presenti esegui il POS% 5PoCer on Sel; %est e in;ine carica il sistema operativo $an$o liero s;on;o alla '(". +a '("  una parte $ella memoria ove sono inseriti i ;ile 5Buasi inaccessiile che permettono laccensione $el vostro sistema operativo. Dopo aver tatto tutto ciA il "OS lascia tutto il controllo $ella macchina al vostro sistema operativo. 'a il "OS continuerI sempre a$ essere presente e o;;re una serie $i servii a cui ;anno spesso ri;erimento gli stessi sistemi operativi. %ra i tanti Buelli che ci interessano a noi ci sono gli nterrupt. &ome tutta la memoria la (,' e la (O' sono nientaltro che insieme $i !tes. uesti saranno ;ormati come tutti $a * e $a 1. ui c tutto il ;unionamento $ella macchina. Ogni singolo "!te $ella (,' 5e $ella (O' ha un 8D(VVO 28&O e a Buesto in$irio si ;a ri;erimento per prelevare o memoriare i $ati o i programmi. li in$irii $ella (,' 5e $ella (O' sono puntati $a registri speci;ici $el 'icroprocessore. Per Buanto riguar$a gli in$irii $ei programmi si usa normalmente la coppia $i registri &S:P. Per Buanto riguar$a luso $ei ;ile $i $ati si usano i registri $i segmento 5DS M ES M FS e S in accoppiata con i registri5"Q M "P M S M D in $iverse cominaioni. uin$i per lesecuione o lapertura $i un programma ci sono i &S:P mentre per gli altri cio i ;ile che contengono $ati 5cio tutti Buelli che non sono programmi ci sono i registri $i segnmento 5DS M ES M FS e S $a utiliarsi con i registri 5"Q M "P M S M D in $iverse cominaioni. Poi c lo S%,&T 5ve$i paragra;o stac-  &on gli ultimi microprocessori si  cercato $i separare e $i proteggere accuratamente larea $estinata ai $ati e Buella $estinata ai programmi. E perA possiile mo$i;icare attraverso un programma in assemler la $estinaione ;isica $el programma. uesto  ciA che realmente ;anno molti virus creati in assemler. Si collocano nella ona $ati ren$en$osi Buasi $el tutto invisiili agli antivirus. Per Buanto concerne la memoria (,' Buesta  gestita $al sistema operativo che la ce$e a$ un programma piuttosto che a$ un altro.

/Signature

+a $iretta tra$uione $allinglese $ella parola ?signature@  ?Firma@. %utti i so;tCare $i proteione $egli eseguiilima anche i virus e Bualsiasi programma in;ormatico $istriuito su larga scalacontiene al suo interno un ?pattern@ $i !te che lo ren$e $istinguiile.  packer soprattutto sono ;amosi per Buesta caratteristicaeuna volta riconosciuti poi ;acile Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

a$$ottare le contromisure.  mo$erni packer $etector 5pure il mio attuano $elle scansioni $ei !te $elleseguiile $a analiare con;rontan$o simultaneamente alcuni pattern ;amosi presenti in un $ataase. Ecco un esempio $i $ataase $i ?;irme@ $ei vari packer. 5tratto $al mio packer $etector <1= Packer8ame L ,Patch 2 1.> Signature L )01&*E#FFFFFFFF&7E#0EE*F*,*******9E9*1******&*F&)9D1#D0&*6*1#*F)1 ***,9GGGGGG07*F#D6******0DGGGGGGGG771#0GGGGGGGG*F#6)*1****00*77""**)*****#0 E9*7D6F,1,7)****#"1"))****,0"))*****1D**0*"9)****#91"9)****E#1) ******F7F1#91,7)****E9*1 <)= Packer8ame L 2PQ 1.90 M W up>.source;orge.net Signature L 6*"EGGG*G**#D"EGGGGFGFF <0= Packer8ame L ,(' Protector *.1 MW S'oTE Signature L E#*******#06*E"*&DE"*E"*"#E"F9**&0E#********DE"*1**#1EDE1F*** E"*)#0*9#D"EF1F***E"*)#0*9",,011****E"*1**#D#D9)01***#"*9E#1******#0E "*1**#"FEE#********##0&**7*&0**E"*#**&0#,*66E"*1**D*&#E#1******#0E "*1**),&)E#********"#0&0*70&0**
/"2importanza del linguaggio

Spesso 5ma non sempre il linguaggio usato  il &KK 5per i programmi commerciali. +e $i;;erene tra i linguaggiin amito $i reversing sono importantissime. Sapere con Buale linguaggio  stato pro$otto un eseguiile  necessario per sapere come operare. Per esempio$oiamo sapere che il &KKlasm e il $elphi utiliano le chiamate alle Cin0) ,P. 5ve$i paragra;o ?Concetti di #ase sulle  e i /reac-point @ ueste sono piuttosto comunie ;acili $a trovaresapen$o che un 'sg"o>,  sempre una messageo> e via $icen$o. Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

&aso a parte  il 3isual "asic che essen$o un linguaggio interpretato e non compilato non ;a $irettamente uso $elle api se non su esplicita richiesta 53e$i paragra;o 3isual "asic. Ecco Buin$i che un reackpoint su un 'sg"o>, saree inutilee ci ;aree cre$ere che non si siano messageo>. O a$$irittura in amito $i unpackingconoscere il linguaggio $i programmaione  necessario er ricostruire un EP 5ve$i seione “concetti #ase sul reversing” corrotto n genere i packer $etector risalgono anche al linguaggio $i programaionema io ho creato uno strumento apposito che compie eccellentemente il suo $overe 5,nche i linguaggi $i programmaione hanno $elle signatureJ. Per maggiori in;o ve$ere la seione ;inale $ella gui$a sui miei tools. E necessario conoscere almeno a occhio un EP $a un co$ice normaleBuesto perch tutti gli EP hanno caratteristiche simili. Ecco una taella riassuntiva $a studiare:

Linguaggio

Entry Point

Descrizione

3"/6

+EP  prece$uto $a tutte le ;unioni $el programma 5es: 'S3"3'6*.E3E8%S8 T,$$(e; e$  seguito $a una call alla %hun(%'ain.

&KK

niia SE'P(E con un Push E"P e prosegue pressoch uguale alla ;igura Bui a sinistra.

Delphi

+eggermente simile al &KKma non  prece$uto $a tutti Buei XmpensN $a co$ice inutile.


Guida al Reversing

Linguaggio

,S'

C.REV.T

Ctrl_alt_canc Corp.

Entry Point

Descrizione

%ipicamente non  prece$uto $a nullae iniia con un Qor.

Ecco a voi un elenco $i ,P utili. Per prima cosacosa  un ,P e a cosa ci serve saperlo...Dice Cikipe$ia: %PI  lacronimo $i A pplication P rogram)ming* I nterface 5 nterfaccia di rogrammazione di un&pplicazione in$ica ogni insieme $i proce$ure $isponiili al programmatore $i solito raggruppate a ;ormare un set $i strumenti speci;ici per un $eterminato compito. Y un meto$o per ottenere un astraione $i solito tra lhar$Care e il programmatore o tra so;tCare a asso e$ alto livello. +e ,P permettono $i evitare ai programmatori $i scrivere tutte le ;unioni $al nulla. +e ,P stesse sono unastraione: il soft0are che ;ornisce una certa ,P  $etto implementazione dell& . Ottimooratutti i programmi che an$remo a$ analiare 5tranne Buelli in 3"6 e .8E% ma poi ve$remo anche per Buelli utiliano le ,P per ;are Bualcosauesto Bualcosa per essere utile a noi reverserviene inteso come Prelevo il seriale inserito e lo leggo oppure scrivo nel registro le in;ormaioni $i registraione. Per cercare le ,P Bui sotto elencate 5&he non sono tutte JJ 'a solo Buelle pi ricorrenti  su;;iciente $otarsi $ella comman$line $i Oll!Dg e ;ar prece$ere al nome $ell,P la sigla p>..circa cosN: #p1 2essage/o1

Da ricor$are che i nomi $elle ,P sono case sensitiveJJ 5maiuscolo e minuscolo contano ntercettarle e settare su $i loro un reackpoint  utile per trovare parti esseniali $el $isassemlato sena impaire a stu$iarlo tutto. Messaggi

'essage"o>, Semplicemente invia una messageo> allutente 5tipicamente in$ica linserimento $i un seriale erratoo corretto Sen$'essage, uesto meto$o non ;a altro che inviare un messaggio opportunamente co$i;icato a$ una ;inestra Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

speci;ica. 5R'&+OSE et similia Finestre

etRin$oC%e>t, - etDlgtem%e>t, Entrame utiliate Buan$o si ha a che ;are con una $ialogo> che richie$e serial e namein $ue aree $i testo. &reateRin$oCE>, - ShoCRin$oC ,prono una nuova ;inestra $i $ialogo i $ialogo File

(ea$File %ipicamente utiliato per leggere $a un ;ilespecie se il ;ile ocntiene in;o sulla registraione $el programma.Prestare attenione che ci sono moltissimi casi in cui un prog acce$e a $ei ;ilee non ;arsi trarre in inganno. RriteFile &ome sopraserve per scrivere su un ;ile &reateFile, Serve per generare un ;ile etPrivatePro;ileString, Serve per leggere una riga $a un ;ile .ini 5Buelli $i con;iguraione Registro

(eguer!3alueE>, &erca un valore nel registro (egOpenTe!, +o carica nel programma per usarlo 5nel sensolegge il contenuto e lo tras;orma in variaile o stringa Orari


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

et+ocal%imer Esseniale in$ivi$uarla nei trial a tempo 5tipo0* giorni serve per restituire al programma lorario $i sistema. Drie

etDrive%!pe, n$ispensaile Buan$o si ha a che ;are con giochi che chie$ono il &D originaleserve in;atti a $eterminare Buale $elle unitI sia a$ esempio un lettore &D. !i"er

Set%imer %ipicamente usato per iniialiare levento timerspecie per Buei $emo in limitaione a minuti. et%ick&ount Serve per pren$ere appunto un tickun passaggio $i un minuto o $i un secon$o $i un timersempre utile $a in$ivi$uare nei prog con limitaione a minuti.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

+assemler  stato concepito come linguaggio a asso livello per ;acilitare leggermente il compito ai programmatori$ato che il co$ice macchina non  umanamente comprensiile. +asseml!  aastana complicato come linguaggiononostante non aia numerose parole chiave. +a $i;;icoltI $el linguaggio risie$e tutta nelluso oligatorio $ei registri $ello stack e $i tutte le memorie $el computer. 8aturalmente un uso improprio $i istruioni  rischioso e puA portare al crash $i sistema compilan$o erroneamente un programma. %uttaviaper proce$ere sulla nostra stra$a $el reversing avere Bualche piccola conoscena $i istruioni asseml! non puA ;are che ene$ato che $a Bui in avanti ci troveremo $avanti soltanto a Buesto. &onclu$o Buesta piccola intro$uione ;acen$ovi notare che un compilatore asm lo avete sempre avuto nel vostro P&. Si chiama Deug.e>e e si puA richiamare $irettamente $al prompt $ei coman$i. MO#

E unistruione le cui ;unioni sono ;on$amentali nel cracking. Di;atti molte volte vi ritroverete a $over magari muovere un valore giusto in una locaione semplicemente camian$o un &'P in un 'O3 5poi vi spiego....non temete. +a sua sintassi : 'O3 <$estination=

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

$MP

Semplicemente con;ronta $ue valori in memoria siano essi registri oppure !tes camian$o $i conseguena il ;lag relativo. +a sintassi secon$o i casi puA essere: &'P E,Q*1  con;ronta ,Q con *1 &'P E,QE"Q  con;ronta ,Q con "Q &'P E,Q<**=  con;ronta ,Q con i ) !tes a DS:** uesta ;unione ;uniona come una sottraione sourceM$estinationcio:ponen$o ,QL)* e "QL)1 il risultato $el &'P E,QE"Q sarI )*M)1LM1. l risultato $i Buesta sottraione attiverI il ;lag &,((Z 5& attivato Buan$o si sottrae un valore pi gran$e $a uno pi piccoloU se invece la sottraione non $I risultato negativo il ;lag rimane * 5$isattivato.Dal punto $i vista $el reversing le istruioni &'P sono usate SE'P(E per veri;icare il vostro input oppure per ;ar sapere al programma se  registrato o meno.

%MP

+o troverete SE'P(E $opo il &'P nelle varie ;orme.+a pi semplice e ovvia  la ;orma 4'P [in$irio W che naturalmente provoca un salto allin$irio $esi$erato Buali che siano i valori $ei ;lags $ati $al &'P. Per Buanto riguar$a lin$irio Buesto puA essere nello stesso &S 54'P *,F oppure in unaltro 54'P


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

)***:1#,* oppure 4'P DRO(D P%( ES:
!efinizione

Condizione

48V *0*,

4ump i; not ero

,Q $iverso $a "Q

48E *0*,

4ump i; not eBual



4V *0*,

4ump i; ero

,QL"Q

4E *0*,

4ump i; eBual

L 4n

4+ *0*,

4ump i; less

,Q["Q

48 *0*,

4ump i; not greater

4 *0*,

4ump i; greater

,QW"Q VL* oppure SLO

$ALL

(ichiama una suroutine e $opo lesecuione $i Buesta torna allin$irio successivo alla &,++ stessa 5tramite un (E%/(E%F.Esempio: Programma... Programma... C%)) 6%& 

RET 

esegue la suroutine a &S:6#," &o$ice suroutine... &o$ice suroutine...

torna allistruione successiva a &,++ 6#,"

Programma... Programma... 2na call puA essere anche nel ;ormato &,++ F,( 5come anche il 4'Pcio viene eseguita una suroutine a$ unin$irio in un altro &S. 8ei vostri primi approcci $i cracking se avete la ;ortuna $i trovare la &,++ che salta $irettamente alla proteione potete enissimo togliere Buella. Pi in lI sarI meglio che impariate a $istricarvi con i Xump e i$enti;ican$o e mo$i;ican$o Buelli relativi al solo controllo $ella proteione. Di;atti se per caso Buella &,++ chiamasse una suroutine che contiene la proteione ma anche istruioni necessarie al uon ;unionamento $el programma eliminan$ola avrete prolemi.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Per esempio D, Pro. uan$o trova una &all permette con un $oppio click $i giungere allin$irio chiamatomentre scorren$o col mouse sopra la call esplorarne il contenuto:

I&!

&hiama un interrupt 5tipo una &,++ ma non relativa al programma con una speci;ica ;unione assegnata $a un valore $i solito mosso in ,Q. E utile a$ esempio monitorare linterrupt 10 con il $eugger 5nel caso sivoglia sproteggere un programma che acce$e al &D oppure linterrupt 16 con ;unione 1* 5,QL1* nel caso il programma atten$a la pressione $i un tasto.

&OP

8opeBuivalente a *>9*. 8op signi;ica ?8o Operation@nessuna operaione. +a &pu salta Buellistruione ;inch non ne trova una operativa +o useremo spessissimo in amito $i reversing$ato che talvolta alcune istruioni sono intutili 5le routine $i controllo per esempio e non poten$o cancellare le parti $i assemlerlunica altra maniera  lutilio $ella su$$etta istruione.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Sempre pi spesso le so;tCare house hanno $eciso $i implementare nei loro programmi $ei meccanismi $i proteione sempre pi evolutial ;ine $i scoraggiare eventuali reverser. uesto  un elenco con relativi esempi pratici e spiegaione $ei principali meccanismi che ci troveremo a$ a;;rontare. *&7 Essendo 8uesta la sezione pratica della guida 9 #ene c+e sappiate almeno come si salva un programma patc+ato dentro 1ll( "cosa per nulla intuitiva. Una volta fatte tutte le modific+e necessarie"premere col tasto destro su una riga di disassem#lato"e premere7


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

!opodic+9 premere Cop( %ll

*ella nuova finestra c+e appare"premere di nuovo tasto destro

e selezionare save file. !alla finestra di salvataggio dare un nome e ricordarsi di immettere manualmente l:estensione .e3e se no salva in formato testo$

/ serial

2na $elle pi comuni proteioni $i programmispecie se a tempo limitatocomo$i perch vengono calcolati 5in generema non sempre $al programma stessosulla ase $i un nome utente. n;atti i serial vengono generati $a un algoritmo interno 5$a stu$iare e compren$ere per reversarlo che solo la so;tCare house conoscee $opo una registraione con pagamentorilascia un serial vali$o per lusername ;ornito. Esempio pratico n. ;7

Crac-2e utilizzato3 2n crack me creato $a melo trovate nello ip allegato a Buesta gui$a.

<&'1M

Serial= 4ools necessari3 Oll!Dg con il plug in $ella comman$ ar.

2n locco note. ,priamo il crackme e analiiamolo. Solo ) te>to> $i inputuna richie$e un D numericolaltra il seriale corrispon$ente. Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Se sagliamo serialeun messageo> $i errore ci ammonisce. ,priamo oll!$g e carichiamo il programma $a crakkare. Suito settiamo $ei reackpoint sulle messageo>per arrivare a $el co$ice utile ,priamo la comman$ line 5plug in MW comman$ line e $igitiamo 5P(E&S,'E8%E p> rtc'sg"o> Premiamo nvio. Ecco che appariranno tutti i reackpoint evi$eniati in rosso. 8ello speci;ico ): la messageo> $i errore e Buella $i successo:

Se clicchiamo sul primo e risaliamo leggermente il co$iceecco che ci troviamo a$ un punto interessante:

uesto co$ice aggiunge al primo argomento 5lDricor$iamoG tre eri. Premiamo F) e $iventerI una riga rossa. Premiamo F9 e avremo il programma in run. Portatelo in primo piano5 ri$otto a icona e inserite come D: 1)0 e come serial 1)0.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Premete il tasto &ontrolla e$ ecco che Oll! si ;erma proprio sulla riga con i tre eri. Premen$o F# steppiamo un passo per volta...,rrivati allistruione va3ar&at 5) righe sotto se osserviamo lo stack 5ricor$iamo con oll! $ove si trovaGn asso a $estra in Buel momentoecco che appaiono 0 argomenti 5che sono 0 variaili +D inseritoil serialee la stringa che la routine sta costruen$o:

Ottimo.Suito sotto a Buel co$ice troviamo:

n$ovinate a cosa serveG Esatto Div sta per ?Divi$ere@. 5notiamo che nello stack ci sono ancora i 0 argomenti. Per che numeroGEheh . Sta scritto nella prima riga. 5/3 il 6 è in esadecimale,ma ricordiamo che 6 in he1 e in dec è identico. +e fosse stato per esempio  avremmo trovato la dicitura $%. )ripassate la sezione dei sistemi di numerazione*.

EheBuesti invece servono per sottrarre e moltiplicare. (ispettivamente per sottrarre alla $ivisione avuta in prece$ena e moltiplicare per 0. "ene...con Bueste in;o possiamo creare un ke!genJ Proce$iamo per passi.ntanto veri;ichiamo che ;unioni. nseriamo come D: 1)0 e come seriale: 51)0*** M 5 1)0*** /  \ 0 L <=;>> 

Sono gli eri aggiunti $alla routinericor$ateG Se proviamoavremo un messaggio $i con;erma

J

Ora proviamo a portare Buesta piccola espressione in un linguaggio $i scripting ;acile e ;unionante: Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

visual asic script 5vs ,prite il locco note e metteteci Buesto: chie$e il nome utente per generare il seriale a L inputo>58umero utente aggiunge i tre ?*@ alla ;ine $ellD c L a - *** crea lespressionee la mette nella variaile $ $ove c  la variaile vista prima 5a - *** $ L 5c M 5c /  \ 0 mostra il risultato 5ossia la variaile $ riempita col numero seriale uso una imputo> perch il risultato  pi ;acile $a copiare che in una messageo> inputo>seriale@(isultato@$ Salvate il ;ile con estensione .vs e ;ate un $oppio click sopra. Ecco che genererI seriali per ogni D inseritoJ

+e proteioni $ei programmi commerciali sono spesso in Buesta otticaanche se magari le routine sono leggermente pi complicate.

/ Nag

&osa sono i nagG Semplicesono $elle ;inestre che $anno ;asti$io. Per esempio Buelle che limitano alcune ;unioni $el programma )vedi Crac-ing programmi commerciali, paragrafo Dama delu1* o che avvertono che il programma  $a registrare e hanno un conto alla rovescia $i un minutoe via $icen$o. Esempio pratico n. <7


8ag= uesto crackme riunisce in s] le peggiori caratteristiche $ei nag. M,ppaiono a sproposito M8on si possono chiu$ere se non $opo un certo tempo. MSono en ) nag: un messageo> e una ;inestra. Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

<&')M

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

8oi avremo ) oiettivi: Eliminare il nag a messageo> e ailitare il ottone $el conto alla rovescia ;erman$olo. 5Buesto perch a volte la ;inestra in cui appare il nag contiene anche impostaioni o cose utili che non sempre va ene eliminare. 4ools3

Oll!$g con comman$line.

Per prima cosa analiiamo il programma. ,pren$olo appare un messageo>e $opo pochi secon$i si apre una ;inestra $i con;iguraione non chiu$iile con un conto alla rovesciaal termine $el Buale si possono salvare le impostaioni 5%ipica limitaione. &ome proce$iamoG M8oppiamo il messageo> MFermiamo il conto alla rovescia $el tasto M,ilitiamo il tasto a essere clikkato ,priamo il programa $entro oll!$ge come nellesempio prece$entesettiamo un reackpoint sulle messageo>. 8e apparirI solo una$oppio click e ve$iamo cosa appare:

Ottimo. (icor$ate Buel $iscorso iniiale sulle istruioni $ella &P2 eccG Ecco che arriva la nostra prima istruione pratica: 8opeBuivalente a *>9*. 8op signi;ica ?8o Operation@nessuna operaione. +a &pu salta Buellistruione ;inch non ne trova una operativa. Ecco come proce$ere $unBue. Se sostituiamo alla messageo> un 8OP la &P2 cre$e che non ci sia nullae$ ecco che aiamo eliminato il nag J Doppio click sulla istruione e si apre una ;inestra $i mo$i;ica. Da licancellare tutta listruione 5&,++ DRO(D P%( DS:<*1*)= e sostituirla con ?8OP@:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

uin$i premere su assemle. Premiamo F9e il programma 5prima rekka sul vecchio reackpoint msgo>saltiamolo premen$o ancora F9 partirI sena mostrare nag J

Ora la parte pi ?$i;;icile@. Proce$iamo ;erman$o il timer $i Buel pulsante.5Buello $el ;orm che si apre con le impostaioni. %uttaviaper non $isper$erci con inutili tentativive$iamo cosa succe$e Buan$o il conto alla rovescia sca$e...8ulla il tasto $iventa ailitato e assume come testo ?salva@. Ottimo punto $i partena. ,n$iamo in oll! e premiamo tasto $estro  Search ;or  ,ll re;erence te>t strings Fatto ciAcerchiamo la $icitura ?salva@ e ;acciamo $oppio click. Ecco $ove ci troveremo:

Particolarmente interessante la riga scritta in grigio chiaro 4E Short...(icor$ateG )sezione istruzioni assem#l7 utili* E un salto con$iionale. Proailmente Buello che $etermina che se il timer arriva a * allora il tasto si puA premere. &amiamolo nel suo opposto come aiamo ;atto primaossia $oppio click sulla istruione e sostituiamo


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

&on

Premiamo assemlee$ ecco che il programma ;uniona semra pi nagJ

/Trial e scadenze

Ecco una $elle proteioni pi usate in assoluto. +a sca$ena 5tipicamente $i 0* giorni o la limitaione a minuti. Esempio pratico n. ?7


<&'0M

%rial= l crack preve$e solo una limitaione $i ) minuti 5invece $ei 0* giornisca$uti i Buali appare un nag che ci avverte $ella chiusura $el programma. %ralasciamo $irettamente la superata proteione $i con;rontare la $ata con una preimpostataperch troppo semplice $a elu$ere e totalmente inattuale. 4ool3 Oll!Dg con plug in $ella comman$ line

"eneper prima cosa apriamo il nostro eseguiile $entro Oll!Dge cerchiamo suito un controllo %imer settan$o un el reackpoint. 8ulla $i pi ;acilecomman$ line e $igitiamo p Set%imer. Fatto ciA runniamo il programma e guar$iamo lo stack Buan$o oll! rekka:

Ottimo. Ora pensiamose annulliamo le;;etto $el timerproailmente il programma non e;;ettuerI nessun controllo sulla registraioneJ Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

,n$iamo alla riga corrispon$entee sostituiamola con un 8OP 5ricor$ateG. Ecco che nessun nag verrI poi mostratoJ 5per un meto$o $iversoma interessante consultare il capitolo  crac- commerciali,reversing serio,acific ssault  Sempre in Buesto amitoper ren$erci conto $i come puA essere un crack $i Buesto tipo 5$ato che Buello appena preso in esame  $avvero ;acilericorrerA anche a un crack commercialecon un tutorial realiato $a Pre$ator 5ve$i ringraiamenti.

?! 5atri3 ScreenSaver Lin'( http://CCC.ne>enteam.net/pre$ator/$oCnloa$/0$matri>.rar !ettagli7 2no $ei tanti screen saver asati sul tema 'atri>. 'olto carino $a un

punto $i vista estetico si sviluppa in un mon$o 0D calcolato in tempo reale... ma gli screen saver una volta non miravano a$ usare il minimo $i &P2 possiileG Perch non mettiamo su $irettamente Doom0 come screen saverG :MD Tool Usati: Oll!Dg11* pistacchi 1#iettivi: (ichie$e 8ome e Seriale altrimenti mostra un ;asti$ioso 8, screen $urante lesecuione. &arissimi eccoci al primo tutorial asato su un programma commerciale un el screen saver stile 'atri> ma an$o alle ciancie e iniamo suito suito... per prima cosa pren$iamo $ei pistacchi e mangiamoliJ Potrei mangiare pistacchi allin;inito a$oro i pistacchi :MD Prima $i reversarlo $iamo unocchiata come ;uniona sceen saver an$iamo su proprietI $ello schermo ta screen saver scegliamo 0D 'atri> ScreenSaver $all elenco $ei screen saverU per ve$erne le impostaioni premiamo su mposta mentre per ve$erlo in aione premiamo Prova... come ve$ete sulle impostaioni ci $ice che  una versione 28(ES%E(ED e lopione 3olume  $isailitata mentre su prova appare un contatore e allo sca$ere appare un ;astio$ioso nag screen in sovraimpressione. ,lloperaJ 5non $ove cantano hehe &arichiamo lo screen saver in Oll! 5si trova in R8DORS^s!stem0)^0D 'atri> ScreenSaver.scr  premiamo pla! per prima cosa ci appare un messaggio. Premiamo Oke osserviamo linter;accia $i con;iguraione. Premiamo register e inseriamo nome e seriale a caso. o metto Pre$ator 111)))000. Premiamo ok e$ ecco il male;ico messaggio:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Registration name or registration code is incorrect... 5% !%%IIII@ C+e cattivi +e+e+e

ene so;;ermiamoci a pensare e ;acciamo le nostre consi$eraioni: aiamo tranBuillamente almeno 0 punti $i partena en evi$enti: M il messaggio iniiale M la maschera $i richiesta nick e seriale M il messaggio $i errore registraione sono tre punti $i ;acile appiglio non concor$ateG :M E giusto $ire che per arrivare a$ un risultato ci sono varie vie.. tutte le stra$e portano a (oma noG :M chissI Buanta gente c a (oma :D Se volete seguitemi anche se sicuramente siete in gra$o $i trovarne altre. niiamo a ;are sul serio: ricarichiamo il programma premen$o il tasto reloa$ in Oll! <[[= apriamo la &omman$ +ine e piaiamoci un reack point con p> 'essage"o>, premiamo Pla! Oll! sena esitare rekka nella user0): AA!?E60" >

proseguiamo premiamo per otto volte F# e ci appare il 'essage"o> Premiamo 14" e siamo 8ui AA!?E6B6 RET* ;>

premiamo ancora una volta F# per uscire $alla 2SE(0) e tornare alle>e 5che poi  un .scr. Osserviamo cosa aiamo $avanti


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

noi siamo su **1#6D0 ma guar$iamoci attorno... Buante cosucce interessanti che ci sonoJ 3e$iamo appena sopra la preparaione $el 'essage"o> che $ice 28(ES%E(ED nel Buale entriamo $opo aver passato il controllo appena sopra: >>B;6%6 TEST EC" EC F ntdll.AAB=>?A >>B;6%% H* S21RT ?!_5atri.>>B;6!,

in pratica semra che il 48V $eci$a se man$arci su 28(ES%E(ED oppure saltare a (egitere$ to: >>B;6!, PUS2 ?!_5atri.>>B<&=>6 F %SCII JRegistered to7 J

 troppo ;orte la tentaione $i ;are una prova su Buel salto piaiamo un reack point su >>B;6%% ricarichiamo lo screen saver e$ eseguiamolo Oll! rekka come previsto su >>B;6%% H* S21RT ?!_5atri.>>B;6!,

sotto leggiamo 4ump is 8O% taken an$iamo a $estra nella ;inestra $ei (egisters ;acciamo $oppio click su V 1 il valore $iventa V * leggiamo nella ;inestra 4ump is taken. e appaiono le ;erccine rosse :M

premiamo Pla! per lasciare proseguire il programma e... il primo message o> che $ice 28(ES%E(ED 3E(SO8 non appare pi sotto c scritto (egistration: (egistere$ to: e poi il vuoto...nessun nome 5ovviamente inoltre il volume  ancora $isailitato mmm non va ene semrava troppo semplice. per curiositI premiamo <(egistere$= spariamo $ati a caso oppure premiamo $irettamente &ancel e Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

ve$iamo che ritorna la $icitura 28(ES%E(ED 3E(SO8. Decisamente non asta :MP Passiamo al contrattacco sena ricaricare il programma nella &omman$ +ine $igitiamo p> 'essage"o>, e premiamo nuovamente <(egister= inseriamo Pre$ator e 111)))000 premiamo OT e V,,,,TTT Oll! rekka proseguiamo con F# ;ino allappariione $el messaggio premiamo OT premiamo ancora una volta F# per uscire $a 2SE(0) e analiiamo la situaione :

, Buanto pare ci sono 0 possiilitI $i errore e una che $ice %hank !ou ;or purchase ghghgh guar$iamo appena sopra Buel co$ice e osserviamo ene Buesta riga **17,7, 4'P DRO(D P%( DS:
U 0D'atri.**17,,*

in pratica cosa ;aG Esegue un salto a$ un in$irio $ato $a un calcolo e se noi camiassimo Buesto salto in un salto ;issoG il co$ice entreree sempre su %hank !ou ;or purchase giustoG :M proviamo... Piaiamo un reack point su **17,7, an$iamo nella lista $ei reack point e cancelliamo Buello piaato prima sull2SE(0). Premiamo il tasto <&= per tornare al co$ice in Oll! premiamo Pla! per ;ar proseguire lesecuione ripremiamo ancora OT e cosa ;aG Ovvio rekka su **17,7,. "ene ora ve$iamo che il salto  attivo noi lo ipassiamo comeG %rattan$osi $i un salto 8O8 &O8DVO8,%O non asta camiare il Flag V $a * a 1 $oiamo 8opparlo oppure con il tasto $estro $el mouse nella riga **17,#1 scegliere 8eC Origin Here... io scelgo $i 8OPP,(+O e $unBue piao un el 8OP Premiamo ancora Pla! per ;ar proseguire... Buesta volta il programma ca$e $entro la nostra trappola: possiamo notare la correttea $ellattivaione: (egistere$ %o : Pre$ator Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

il volume  attivo insomma tutto semra aver avuto successo... ma non  cosi (icarichiamo il programma premen$o <[[= se vi appare un messaggio $i errore non preoccupatevi vi sta $icen$o che avete piaato $ei reack point che sono corrotti... ma  $ovuto ai camiamenti che aiamo ;atto prima non c nulla che non va premiamo ok e non pensiamoci piu : Premiamo Pla!... aim lo screen saver risulta essere ancora 28(ES%E(ED  evi$ente che il programma ;a ulteriori controlli... sicuramente sicuramente va a leggere leggere $elle chiavi chiavi nel registro o Bualcosa Bualcosa $i simile : Per veri;icare che Buanto $etto  vero proviamo a: M elu$ere il messaggio $i unregistere$ M ;orare la registraione M eseguirlo non in mo$alita con;iguraiione ma in mo$alitI screen saver attivo vi $imostrerA per en ) volte che anche se ;acciamo Buesto lo screen saver risulterI con le limitaioni e il nag screen. richiarichiamolo an$iamo nella lista $ei reak point e cancelliamoli tutti piaiamo p> 'essage"o>, 'essage"o>, premiamo pla! Oll! rekka $entro la 2SE(0) premiamo F# ;ino a Buan$o non appare il message o> premiamo OT nel message message o> che che $ice 28(ES%E(ED e torniamo a$ Oll! premiamo F# ;ino a Buan$o Buan$o usciamo $alla 2SE(0) 5cre$o asti asti premerlo una sola sola volta siamo Bui

facciamo un po di #ac' tracing fino a >>B;6%% cio9 8ui H* S21RT ?!_5atri3.>>B;6!,

camiamo Buesto coman$o in mo$o che salti sempre su (egistere$ camiamolo cosi H5P >>B;6!,

Proviamo a ;are P+,Z che ello niente 8, screen ma purtroppo li volume  ancora $isailitato. Per veri;icare che proprio non asta lanciamo lo screen saver anche in mo$alitI start invece che con;iguraione vi spiego come. Su Oll! $al menu DeugMW,rguments Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

come argomento scriviamo /s 5in pratica  come avviassimo il programma scriven$o nome programma /s nel nostro caso  come ;osse 0D 'atri> ScreenSaver.scr /s /s negli screen saver sta per start mentre /c sta per con;iguraione. premiamo ok e Oll! ci $ice $ice che Buesta Buesta mo$i;ica sara $isponiile $isponiile solo ricarican$o... ricarican$o... premiamo <[[= per ricaricare ricaricare lo screen saver saver con i nuovi argomenti argomenti $i avvio premiamo il tasto
una volta attivata premiamo P)%K per vedere cosa succede

lo screen saver parte... ma aiamo il contatore il nag screen allo sca$ere $el contatore e lassena $i musica. leaaaaa camiare camiare Buel coman$o coman$o  solo una lamerataJ lamerataJ 1' dai c+e siamo frementi di portare a segno il nostro o#iettivo@

partiamo a$ ero cancelliamo cancelliamo tutti i reack point point 5tasto <"= e tutte le mo$i;iche 5tasto 'essage"o> torniamo sul programma e premiamo OT oll! rekka come prima premiamo F# ;ino a Buan$o non appare il message o> premiamo OT nel message o> e torniamo su Oll! Premiamo F# una volta per uscire $a 2SE(0) e tornare nel sorgente $ello screen saver osserviamo ene la nostra situaione:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

vedete cosa c:9 un po piL sotto di JT+an' (ou for purc+ase@J M c:9 8uesto >>B;A%=A 51V &KTE &KTE PTR PTR !S7/B%A&<>0" ;

 interessantissimo...  come impostasse un valore a 1 che in$ica che lo screen saver  registrato mentre se  a *  28registere$. Facciamo una panoramica su Buesto coman$o. spostiamo su e ;acciamo un click sulla prima riga $el co$ice praticamente su ***1*** premiamo &%(+KF per per eseguire la ricerca 5in Buesto mo$o partiamo partiamo $alla prima riga al suo interno iinseriamo 51V &KTE PTR !S7/B%A&<>0" ; premiamo , mi so;;ermo a in$icarvi la riga r iga Bui sopra in pratica le prime # righe preparano la lettura $el registro $i sistema e la riga a **16F71 legge 5(eguer!3alueE>, 5(eguer!3alueE>, il contenuto $el registro $i sistema in Buesto caso legge ciA che leggiamo su **16F6# ovvero lo 2ser 8ame. **16F77 &,++ 0D'atri.**1666 **16F7& %ES% E,Q E,Q testa E,Q **16F7E 48V SHO(% se E,Q  $iverso $a * esegui il salto **16F#* 'O3 "Z%E P%( DS:<,7")*= * **16F#7 'O3 E&Q <+O&,+.6= **16F#, P2SH E&Q U /hTe! L **1)FF"* **16F#" &,++ DRO(D P%( DS:<[-,D3,P0).(eg&loseTe!W= DS:<[-,D3,P0).(eg&loseTe!W= U ^(eg&loseTe! **16F91 &,++ 0D'atri.**1666 Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

**16F96 %ES% E,Q E,Q testa E,Q **16F9# 4E SHO(% se E,Q L * esegue il salto **16F9, 'O3 "Z%E P%( DS:<,7")*= 1 E&&O +, 8OS%(, (&E(&, D P(',J **16F,1 'O3 ESP E"P **16F,0 POP E"P U kernel0).77E611, **16F, (E%8 Da Buello che ve$iamo si capisce che il programma legge il registro poi ;a $ei con;ronti se il seriale  esatto allora 'O3 "Z%E P%( DS:<,7")*= 1 invece se il seriale  sagliato 'O3 "Z%E P%( DS:<,7")*= * ene ;acciamo la nosrta mossaJ ricarichiamo il programma e an$iamo allin$irio **16F9# 5premete &%(+K e inserite **16F9# siamo Bui **16F9# 4E SHO(% ora mo$i;ichiamo il 4E in 48V cosi $a invertire la sua aione. Facciamo Pla! eheheheh l programma non mostra nessun nag screen  registato e con li volume attivoJ ce laiamo ;attaJ 8OOOO non  veroJ :D ce laiamo ;atta per metIJ il programma  cracckato per metI tutte le opioni sono attive ma se lo carichiamo con il largomento /s poi attiviamo la mo$i;ica 5premere il tasto

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

ok ragai  ;atta  tutto crakkato potete provare lo screen saver completo in tutte le sue parti : riassumo le patch Patches ,$$ress Sie State Ol$ 8eC &omment **16F9# ). ,ctive 4E SHO(% 0D'atri.**16F,1 48V SHO(% 0D'atri.**16F,1 **17&"1 ). ,ctive 4E SHO(% 0D'atri.**17&", 48V SHO(% 0D'atri.**17&", &onsi$eraioni: per trovare Buei punti era possiile anche eseguire $ei reack point sulla lettura $el registro $i sistema cio su (eguer!3alueE>, ma avremo altre occasioni $i provare anche Buesto tipo $i approccio :M ,hJ non $imenticate $i chiu$ere ene i pistacchi rimasti :D

/#acking * 3npacking

Eccoci alla proteione pi importante che spesso  anche associata a Buelle appena analiate. Si tratta $ei packer $i eseguiili 5ve$i paragra;o Concetti #ase sul reversing,81eac-er . &i sono tantissimi packer al mon$otutti con un mo$o particolare $i proce$ere. %ra i pi intelligenti 5e costosi ricor$iamo E>ecr!ptor e ,rma$illo per le cui proteioni isogna lavorare parecchio 5e$ essen$o reversing avanatovi riman$o alle ottime gui$e $i Evolution. n Buesto capitolo analieremo in particolare un unpacking classico $i 2PQ nel meto$o automatico e manuale ;ino allunpacking $i un crackme apposito realiato $a pre$ator 5con un sistema intelligente $i proteione. /Normal unpacking Esempio pratico n. ,7


2PQ1= uesto  un semplice eseguiile che  solo packato con 2PQ. %ool: 2p>Shell 5o up> stesso (DPacker Detector 5o il mio :D e Oll!Dg "enepren$iamo (D e apriamo leseguiile $a analiareecco Buello che appare: Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

<&'M

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

,priamolo $entro Oll! e ve$iamo cosa succe$e. ntanto lEP 5 capitolo /asi del reversing,8 * semra strano...

'a va ene. Ora tentiamo $i intercettare la messageo> che appare premen$o il tasto al centro $el crackme. &omman$lline p> rtc'sg"o> ecco il risultato

8o re;erence. 8essun ri;erimento. E cosN  in;attinessun reackpoint appare. Ecco che un Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

eseguiile packato presenta Buesto grave prolema. Per risolverecerchiamo $i scomprimerlo. Pren$iamo 2p>Shell 5o 2PQ stesso e ve$iamo come proce$ere: "  semplicissimolo apriamo $entro 2PQ e premiamo ?Decompress@ :D

Semplice veroG Era solo per ;arvi entrare nellotticama $ovete sapere che tutti gli altri programmi $i compressione non permettono anche lunpack. n;atti spesso troverete molti unpakker giI pronti ma non sempre ;unioneranno. , Buel punto isogna arrangiarsi a mano. +o stesso oll! mette a $isposiione un como$o ssistema $i script 5previa installaione $i Oll!Script che spesso sono volti allin$ivi$uaione $ellEP l prossimo crackme in;atti ha una $i;;icoltI in pi.

/)anual unpacking

Esempio pratico n. 7


<&'6M

2PQ)= uesto crackme  stato si compresso con 2PQma anche trattato con un programmino $i mia invenione2p> ,ntiunpack:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

4ool3 2p> - Oll!Dg

Ecco che se proviamo a$ unpakkare il nostro crackme con 2PQ acca$e Buesto:

&ome proce$iamo alloraG ,priamolo $entro Oll! e ve$iamo. &ome si ;a a$ unpakkare manualmenteG Facileisogna risalire allOEP. 5ve$i seione Concetti #ase sul reversing,98 . &ome ottenerloG "un ottimo reverser ha realiato un programmino che la maggio parte $elle volte ;uniona 5seione %ool $el reverser ma  poco orto$osso. Facciamo invece manualmente. (echiamoci alla ;ine $el co$ice asseml! utile  e settiamo un reackpoint:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Premiamo F9 e man$iamo in (un. Suito Oll! loccherI proprio a Buellin$irio 5;in lN in;atti  solo co$ice $el packerche sta scompattan$o il crackme in memoria. ,l reackpremiamo F7. EccociBuello  +OEP.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

+o riconosciamo per ) motivi. Essen$o Buesto un crackme in visual asic 5ricor$iamo limportana $el inguaggioG &apitolo Fon$amenti $i reversing  sappiamo che suito prima $ellEP ci sono i ri;erimenti alle varie ,P e suito $opo una chiamata alla %hun(%main. &he ;are oraG Esportiamo un Dump ;unionanteJ Fate tasto $estro MW Dump $eugge$ process 5$ovete avere il pluging ?Oll!Dump@ Ecco cosa appare 5non toccate nullatogliete perA lo spunto su reuil$ importJ


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

E premen$o su ?$ump@ verrI esportato le>e unpakkatoJ 'a non  completo$ivete ricostruire la ,%. Per sapere come ;arerecatevi nella seione trucchi reversing che segue Bualche capitolo pi avantiJ Provare per cre$ere.

/0dvance unpacking

Esempio pratico n. A7

Crac-2e utilizzato3 2n crack me creato $a Pre$atorlo trovate nello ip allegato a Buesta gui$a.

<&'7M2npack=

uesto unpack me  leggermente pi complicato $egli altriperch usa un meto$o tutto suo $i proteggere. 4ools3 Oll!DgPE%ools(DPaker Detector3"DecompilerPE,nal!er 5! &trlaltcanc :P

Per prima cosaapriamo il nostro e>e $entro (DPacker Detector. l nostro packer $etector non segnala nulla...ma le>e  ineBuivocailmente pakkato su;;icente Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

tentare $i camiare una captiono apportare Bualche altra mo$i;ica... ,priamolo allora $entro il 3"Decompilere rechiamoci alla seione ,P...

,lcune ,P sono $avvero interessantitra cui &reateProcess,(esume%hrea$ e RriteProcess'emor!....$iremo noicosa se ne ;aGSemplicese guar$iamo nella $ocumentaione $elle ,Pscopriamo che serve proprio a$ aprire un nuovo processo in memoriaJ Per prima cosacarichiamo in oll! il programmae settiamo un el reakpoint sulla su$$etta ,P:

Ottimoavviamo il processo $a oll!e Buan$o rekka guar$iamo lo stack:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Ecco la chiamata all,P.,naliiamo $i cosa  composta...interessante la &reation;lag &(E,%ES2SPE8DEDla Buale in;atti preve$e la chiusura solo $opo un invio $i un coman$o (esume%hrea$ ....ma guar$a guar$aJ 8elle ,P $el programma troneggia pure Buella chiamataJ

'a passiamo oltre...aiamo ora un piccolo prolemail processo in realtI semra che sia riaperto solo Buello principalema con il coman$o 5sempre presente tra le ,P trovate RriteProcess'emor!si puA scrivere un programma $irettamente nella memoria $el processo...oraproviamo a rekkare proprio lN: 5sempre nello stack

&osa notiamoG"u;;er **17D"# 5camia $a P& a P&Buin$i a$attatevi al vostro...proviamo a ve$ere cosa va a scrivereG

E rechiamoci nella seione HEQ:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

notiamo nulla $i stranoGG 'V alliniio...%his program cannot e run in DOS mo$e...ma..ma.. un eseguiileJ Se continuiamo a steppare con F9 per ancora 0 o  voltele>e viene interamente scritto in memoria. Oraapriamo il mitico programma PEanal!er 5ehehil mio e usiamo la ;uniona ,ttach per analiare il processo $el &rack'E e rechiamoci negli optional Hea$er :


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

,nnotiamo il Sie O; &o$ee proseguiamoJ Ora$oiamo $umpare$a Buellini$irio prima in$ivi$uato 5il primo reckpoint su RriteProcess'emor! che nel mio caso  **17D"#. ,priamo Buin$i PE%oolse

Orainseriamo i $ati appena scopertiossia lin$irio $a cui partire a $umparee la $imensione $elle>e 5in mo$o tale che capisca Buan$o ;ermare il $ump

Ecco ;attoJ ,$esso ricostruiamo un e>e $al $umpcome meglio cre$eteusan$o Buello che volete 5lor$Pe... e avete le>e unpackato. uesta  una proteione giI pi avanata $i un semplice 2PQ o ,SP pack.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

/0ccenno ad altri metodi di packing

8aturalmentei meto$i $i packing con relative proteioni sono molteplici. %ra i pi $i;;usi e importanti ricor$iamo tuttavia: 81ecr7ptor il Buale ha come punto $i ;ora la

virtualiaione $ellentr! point e $i alcune parti $i co$icesostituite con garage co$e. Per cui alcuni pei $el programma sono veramente con;usi $a stu$iare e $a ricostruire. Distrugge una uona parte $elle importe utilia una interessante tecnica $i $eug asata su alcuni trhea$ aperti che monitorano costantemente la presena $i un $eugger.

rmadillo 2tilia il meto$o $ellhar$Care ;ingerprintossia un co$ice univoco per ogni P&

cui  associato un serialeal primo avvio $el programma viene richiesto. Se inserito correttamente i $ati vengono messi nel registroe il programma ;unionerI per sempre. 2tilia anche $elle ;alse mportper con;on$ere il reverser e ne sostituisce alcune con altrecreate in proprio $ai suoi programmatori. Ottimi tutorial su Buesti $ue packer li trovate sul sito $i Evolution 5ve$i ringraiamenti

/0441SS 0 +"1

%alvolta invece i programmi asano la loro avvenuta registraione trammite chiavi $i registroo $ei ;ile esterni al programma 5spesso co$i;icati o en nascosti. Ecco un como$o tutorial per pren$erci la mano. Esempio pratico n. 67


<&'#M

File= 4ool3 Oll!Dg Filemon.

(icarichiamo il ;ile $entro oll!e $iamo una occhiata. Dopo una prima analisi notiamo che non  possiile ;are molto per crakkarlo 5o ;orse sNma a noi interessa un altro meto$o. Pren$iamo il nostro ;e$ele File'one impostiamo come ;iltro il nome $el nostro crakme.5?&'#M File@ Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Premiamo oke avviamo il nostro programma. %ra le moltissime righe notiamo una cosa molto interessante :

EhehBuel &:^tmp.tmp ci ;a intuire la presena $i un ;ile esterno $i ri;erimento. Doppio clicke apriamolo. l contenuto  aastana anale: 28(ES%E(3E(SO8M Sostituiamo lintera stringa con il nostro nick 5&trlaltcanc e riavviamo il programma...

Primo ostacolo superatoJ 5in;atti anche se premiamo checknon mostrerI alcuna messageo> Ora manca il secon$o oiettivo;are in mo$o che se si preme il tasto registernon appaia il ;ormma una messageo> 5non meglio speci;icata


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

P%SS1 < "ene eneora an$iamo nel men plug in e seleioniamo il plug $ella comman$ linee impostiamo un reckpoint sulle messageo>

Ottimoaiamo 0 ri;erimentiJ 2no  Buello che si apre Buan$o premiamo il ?G@laltra Buan$o premiamo il check e non siamo registratie lultima $eve essere la msgo> $a ;are apparireJ ,n$an$o per esclusionearriviamo a capire che Buesta  Buella a cui mi ri;erisco:

"enissimoora $oiamo intercettare la chiamata al ;orm che generalmente appare alla pressione $el tasto register 5  Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

e ;are Xumpare il programma sullin$irio $ella msgo>... ***0#F . &7 9& D*)9*W'O3 DRO(D P%( SS:
per ;are ciA  necessaria sempre la comman$ linesta volta con la stringa: #p1 ::v#a5e0

(aggiunto il ;orm voluto 5allin$irio ***0*0mo$i;ichiamolo col Xmp:

Fine


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Ecco una raccolta $i Buei trucchi e consigli utili che si a;;inano e si scoprono $opo Bualche esperiena in amito $i reversing. /0B"T0(1 3N BTTN1

"un meto$o poco orto$osso  $otarsi $i so;tCare appositocome %8% 5creato $a me

J  :

'a noisiamo pro;essionisti 5 e anche perch il programma ;a solo mo$i;iche temporanee;ino a che il prog rimane apertoe asta n;atti$oiamo sapere che i comman$ utton $el visual asicpossono essere ;acilemte ailitati anche $allhe> e$itor. 2siamo la ;unione cerca per recarci alla riga $el comman$ utton 5cerchiamo il valore captionche in Buesto caso  :login Oravicino a tutte le vari ci;recompare un *#e suito $opo un **

'o$i;ichiamolo in *1e salviamo le>e.,pren$olo avremo il comman$ utton ailitatoJ Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

8aturalmente tutto il proce$imento puA essere compiuto anche $entro lo stesso $eugger$ato che in genere ;ornisce sempre anche una ;unione $i he> e$itor.

/"T(1#0SS0(1 "0 S3B!"0 T14N40 !1 40(0TT1( 4N ""5

,lcuni crackme 5pi che i programmi hanno nel nome $el ;ile alcuni caratteri strani. n particolare mi ri;erisco a$ esempio a : rogramma;s;sDaCraccare.e1e

Se non lo sapete `s  una stringa molto utiliata in & e &KK per pescare il valore $i una variaile...proailmente Oll! cre$en$o sia una variaile va a leggere nel nome ;ile5$ato che $eve impostarlo come nome $ella ;inestra corrente e chissI cosaltro e genera un errore critico. vrete capito che per sistemare il pro#lema è sufficiente rinominare il file.

/(4ST(3(1 "1 )#(T

+e import tale. Di cosa si trattaG Praticamente sono uno $ei componenti che appartengono al ;ormato PE e contengono tutte le chiamate alle ,P utiliate $al programma. +a tecnica $ella ricostruione $elle import  utiliata specialmente 5se non unicamente $opo aver ottenuto un $ump $a un programma packato con un packer importante. Ecco un esempio. ,prire mp(E& 5seione tool $el reverser e seleionare il processo che si sta $euggan$o impostare Buin$i l OEP a Buello $esis$erato 5aiamo ;atto un $ump noG Se non ricor$ate cosa cercate nel capitolo Fondamenti del reversing,se non sapete ;arne unoconsultare il paragra;i successivi e premere il pulsante ?,% ,uto Search@ $ovree comparire una messageo> contenente la % che regolarmente  stata trovata.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Premere Buin$i getmports e$ appariranno 5se  in v6 come in Buesto casosolo uno tutti i thunk relativi alle imports. %alvolta il programma riesce a ricostruirle pienamentee il $ump  a posto. 8el caso che segue perAci sono stati $ei porlemi:

Se an$iamo allin$irio in$icato 5in Buesto caso **0",66* con Oll! apparirI un co$ice simile a Buesto:

Fare $oppio click Buin$i sulla ;unione non risolta $a imp(ec e $allelenco che compare seleionare ?vaEn$@ 5in Buesto caso e premere ?OT@. Ora le import sono a postoe se premiamo su Fi>Dump avremo il $ump ;unionante.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

<arte di guida creata da redator,vedi ringraziamenti=

3isual "asic 6  un linguaggio interpretato e anche per eseguire semplici operaioni genera molta con;usione nel co$ice. 'olti ritengono noioso o $i;;icile riversare programmi ;atti in visual asic proprio per la con;usione generata $al co$ice 3". n Buesto $ocumento illustrerA alcune tecniche che sicuramente vi aiuteranno a$ avere vita pi ;acile nel reversare 3isual "asic. / Scopo a#ilitare un tasto disa#ilitato

l sorgente in Buestione preve$e che ci sia una ;unione che esegue &omman$1.Enle$LFalse nel +oa$ Form che si occupa $i $isailitare il tasto pertanto $i suo saree ailitato. Proce$ura: caricate le>e 1Enale'e.e>e in Oll! ci sono vari mo$i per arrivare al punto esatto $ove il co$ice $isailita il tasto io pren$o il pi imme$iato 5ottimio hehe cmB ve$iamo tutto con calma e nei $ettagli. ,ppena caricato le>e in Oll! premiamo il tasto $estro Search ;orMW ,ll intermo$ular calls

+a ;unione che si occupa $i ailitare/$isailitare i coman$i  vaOXSet Facciamo $oppio click su Buella call per an$are $irettamente al co$ice che ci interessa:

+a cosa interessante la notiamo allo;;set 5in$irio ***1"1F: C%)) *E%R !D1R! PTR !S7/ECN6C0


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Doiamo portare la nostra attenione sulla costante /ECN60 in pratica  Buella che $ice alla &,++ $i impostare Enale$ L False. Pertanto per raggiungere Buesto punto cruciale possiamo anche premere &%(+KF 5oppure tasto $estro Search ;orMW comman$ e come testo $a ricercare inseriamo C%)) *E%R !D1R! PTR !S7/ECN6C0 Vi troverete esattamente allOindirizzo >>B>;&;.

+a soluione per ;ar si che il tasto non venga $isailitato puo essere Buella $i noppare la &,++ :M Provate al posto $i C%)) *E%R !D1R! PTR !S7/ECN6C0 mettete un *1P avviate il programma 5F9 e il tasto sarI ailitatA. Riassumendo: __v#a1#Set imposta lo stato enale$ $ei controlli C%)) *E%R !D1R! PTR !S7/ECN6C0 esegue loperaione $ella __v#a1#Set allin$irio speci;icato :M Esempio<7

in Buesto secon$o esempio ci occupiamo $i analiare sempre lailitaione $i un tasto ma Buesta volta nel caso che non ci sia nessun co$ice $i attivaione/$isattivaione ovvero un tasto $isailitato $alle proprietI $el compilatore. &aricate in Oll! il secon$o esempio: )Enale'e.e>e &ome $etto prima Bui siamo in una con$iione $iversa il tasto  $isailitato nelle proprietI $el compilatore e non c nessun co$ice che ne mo$i;ichi lo stato pertanto $ovremo intervenire nella struttura stessa $el controllo. Proce$ura: %asto $estro Search ;orMW ,ll re;erence$ te>t strings 3e$ete la riga evi$eniata in grigettoG l nostro &omman$1 ;ate $oppioclick.


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

3e$ete la riga evi$eniata in grigettoG l nostro &omman$1 ;ate $oppioclick. &ome ve$ete nellimmagine vi trovate nella struttura $el tasto ve$iamo $i spiegarla: non necessario ma utile per ren$ere maggiormente comprensiile le in;ormaioni ;acciamo tasto $estroMW;olloC in $umpMWselection come $a immagine


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

8ella ;inestra sotto veniamo veniamo posiionati esattamente esattamente nel $ump $el $el tasto:

n pratica leggiamo le stesse in;ormaioni che aiamo sopra $isposte in verticale :MD ma Bui sono piu ;acili $a compren$ere. E chiaro e ;acile capire Buanto segue: il nome del comando  ?&omman$1@ ***1))1 0 6F 6D 6D 61 6E 6 01 ** &omman$1. Poib.

***1))1 bbbbbbbbbbb... 6E 61 Ena ***1)01 6) 6& 6 )* D 6 le 'e uello che segue ;ino a prima $i ** *  la caption del controllo ?Enale 'e@ Poib uesta  la proprietQ )eft solo che 5come sapete nello stack le in;ormaioni si leggono con il criterio +FO 5se non avete chiaro lo stack leggete lopportuna $ocumentaione $ocumentaione che ho scritto pertanto lo rovesciamo ,** $iventa *,* che tra$otto in $ecimale  1* in;atti se an$ate a ve$ere il sorgente ve$rete che &omman$1.+e;t L 1* Poib

Stesso criterio $i prima Buesta  la proprietQ Top 6#*1MW*16#MW06* pertanto &omman$1.%op &omman$1.%op L 06* heheh  proprio vero ehG :P Poib

Bui incontriamo la proprietQ Didt+ 5la larghea $el controllo 17*7MW*717MW1#1 Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Poib

+a proprietQ 2eig+t 5altea $el controllo EF*1MW*1EFMW9 Finalmente alla ;ine troviamo

&io *#** la proprietQ Ena#led >> sta per alse" cam#iate >> in  facendo tasto destro su >>

"inar! MW E$it 5oppure &%(+KE E nel ;alore esa$ecimale camiate ** in FF come $a immagine

Date lOT premete F9 per runnare il processo e ;elici ve$iamo il tasto che ora  ailitato :D ueste in;ormaioni  utile conoscerle ma la struttura  si puA mo$i;icare ;acilmente con programmi a$atti allo scopo scopo pertanto ricor$iamoci ricor$iamoci soprattutto il co$ice spiegato spiegato nellesempio 1. Esempio?7

,lterare il testo inserito in una %e>t"o> e +ael. &arichiamo in Oll! lesempio 0Set%e>t.e>e. 'olto similente allesempio 1 __v#a1#Set si occupa anche $i impostare il testo nelle %e>t"o> e +ael. Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

uesta volta la &,++ che ;a la $i;;erena  >>B>;CEA C%)) *E%R !D1R! PTR !S7/ECN%B0 Simile al primo esempio Buesta volta  la costante /ECN%B0 che $ice $i impostare il

testo poppan$olo no verra messo alcun carattere:

Stessa cosa per la lael solo che Buesta volta la costante  /ECN%B0 &ome prima poppan$o la call >>B>;!<% C%)) *E%R !D1R! PTR !S7/ECN,B0

non apparira nessun testo. &osi si possono togliere scritte non volute o $iciture $ai programmi : Per mo$i;icarne il contenuto seguite Buesti passi: tasto $estro allo;;set >>B>;CEA MW FolloC in $ump MW imme$iate constant Per mo$i;icare il testo evi$eniatelo e premete &%(+KE 5oppure tasto $estro "!nar!MW"inar! E$it Da Bui potete mo$i;icare il testo como$amente $a unico$e. ,ilitare una voce $i menu che  $isailitata. 8ellesempio 'enuEnale'e 'enuEnale'e c un co$ice nel +oa$ Form che $isailita la voce $i menu noi $oiamo trovarla e$ iniirla. %asto $estro MW search ;or MW all intermo$ulars call Facciamo $oppioclick su __v#a1#Set

E$ ecco ancora una importante &,++ e importante &OS%,8%E: >>B>;!= C%)) *E%R !D1R! PRT !S7/ECNAB0 +a costante /ECNAB0  molto importante perch  Buella che $ice se ailitare o

$isailitare un menu pertanto potete raggiungere Buesto punto ricercan$o il coman$o: C%)) *E%R !D1R! PRT !S7/ECNAB0

e nopparlo per impe$irne lesecuione. l menu risulterI ailitato Pertanto se incontrerete $elle voci $isailitate a causa $i un $emo ora sapete come raggiungere velocemente velocemente il punto e$ ailitarla : : Esempio,7

n Buesto esempio c un timer che lentamente 5impostato a ** ms reimposta una %e>t"o> Enale$ L False 'eto$i per iniire la $isailitaione $ella %e>t"o> ce ne sono altri ma Buello che interessa a noi ora  $isailitare il timer. Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

&arichiamo in Oll! leseguiile %imer.e>e tasto $estro MW Search ;or MW ,ll re;erence$ te>t string ;acciamo $oppio click su ?%imer1@*

Poi ancora tasto $estro MW FolloC in $ump MW Selection

3e$ete il valore esa$ecimale evi$eniato $al rettangolo rossoG F*1 MW *1F MW ** Y il valore $ellintervallo $el timer 5%imer1.interval L ** E$itate F *1 in ** ** e$ il timer verrI $isailitato :


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Eccoci arrivati al capitolo pi atteso. ,ttenione che Buesta seione non serve a$ incitare voi lettori a craccare programmi commerciali perch  lo scopo $el reversingensN per poter stu$iare $a vicino le proteioni che realmente compongono i programmi mo$erni. 2n po come i crack me che sono la palestra $ei reverseril crack commerciale  il saggiola partitala veri;ica $i ciA che avete imparato. 3i ;accio ancora notare che craccan$o Buesti 0 programmi che seguirannonon $ovrete an$are in giro a san$ierarvi reverserJ ,vete solo letto e seguito un tutorial. &ercate $i essere oiettivie capite che con la pratica e lo stu$io riuscirete a raggiungere gran$i traguar$i.

/#04+4 0SS03"T LI&)( http://CCC.gamecentersolution.com/$oCnloa$game.asp>G,DL11-&DL)177

Tools7 •

•

!'tCompiler il mio$ 1ll(!#g con plugin della command line$

,llorainiiamo.Per prima cosa analiiamo il nostro eseguiileapren$olo $entro il mio Dktr compiler...ecco il risultato:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Ottimonon  neppure compresso.Oraapriamo il gioco e analiiamoloper ve$ere che tipo $i proteione  stata implementata...

,hiche tristeaJ 2na proteione a tempoJ Solo 6* minuti $i gioco e poi il $emo non si puA pi usare...8o prolemaJ ,priamo il gioco $entro oll! e cerchiamo la prima cosa logica...una ;unione Set%imer che $ovree appunto ;ar partire il conto alla rovescia...purtroppo non esiste nulla $i simileper cui prviamo con Bualcosa $i pi mirato...per esempio l,P et%ick&ount che $ovree appunto occuprsi $i segnalare lavanamento $el tempo...in Buesto caso in negativoin;atti a$ ogni tickil nostro counter $iminuisce ;ino a raggiungere lo ero...la stra$a pi veloce in Buesto senso  proprio Buella $i 8oppare le chiamate all,P et%ick&ount per risolvere ogni prolema. ,priamo $unBue il programmae an$iamo nel men plugMin seleionan$o la comman$line...$igitiamo Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

e ve$iamo ciA che appare...5scorrete un po la lista

Bueste chiamate rosse sono i reackpoint...clikkiamo su ogniuno $i essie verremo portati al co$ice corrispon$ente...per esempio...

Ottimo$oiamo noppare noGE ;accimoloJ Doppio click e scriviamo 8oP


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

enissimoora ecco come appare...

Facciamolo anche con le altre e$ il gioco  ;attoJ

/01,T61 0!-0N41! 61 1!T( 7.8b Link: http://www.axe-editor.com/downloads/installAXE.exe

Ecco un crack $i un prog commercialeanche utile :D Tools I!% Pro &inder %nal(zer #( 5e $ Calcolatrice di Dindos

,lloraper prima cosa analiiamo super;icialmente il nostro target...

che non presenta alcun segno $i proteione...enissimo. ,priamo le>e $entro D, Proe mettiamoci a$ analiarlo: Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

cerchiamo la GetWindowTextA proprio Buella che legge preleva il serial numer. Poco pi sotto  presente anche la riga call?GetWindowTextA@CWnd@@QBEXAAVCString@@@Z

che appunto preleva il nome. Oraanaliiamo il co$ice lN attorno... .text:00!BB"" .text:00!BC0 .text:00!BC0 .text:00!BC0B .text:00!BC0" .text:00!BC' .text:00!BC'; .text:00!BC'B .text:00!BC'E .text:00!BC!0 .text:00!BC!! .text:00!BC! .text:00!BC! .text:00!BC! .text:00!BC!E .text:00!BC!E .text:00!BC!E .text:00!BC! .text:00!BC; .text:00!BC .text:00!BCB .text:00!BCC .text:00!BC! .text:00!BC; .text:00!BC .text:00!BCC .text:00!BC#

call?Get#lg$te%@CWnd@@QBE&AV'@(@Z )CWnd::Get#lg$te%*int+ %o, ecx-eax call?GetWindowTextA@CWnd@@QBEXAAVCString@@@Z %o, edx-/e12'34 153 o66eta7ot6o5nd )879T"97#8 153 edx calld:<tric%1 add e1-= c%1 eax-e>x n 3ortloc<!BC!E 153 e>x 153 e>x 153 o66eta7oatc3e"o5nd )87o %atc3e 6o5nd.8 call?A6xeageBox@@DG(&B#$$@Z)A6xeageBox*c3arcont-5int-5int+ loc<!BC!E: %o, eax-/e12'=34 leaedi-/ei234 153 edi 153 o66eta5 )8Hl58 153 eax calld:can6 add e1-0C3 leaecx-/e12'34 leae>1-/ei2=34 153 ecx %o, ecx-e>1

)C9#E XFE":.text:00!BC!0


Guida al Reversing

.text:00!BC" .text:00!BC; .text:00!BC;; .text:00!BC;K .text:00!BC;B .text:00!BC;C .text:00!BC' .text:00!BC .text:00!BC .text:00!BCK .text:00!BC= .text:00!BC# .text:00!BCK! .text:00!BCK .text:00!BCK .text:00!BCKB

C.REV.T

Ctrl_alt_canc Corp.

call??CString@@QAEABV0@ABV0@@Z )CString::o1eratorI*CStringcontJ+ 153 ecx %o, ecx-e1 %o, /e12'34-e1 153 e>1 call??0CString@@QAE@ABV0@@Z )CString::CString*CStringcontJ+ %o, edx-/edi4 %o, eax-/ei2034 153 edx 153 eax %o, >Lte 1tr /e12K34-' call5><'0A'0 %o, ecx-eax call5><'"BB0 c%1 eax-e>x loc<!B"A

OttimoBueste righe sono interessanti...in;atti ve$iamo una chiamata alla su 1F""*e una successiva comparaione 5cmp $i ea> e e>in ultimo luogo un salto con$iionato...rechiamoci col mouse sopra la su 1F""*


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

eheh....guar$iamo ene Buella stringa...prima viene messo in esi il valore inserito nella ;inestra $i registraione e ora viene paragonato con il valore )7)hche pren$en$o la calcolatrice $i Cin$oCs... seleioniamo la scienti;icae settiamo come unitI ?he>@.&opiamo )7)


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

ora clikkiamo su Dec...

il valore giusto  1**)1...proviamo a$ inserirlo nella inter;accia $i registraione


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

&rakkatoJ


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

/!0)0 !1"3 7.9 "ink: http://www.temporale.net/DAMA31S.ZIP Tool: OllyDbg 1.10 IDA Pro 5.1 (o inferiori) •

•

Premessa

Se aprite le>e noterete le ?proteioni@ che i programmatori hanno inserito.Ecco Buin$i i nostri oietivi: M(imuovere il nag iniiale con Buel ;asti$ioso count$oCn $i )* secon$i M(imuovere la limitaione $elle mosse 5Provate a ;inire una partitaa$ un certo punto appare un messageo> che $ice che la mossa la ;arI lui M.M Passo uno – Eliminare il nag

DunBue evi$ente 5;i$atevi che non essen$o stato ;atto uso $i una ;unione ShoCRin$oC nel programma per mostrare il nagproailmente si lavora sulla Form,ctivate. Oraapren$o il nostro Dama $entro un he> e$itor Bualsiasi e cercan$o il ri;erimento a Buella stringasi viene portati allin$irio 004020A8 . ,priamo D, e $iamo una occhiata...


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Se settiamo un rekpoint e poi premiamo F9ecco che D, rekka prima $i mostarre il $ialog. "enissimolasciamo pure aperto D, e apriamo Oll!$entro il Buale caricheremo sempre Dama $elu>. &trlK e ci rechiamo al su$$etto in$irio.,naliiamo ciA che si ve$e $entro D,che con la sua ;unione $i gra;ico ci ;a capire per;ettamente il co$ice...ripeschiamo D, e premiamo la arra spaiatricee$ ecco Buello che appare:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

"ene ene...Buel Xn controlla la mancana $i ;ile necessarie in caso a;;ermativo lo segnala al programma. ,ltrimenti proseguema Bueta routine non ci interessa...piuttostoproviamo 5sta volta $entro oll! a settare un reckpoint sul Push Ep 5***)*,# e runniamo il prog con F9. Oll! rekkama noi steppiamo con ;#e in corrispon$ena $ella call ***)*ED FF9) D#****** &,++ DRO(D P%( DS:
,iamo $etto prima che appare un message o> noG Ottimo$entro oll! settiamo come $i consueto un p:

Proprio Bui$opo un tot $i mosse oll! rekka... **7F9, _. E# F16D*** &,++ [4'P.-2SE(0).'essage"o>,W U ^'essage"o>, analiiamo la situaione $a oll!: Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Ehehsia nello stack che nei registri appare il testo $ella messageo>.Se ora steppiamoarriviamo Bui:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

Ottimonotiamo nullaG Se guar$iamo nei registriproprio agli in$irii pushati Bui: 00406C5C lea ecx, [ebp-008C] 00406C62 lea edx, [ebp-74]

ci sono le righe +imitaione shareCare e 3ersione SH,(ER,(E: Buesta mossa la scelgo ioJ .

ntuiamo suito che allin$irio **",9&& aiamo una ;unione ponte per l,P 'essage"o>, 5c la call noG. Oraritorniamo al ;e$ele D, e risaliamo ;ino al co$ice che controlla Buella routine:


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

2hm...tutti gli in$irii puntano lontano $alla messageo>...settiamo un p su Xg loc*6&," Ecco che alla prima mossa rekka...

Occhio eh...EQ&  a valore ******1)...,spettiamo una mossae$ ecco che rekka ancora...

******1*... $iminuito $i $ue...e se notateBuesto continua a$ ogni mossa;ino allo eroBuan$o poi arriva la call alla messageo>... &he ;are Buin$iG SemplicissimoJ&amiamo il con$iionale Xg in un Xmp e tutto sarI appostoJ Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

FineJ

I T11) !I CTR) %)T C%*C Per evitare perdite di tempo"e spreco di spazio vi rimando al mio sito sezione tool"precisamente 8ui7 +ttp7--crevt.altervista.org-CT.p+p


Guida al Reversing

C.REV.T

Ctrl_alt_canc Corp.

&on Buesta gui$a ho cercato in $ue settimane $i lavoro $i traman$arvi una parte $ella mia esperiena nel campo $i Buesta a;;ascinante arte che amo chiamare (eversing. E un po il amino che c in noiche vuole giocare con il suo giocattolo e lo rompe per ve$ere se puA ?;are $i pi@. Soltanto noi possiamo appreare limmane lavoro che il nostro computer compie ogni giorno per noiBuan$o scriviamo un testo o Buan$o giochiamo a 2nreal %ournament. 8on mi $ilungo su altri $iscorsetti ;iloso;icie passo ai ringraniamenti. Persone come Pre$ator 5http://pre$ator.;orumup.it e Evolution 5http://ogm$eveloper.org non possono mancare nella lista. Sono $egli ottimi reversersena i Buali non avrei imparato nullae graie ai loro ;orum ho appro;on$ito Buestarte aracciato $a una communit! molto ospitale. 3olevo ringraiare in particolare Pre$ator che mi ha intro$ottoseppur involontariamente in Buesto ;antastico mon$ostimolan$omi e aiutan$omioltre a$ aver gentilmente concesso il suo preioso tempo per una revisione tecnica generale $i Buesto $ocumento. (icor$o che il tutorial $el capitolo sulle proteioniseione %rial  creato $a lui e hostato sul suo ellissimo sito. noltre la parte $i gui$a $e$icata al reversing $i visual asic  e 6  $a lui realiata. (ingraio inoltre Dr. %o$$el Buale tempo a$$ietro ho stu$iato le gui$e e $a cui ho appreso le interessanti noioni sulla &P2 e sui sistemi $i enumeraione. E ringraio telettore che con la tua paiena sei arrivato al termine $i Buesta ennesima gui$a al reversingche lautore ha tentato $i ren$ere comprensiile a tuttie ;acile $a leggere. Spero $i esserci riuscito. n ultimissimo,vi rammento che la guida è totalmente gratuita e distri#ui#ile,l*unico s+orzo c,e i c,ie-o ,è di recarvi nel mio sito http3>>ctrlaltcanccorp.altervista.org e di cli''are nei google a-sense che stanno in #asso nella colonna di destra. 5on è per interesse personale,ma i soldi che guadagner li utilizzer per comprarmi un dominio 3@D

3i lascio con la mia ?;rase@: Http://crevt.altervista.org http://ctrlaltcanccorp.altervista.org

Enciclopedia Del Reversing.pdf

Recommend Documents