1 мая 2011 г.

Взлом и изучение программ в Linux

В последнее время наблюдается рост коммерческих приложений в Linux. Таким образом, возникает потребность в реинженеринге защитных механизмов в новых условиях. Крекеры, пришедшие с Windows не находят удобных инструментов, да и «родные» не знают о многих из них.

В данном обзоре я постараюсь восполнить информацию об инструментах крекера в Linux. Статья не претендует на полноту, эксклюзивность и ориентирована на новичков. (поиск юзал, такой темы не нашел)

Анализаторы файлов
Прежде чем ломать программу, необходимо проанализировать ее. Для этих целей служат следующие программы:

file
Показывает информацию о файле: тип, архитектуру, факт использования разделяемых библиотек, была ли удалена символьная информация командой strip.

nm
Выводит таблицу внешних символов. Показывает имена переменных, функций, метки. (Это справедливо только для файлов, не обработанных командой strip)

size
Выводит размеры всех секций программы (при указании флага -А).

strace
Выдаёт имена системных функций по ходу выполнения программы.

strings
Выводит все текстовые строки, содержащиеся в файле. Бывает очень полезна при поиске регистрационных кодов, хранящихся в открытом виде. (на практике все еще попадается такая слабая защита).

ldd

Показывает зависимости программы от динамических библиотек. Программистам пользы больше, чем крекерам.




readelf

Исследует файл. Выводит намного больше информации, чем команда file.

Показывает тип файла, архитектуру, точку входа и другие не менее важные для крекера данные.


Дизассемблеры

Objdump
Больше, чем просто дизассемблер.

Показывает заголовки программы, секции файла (флаг -х)
Дизассемблирует файл (флаг -D)
Показывает содержимое секций в шестнадцатеричном виде (флаг -s)
и т.д.

Замечание. При дизассемблировании файла, лучше скидывать листинг в файл: objdump -D > ./file, чтобы хоть как-то уменьшить вероятность вывиха обеих глаз.

Dissy
«Обертка» для утилит nm, readelf и objdump. (из-за этого файлы без символьной информации не анализируются)

Имеет графический интерфейс, работать намного приятнее, чем с objdump. Главное окно разделено на две части, в верхней – имена функций, в нижней – их дизассемблерный листинг. Программа показывает переходы, осуществляет навигацию по ним и по вызовам процедур.

Сравнение objdump и Dissy:




Lida (Linux Interactive DisAssembler)

Довольно интересный дизассемблер, включающий в себя модули поиска по строкам, криптоанализ, возможность ставить закладки и пр.

LDasm (Linux Disassembler)

Еще одна оболочка для objdump/binutils, написанная на Perl/Tk. По словам автора, "to imitate the look'n'feel of W32Dasm" Так что не мешает ознакомиться.
К сожалению, не обновлялся с декабря 2002 года.

Bastard
Дизассемблер под Linux&FreeBSD, понимаетELF/PE/bin-форматы.

Шестнадцатеричные редакторы
Отобразить в шестнадцатеричном виде файлы могут утилиты objdump, hexdump, od.

KHexEdit
Входит в среду KDE. Имеет графический интерфейс.

Bless
Написанный на моно шестнадцатеричный редактор. Поддерживает вкладки.

Biew
Консольный редактор. Позволяет просматривать и редактировать файлы в текстовом, шестнадцатеричном, ассемблерном виде.

HTE
Также консольный редактор, но функционально на голову выше прочих. Дизассемблирует файлы, поддерживает перекрестные ссылки, указывает имена функций и пр.

В Linux достаточно много шестнадцатеричных редакторов, я указал лишь самые интересные (на мой взгляд).

Дамперы
В случае, когда программа запакована, необходимо снять дамп памяти с запущенного процесса.

Я нашел только два достойных дампера.

PD by ilo
Опубликованный в журнале Phrack. Мне так и не удалось получить запускаемый дамп с помощью этой программы.

Process Dumper (pd)
Программа довольно неплохо снимает дамп с запущенных процессов.
Запуск: pd -p pid > dump

Далее нужно обработать файл напильником. Например, в KHexEdit



Удаляем символьный мусор до заголовка.

Таким образом мне получилось сделать запускающийся дамп с программой, запакованной UPX.

Отладчики
Тяжелая артиллерия:
gdb и все, все, все (графические оболочки)
Довольно мощный отладчик, но при работе можно вывихнуть руки (А без рук и без глаз какой же вы крекер?). Работать с ним довольно сложно, но можно.

Вердикт: для гуру.

EDB

Сравнительно недавно появился отладчик, напоминающий OllyDbg, только для Linux. Причем он написан с нуля, а не является оберткой для других утилит.

Окно разделено на 4 части: дизассемблер, стек, дамп памяти со вкладками, содержание регистров.

В работе этот отладчик очень удобен и интуитивно понятен. Программа позволяет ставить точки прерывания, искать строки, переходы к регистрам, и имеет очень много других полезных функций.



Linice

Неофициальный порт Softice под Linux. При установке требует древнее ядро и квалифицированного шамана с бубном. (Даже не стал париться)

В заключение несколько скринов с примерами работы:

Отладка в EDB, сравнение паролей:



Исследование файла при помощи nm & hte:




Также не помешает исследовать виртуальную файловую систему /proc для взлома программ.

================

LINKS:
PD by ilo: http://www.reversing.org
Process Dumper: http://www.trapkit.de/research/forensic/pd/
Dissy: http://www.ipd.bth.se/ska/sim_home/dissy.html
EDB: http://www.codef00.com
Linice: www.linice.com
HTE: www.hte.sourceforge.net
LDasm: http://www.feedface.com/projects/ldasm.html
Lida: http://lida.sourceforge.net/
Bastard: http://bastard.sourceforge.net/


источник информации: https://forum.antichat.net/showthread.php?p=416604

Комментариев нет:

Отправить комментарий