Конференция VBStreets

[Dark Machine]

Тема:
Защита программ от трассировки, отладчиков и дизассемблрования.

Предлагаю постить идеи и/или готовые решения.

[jangle]

Думаю можно начать с самых простых и примитивных антиотладочных примемов и схем.
Пример обнаружения отладчика через API функцию IsDebuggerPresent, любой средний кракер легко пропатчит такую программу.

Код: Выделить всё

#Compile Exe
#Include "win32api.inc"

Function PBMain() As Long
On Error Resume Next
    Dim hLib As Long, hProc As Long, lRet As Long
    Dim sFunc As Asciiz * %MAX_PATH
      sFunc = "IsDebuggerPresent"
      hLib = LoadLibrary("kernel32.dll")
      hProc = GetProcAddress(hLib, sFunc)
    ! call hProc
    ! mov lRet, eax
    If lRet = 1 Then
        MsgBox "Включен отладчик!"
    Else
        MsgBox "Отладчик не обнаружен"
    End If
End Function

Ну, кто будет следующим?

[jangle]

В догонку еще один способ обнаружения отладчиков. Запросто ловит OllyDbg и т.п. И в отличие от первого примера, работает под 9x и NT5

Код: Выделить всё

#Compile Exe
#Dim All
#Include "win32api.inc"
   
Function IsDebuggerAttached() As Long
         Local vi As OSVERSIONINFO
         Local IsWin9x As Long
         Local Dw As Dword
         Local i  As Dword
  vi.dwOsVersionInfoSize = SizeOf(vi)
  GetVersionEx vi
  IsWin9x =  ((vi.dwPlatformId = %VER_PLATFORM_WIN32_WINDOWS) And (vi.dwMinorVersion =  0)) Or _
             ((vi.dwPlatformId = %VER_PLATFORM_WIN32_WINDOWS) And (vi.dwMinorVersion <> 0))
  If IsWin9x Then
        !push eax                        '// Preserve the registers
        !mov eax, fs:[&h18]              '// Get the TIB's linear address
        !mov eax, dword ptr [eax + &h20] '// Debugger Contex for Win9x
        !mov dword ptr dw,  eax          '// Save it
        !pop eax                         '// Restore the registers
        If Dw Then
           Function = -1
        Else
           Function = 0
        End If
   Else
        !push eax                        '// Preserve the registers
        !push ecx
        !mov eax, fs:[&h18]              '// Get the TIB's linear address
        !mov eax, dword ptr [eax + &h30]
        !mov ecx, dword ptr [eax]        '// Get the whole DWORD
        !mov dword ptr dw,  ecx          '// Save it
        !pop ecx                         '// Restore the registers
        !pop eax
       i= dw And &h00010000???
       If i Then
          Function = -1
       Else
          Function = 0
       End If
   End If
End Function

Function PBMain () As Long
  If IsDebuggerAttached=-1 Then
        MsgBox "Работаем под отладчиком!"
   Else
        MsgBox "Отладчик не обнаружен"
  End If
End Function
                             

[PBDN]

Пример обнаружения отладчика через API функцию IsDebuggerPresent, любой средний кракер легко пропатчит такую программу.

а)
Если в лоб оставлять в екзешнике IsDebuggerPresent строку, тогда конечно Но если закриптовать через CryptoAPI жизненно важные строки, то она уже не будет так хорошо видима, к тому же еще есть способ вызова через ординал, где текста вообще не будет видно. Хотя если хакер видит в таблице импорта крипто АПИ, у него уже пропадают на 50% желание вообще возиться.

б)
Можно запустить ленивый поток который будет считывать счетчик ЦПУ
через опкод RDTSC и если разница между считываниями значительно больше установленного порога, то работает дебаггер

б)
начиная от hInstance и до конца имиджа чекать ЦРЦ, если что то поменяно, то показывать балалайку

в)
Важные участки кода можно также закриптовать, и распаковывать в динамике на лету, приводя просчет ЦРЦ распаковки всегда к нулю, тем самым не делая явного сравнивания ИФ црц = правильному црц а оставляя кучу ложных просчетов тоже приводящих к нулю .

г)
вообще самый надежный вариант( при нынешних ценах на микроконтроллеры) - это запихивать куски важного выполняемого кода в микроконтроллер, и в динамике вставлять из него код в реальную программу. Процесс обмена между программой и контролером криптовать плавающим ключом(чтоб не дампнули код с проводов).
В этом случае, есть плаг-контролер, значит будет работать, а нету так и крякать нечего. Вытащить код из ППЗУ микроконтроллера с установленным битом защиты от чтения - практически не реально.

д)
вообще на тему запутывания на ПБ форуме есть неплохие идейки,
например :
http://www.powerbasic.com/support/pbfor ... +the+stack
http://www.powerbasic.com/support/forum ... 01536.html

е)
полезные ссылки:

http://bbs.pediy.com/archive/index.php?t-29825.html

[jangle]

А как насчет защиты от сдампливания? Порча секций импорта, заголовка PE? Есть идеи?

[keks-n]

Есть. Дампер никогда не задампит kernel-mode хэндлы. Мораль - завяжи работы на них.

[jangle]

Есть. Дампер никогда не задампит kernel-mode хэндлы. Мораль - завяжи работы на них.

Что-то не пойму. В kernel-mode работают только NT-драйвера и ядро ОС. Каким образом user-mode программа может использовать для защиты хендлы от туда?

[jangle]

Вот еще пример, защита от распаковки, путем патча собственной кодовой секции. Упакованная программа нормально работает, неупакованная сваливается с GPF

Код: Выделить всё

#Compile Exe
#Include "win32api.inc"

Global imgSection() As IMAGE_SECTION_HEADER

Function AppExeName() As String
On Error Resume Next
  Local buffer  As Asciiz * 256
  GetModuleFileName GetModuleHandle(ByVal 0&), Buffer, 256
  Function = Buffer
End Function

Function FileOffset(RVA As Dword) As Dword
'Convert relative virtual address to file offset
Dim I As Dword, LastEntry As Dword
LastEntry = UBound(imgSection) - 1
For I = 0 To LastEntry
  If RVA >= imgSection(i).VirtualAddress Then
     If I = LastEntry Then
         FoundOffset:
         Function = RVA - imgSection(i).VirtualAddress + imgSection(i).PointerToRawData
     Else
        If RVA < imgSection(i + 1).VirtualAddress Then GoTo FoundOffset
     End If
  End If
Next I
End Function

Function PBMain() As Long
   Local ExeHdrInfo As IMAGE_NT_HEADERS
   Local DOSHdr As Image_DOS_Header
   Local I As Long, RVA As Dword
   Open AppExeName For Binary Access Read Lock Shared As #1
   Get #1,, DosHdr
   Seek #1, 0
   Seek #1, DosHdr.e_lfanew + 1
   se% = Seek(#1)
   Get #1,, ExeHdrInfo
   ReDim imgSection(ExeHdrInfo.FileHeader.NumberOfSections) As IMAGE_SECTION_HEADER
   For I = 0 To ExeHdrInfo.FileHeader.NumberOfSections - 1
    Get #1, 25 + DosHdr.e_lfanew + ExeHdrInfo.FileHeader.SizeOfOptionalHeader + (40 * I), imgSection(i)
   Next I
   Close #1
   RVA = ExeHdrInfo.OptionalHeader.AddressOfEntryPoint   'the relative virtual address we want to convert
   RVA = RVA + ExeHdrInfo.OptionalHeader.ImageBase
   Poke RVA, &hC3  'C3 = ret
   MsgBox "Hello world!"
End Function

[keks-n]

jangle
Всё просто. У тебя должен быть описатель некого объекта(пайпа там, файла), который легко получается из user-mode. Тем не менее, реально объект существует в ядре. Если есть к ним какая-то привязка в рантайме, то после запуска отдампленого файла она работать не будет, т. к. хэндл указывает в никуда.
+Можно сделать совсем идиотским образом - перехватить некоторые API и изменить их поведение(программа должна ориентироваться на новое), тогда после загрузки отдаменного образа изменений в системных DLL не будет, и поведение будет стандартным.

[Dark Machine]

Вместо

Код: Выделить всё

! jmp  ret1

Использовать

Код: Выделить всё

! push ret1
! retn


Пример использования от Steve Hutchesson

Код: Выделить всё

#COMPILE EXE
#INCLUDE "WIN32API.INC"

FUNCTION PBmain as LONG

      LOCAL ret1 as LONG
      LOCAL ret2 as LONG
      LOCAL ret3 as LONG
 
      ret3 = CodePtr(nextLabel)
      ret2 = CodePtr(do_that)
      ret1 = CodePtr(do_this)
 
      ! push ret3
      ! push ret2
      ! jmp  ret1
 
      NextLabel:
      MsgBox "Hi, I am back"
 
      FUNCTION = 0
 
  End FUNCTION
 
  SUB do_this
      MsgBox "I am at 'do_this' sub"
  END SUB

  SUB do_that
      MsgBox "I am at 'do_that' sub"
  END SUB


[jangle]

И как это поможет противодействовать кракерам?

[Dark Machine]

замена безусловного перехода, а также замена непосредственного вызова подпрограмм. т.е. вместо call у тебя push и jmp

[jangle]

чего-то я не догоняю, разве под отладчиком этого не видно? В чем смысл такой защиты?

[SLUTER]

Нашёл на оффоруме такую штуку. Криптор криптует участки кода (уже в самом бинарнике), криптованная программа во время исполнения декриптует и исполняет этот код.
От хакерских дел я далёк, вот и интересно - как это будет выглядеть в отладчике? Есть ли смысл этим пользоваться?

Криптор

Код: Выделить всё

$COMPILE EXE "CRYPT.EXE"

FUNCTION PBMAIN() AS LONG
    DIM L1 AS DWORD
    DIM L2 AS DWORD
    DIM L3 AS DWORD
    DIM A1 AS STRING
    DIM I AS LONG
    DIM V AS STRING

    OPEN "TEST.EXE" FOR BINARY AS #1
        L1 = LOF(1)
        GET$ #1, L1, A1
        V = CHR$(255) & CHR$(255) & CHR$(0) & CHR$(1) & CHR$(255) & CHR$(255)
        L1 = INSTR(A1, V) + 6
        L2 = INSTR(L1, A1, V)
        L3 = L2 - L1
        FOR I = 0 TO L3 - 1
            MID$(A1, L1 + I, 1) = CHR$(ASC(MID$(A1, L1 + I, 1)) XOR ASC("T"))
        NEXT I
        SEEK #1, 1
        PUT$ #1, A1
    CLOSE #1
    EXIT FUNCTION
END FUNCTION 


Тестовая прога

Код: Выделить всё

$COMPILE EXE "TEST.EXE"

DECLARE FUNCTION VirtualProtectC LIB "KERNEL32.DLL" ALIAS "VirtualProtect" (BYVAL lpAddress AS DWORD, BYVAL dwSize AS DWORD, BYVAL flNewProtect AS DWORD, BYREF lpflOldProtect AS DWORD) AS DWORD
DECLARE FUNCTION FlushInstructionCacheC LIB "KERNEL32.DLL" ALIAS "FlushInstructionCache" (BYVAL hProcess AS DWORD, BYVAL lpBaseAddress AS DWORD, BYVAL dwSize AS DWORD) AS DWORD
DECLARE FUNCTION GetCurrentProcessC LIB "KERNEL32.DLL" ALIAS "GetCurrentProcess" () AS DWORD

%PAGE_READWRITE = 4&


SUB DecryptCode(L1 AS LONG, L2 AS LONG)
    DIM A1 AS STRING
    DIM L3 AS DWORD
    DIM Mode AS DWORD
    DIM Result AS LONG
    DIM OrigMode AS DWORD
    DIM I AS LONG
    DIM Key AS LONG

    Key = ASC("T")

    L3 = L2 - L1
    A1 = PEEK$(L1, L3)

    FOR I = 1 TO L3
        MID$(A1, I, 1) = CHR$(ASC(MID$(A1, I, 1)) XOR Key)
    NEXT I

    MODE = %PAGE_READWRITE
    Result = VirtualProtectC(L1, L3, MODE, OrigMode)
    POKE$ L1, A1
    Result = VirtualProtectC(L1, L3, OrigMode, MODE)
    Result = FlushInstructionCacheC(GetCurrentProcessC(), L1, L3)
    EXIT SUB
END SUB

FUNCTION PBMAIN() AS LONG
    CALL DecryptCode(CODEPTR(Label1), CODEPTR(Label2))
    GOTO Label1:

    ! DB 255, 255, 0, 1, 255, 255
    Label1:

    MSGBOX "Hello"

    EXIT FUNCTION

    Label2:
    ! DB 255, 255, 0, 1, 255, 255
END FUNCTION


[Хакер]

Указанным кусочком кода — совершенно точно не стоит. Даже не потому, что он совершенно никого не остановит, а потом что он ещё и сильно неправильный.

[SLUTER]

а потом что он ещё и сильно неправильный.

а почему неправильный?

[Хакер]

Ну, на один пункт неправильность меньше. Я проглядел второй VirtualProtect.

Но всё равно — высшее нубство. Особенно поиск по сигнатурам, которые могут чисто случайно оказаться в большом количестве в файле, и тогда файл просто будет испорчен криптором. К тому же ломается это ну архи-просто. Ну просто невероятно просто.

Когда-то я делал схемы, в которых расшифрование происходило небольшими кусочками, которые прыгали по памяти, и где для расшифрования следующего кусочка нужен был хеш предыдущего. Но и это было очень простой защитой. А предложенная здесь — ещё на несколько порядков сложнее при своей, так сказать, инженерной нелепости.