S0mbre Apr 9 2019 at 19:01

Ломаем простую «крякми» при помощи Ghidra — Часть 1

9 min

81K

C++*C*Reverse engineering*

From sandbox

+56

Comments 32

alexxxst Apr 9 2019 at 19:30

О, как внезапно кончился диван! (с)

kITerE Apr 9 2019 at 20:07

Дальше у нас цикл из 2 итераций.

Судя по приведенному листингу итераций все же будет три (0, 1 и 2):

    local_18 = 0;
    while (local_18 < 3) {

      local_18 = local_18 + 1;
    }

То есть автор crackme зачем-то анализирует и argv[0].

S0mbre Apr 10 2019 at 00:55

Вы правы, спасибо. Исправил.

xndr Apr 10 2019 at 08:32

Убедиться, что это его crackme — в чужом все может быть по-другому :)

kITerE Apr 9 2019 at 20:27

Десятичные значения чисел, а заодно и соответствующие ASCII-символы можно подсмотреть, удерживая курсор над соответствующим шестнадцатеричным литералом. Отображение ASCII не всегда работает (?), поэтому рекомендую глядеть ASCII таблицу в Интернете.

В окне листинга дизассемблера:

Convert - Char Sequence

В результате меняется константа как в листинге ассемблера, так и в листинге декомпилятора.

S0mbre Apr 10 2019 at 00:55

Да, можно и так. Хотя мне удобнее просто подсматривать. Но спасибо — добавил в статью.

Ivanii Apr 9 2019 at 21:51

Предлагаю разобрать какой-нибудь стелс полиморфный 4х килобайтный вирусняк, OneHalf например, должно быть очень интересно и компактно.

S0mbre Apr 10 2019 at 00:56

Вот вам подробный разбор небезызвестного WannaCry.

fukkit Apr 10 2019 at 11:03

Никаких космических технологий в том OneHalf'е то и нет.
В своё время шуму он наделал скорее благодаря зловредности (втихую шифровал диск), чем какому-то супер полиморфизму.
Но для тех времен было прикольно, да. Похоронил Aidstest вместе с идеей простого сигнатурного сканера.
Dr.Web оказался молодцом, не только детектируя эту заразу в загрузочном секторе, но и при удачном стечении обстоятельств расшифровывая диск. Не помню, был ли их «эвристический анализ» частичным эмулятором или тупо строил дерево возможных переходов.
В те славные времена касперский имел штатную возможность для написания и подключения наколеночного плагина для детектирования и лечения вирусов, не известных лаборатории и не включенных в основную базу сканера.

Ivanii Apr 10 2019 at 11:16

В 3,5 КБ было:
запуск из загрузочного сектора, запуск из файла
заражение загрузочного сектора, заражение файла
полиморфизм
стелс механизм(ы?)
шифратор + дешифратор «на лету» (помню случай когда системный диск расшифровывался больше суток и удачно расшифровался, эта тварь жила на компе несколько дней и расшифровывала открываемые файлы пока не была убита и диск расшифрован Дрвебом)

AVX Jan 6 2021 at 22:32

Да, DrWeb тогда хорошо сработал, спас немало компов. И их CureIT всегда будет жить в наших сердцах :-)

S0mbre Apr 10 2019 at 08:31

PS. Добавил в начало статьи ссылку на отличную статью про плагины к Гидре, которая уже публиковалась на Хабре. Спасибо DrMefistO!

DrMefistO Apr 10 2019 at 10:12

Спасибо! Гидру в массы:)

DrMefistO Apr 10 2019 at 10:10

Спасибо за ссылку на мою статью.:)

Основной момент, который меня не радует во всех этих статьях и видео по Гидре — это изучение того, что давно уже было изучено и показано, но в Иде.
Есть же столько нового и классного функционала в продукте от АНБ (да хотя бы декомпилеры почти под всё), а все по-прежнему примитивные крякми изучают. Покажите новое кто-нибудь!

S0mbre Apr 10 2019 at 14:17

Не могу не поддержать. Но сначала — в массы :) По мне, самое большое преимущество в гидре по сравнению с идой — удобство интерфейса и гибкость работы. (Хотя, может, я просто плохо знаю ильфаковское детище.)

pfemidi Apr 10 2019 at 17:54

А мне вот после более чем двадцати лет использования IDA на эту гидру сложновато переползать. И одна из сложностей это как раз неудобство интерфейса по сравнению с IDA :-) Хотя это скорее непривычность чем неудобство. Да и тормоз эта гидра по сравнению с IDA. Что не удивительно, Java ведь. Так что пожалуй что не буду пока. Но со стороны посмотрю что там творится.

S0mbre Apr 11 2019 at 00:08

Вот здесь еще интересный обзор человека, который по его словам 22 года юзает Иду. Он пока переходить тоже не торопится и занимает вашу позицию — смотреть со стороны.

T-D-K Apr 10 2019 at 20:41

А там есть какой-нибудь механизм/плагин/поддержка из коробки для конвертации готовых IDA файлов в Гидру? Есть у меня один долгоиграющий проект по реверсингу, к которому приходится периодически возвращаться. Приложение очень большое из нескольких исполняемых файлов и я в нём разбираю только нужные мне места. Несколько десятков своих структур, и несколько сотен методов приведены в порядок и прочее — с нуля не хочу начинать. Если есть возможность открыть это всё в гидре было бы здорово.

S0mbre Apr 11 2019 at 00:06

Ну, есть, например, вот эта мать драконов :)
Будет время — отдельную статью напишу про этот фреймворк.

kITerE Apr 11 2019 at 15:29

А там есть какой-нибудь механизм/плагин/поддержка из коробки для конвертации готовых IDA файлов в Гидру?

Есть полный экспорт из IDA c использованием плагина — 7xx/xml_exporter.py и 6xx/xmlexp.py с последующим импортом в Ghidra.

T-D-K Apr 11 2019 at 15:38

Спасибо. Посмотрю.

nikandr23 Apr 10 2019 at 18:40

смогу ли я этой штукой ломать андроидные аппы с целью убирать рекламу?

S0mbre Apr 11 2019 at 00:09

Да, ARM поддерживается из коробки. Но в случае с андроидом, я бы все-таки работал в AndroidStudio.

osmanpasha Apr 11 2019 at 08:36

Андроидные приложения же на жаве, может ли гидра в виртуальные машины?

S0mbre Apr 12 2019 at 08:56

Вот пример анализа андроидного приложения.

osmanpasha Apr 12 2019 at 09:09

Ну там в видео всё, что угодно, кроме Java-кода (Rust мелькнул даже) — реверсятся библиотеки для низкоуровневой работы с железом. Тем не менее, Гидра вроде поддерживает Java-байткод и dex-файлы.

Ghidra processor modules: X86 16/32/64, ARM/AARCH64, PowerPC 32/64, VLE, MIPS 16/32/64,micro, 68xxx, Java / DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc 32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8, AVR32, Others+ variants as well. Power users can expand by defining new ones
— Rob Joyce (@RGB_Lights) March 5, 2019

stalker1984 Apr 10 2019 at 19:48

Я наверное покажусь людям параноиком, но работать с программой для взлома предоставленной АНБ, это как запрыгнуть к незнакомому дядьке в грузовик за конфетой. И ведь даже исходники выложили, но всё равно стойкое чувство подвоха.

S0mbre Apr 11 2019 at 00:12

Раз выложили исходники, значит готовы ко всестороннему анализу их со стороны мирового сообщества. И все, что будет находиться, будет репортиться — на Гитхабе уже >300 баг-репортов. Но это означает, как мне представляется, прозрачность и открытость здесь со стороны пресловутых шпионов. Хотя есть и другое мнение — это было сделано специально, чтобы собрать экспертное мнение и баги и улучшить свой продукт (который затем можно будет опять закрыть).

ormoulu Apr 12 2019 at 11:10

Don't trust — verify.

technic93 Apr 12 2019 at 01:49

Надо бы написать что запускать какой то левый кракми надобы из под виртуалки или из под запасного юзнра или вообще на отдельной машине для тестов. Думаю на последнем левеле там могут быть и бомбы замедленного действия)

S0mbre Apr 12 2019 at 09:02

Ну это как бы предполагается… Хотя я просто пока прогонял через АВ.

perfect_genius Mar 31 2020 at 11:21

Похоже, запускается только под x64?
Как иронично — написан на Джаве, но таки не запускается везде.

Show the best of all time