Несетевая защита

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #051, стр. 051-100-3

PICE (http://pice.sourceforge.net) - экспериментальный ядерный отладчик для Linux, работающий только в консольном режиме и реализующий, к сожалению, минимум функций. Тем не менее, и он может сгодиться на что-нибудь.

The x86 Emulator plugin for IDA Pro (http://ida-x86emu.sourceforge.net) – эмулирующий отладчик, конструктивно выполненный в виде плагина для IDA Pro и распространяющийся в исходных текстах без предкомпиляции (а это значит, что кроме самой IDA Pro еще понадобиться и SDK, найти которой намного труднее). Основное достоинство эмулятора в том, что он позволяет выполнять произвольные куски кода на виртуальном процессоре. Например, передавать управление процедуре проверки серийного номера/пароля минуя остальной код. Такая техника совмещает лучшие черты статического и динамического анализа, значительно упрощая взлом заковыристых защит.

Дизассемблеры

IDA Pro (www.idapro.com) – лучший дизассемблер всех времен и народов, теперь доступен и под Linux! Поклонники же FreeBSD и остальных операционных систем могут довольствоваться консольной Windows-версией, запущенной под эмулятором, или работать с ней непосредственно из-под MS-DOS, OS/2, Windows. До недавнего времени IDA Pro отказывалась дизассемблировать файлы без Section table, однако в последних версиях этот недостаток был устранен. Отсутствие приличных отладчиков под *nix превращает IDA Pro в основной инструмент изучения той или иной защиты.

Objdump – аналог Dumpbin для ELF-файлов с простеньким дизассемблером внутри. Требует обязательного наличия Section table, не переваривает искаженных полей, с упакованными файлами не справляется. Тем не менее, при отсутствии IDA Pro сгодится и она.

Шпионы

Truss – полезная утилита, штатным образом входящая в комплект поставки большинства *nix-систем. Отслеживает системные вызовы (они же – Syscalls) и сигналы (Signals), совершаемые подопытной программой с прикладного уровня, что позволяет сказать многое о внутреннем мире защитного механизма.

Ktrace – еще одна утилита из штатного комплекта поставки. Отслеживает системные вызовы, Namei translation (синтаксический разбор имен), операции ввода-вывода, сигналы, userland-трассировку и переключение контекстов, совершаемых подопытной программой с ядерного уровня. Короче говоря, Ktrace представляет собой улучшенный вариант Truss, но, в отличие от последней, выдает отчет не в текстовой, а двоичной форме, и для генерации отчетов необходимо будет воспользоваться утилитой Kdump.