Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #057, стр. 057-062-6, Упакуем за раз!

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #57, АВГУСТ 2005 г.

Упакуем за раз!

GPcH (admin@dotfix.net)

Спецвыпуск: Хакер, номер #057, стр. 057-062-6

Чтобы IDA Pro смогла распознать имена функций, соответствующая библиотека сигнатур должна быть загружена вручную. А для распознания API-функций следует подключить map-файл каждой из DLL. В остальном же дизассемблирование дампов памяти ничем не отличается от анализа обычных приложений. Конечно, упакованный файл не может быть модифицирован, и заменить 7x на EB у нас вряд ли получится, поэтому приходится либо писать генераторы регистрационных номеров/ключевых файлов, либо прибегать к помощи онлайновых патчеров (лоадеров), правящих образ файла в памяти на лету.

Некоторые упаковщики внедряют в файл различные антиотладочные механизмы, перекомпилируют защитные процедуры в p-код, используют динамическую шифровку и делают множество других нехороших вещей, в результате чего размер файла только возрастает, а упаковщики превращаются в протекторы. Затрудняет ли это анализ? В какой-то мере да. Во всяком случае, лобовая атака становится невозможной, и хакеру приходится искать обходные пути. Однако редкий протектор обходится без ошибок, и у легальных пользователей появляются проблемы. Программа отказывает в регистрации или конфликтует с другими приложениями. А этого допускать ни в коем случае нельзя! Конфликтные издержки часто превышают ущерб, нанесенный хакерами. Любую популярную программу все равно взломают и выложат крэк. Защита лишь чуть-чуть увеличивает время от выпуска программы в свет до появления крэка, но редко подстегивает продажи.

В общем, к упаковке приложений следует подходить основательно или вообще не подходить. То же самое можно сказать и о распаковке. Некорректная распаковка проявит себя глюками, выскакивающими в самых неожиданных местах. Правильные хакеры пользуются только генераторами или правкой в памяти.

Немало новых пакеров ты сможешь найти на www.wasm.ru в разделе "Инструменты".

Множество старых упаковщиков откапывай тут: www.exetools.com.

Очень рекомендую сходить на FTP нашей команды download.int3.net или напрямую на www.int3.net. Здесь немало и новых и старых упаковщиков, плюс ко всему это, наверное, единственный ftp, где лежат почти все версии UPX.

У тебя есть шанс найти на диске все программы обзора – рискни ;).

Назад на стр. 057-062-5 Содержание