Ultimate adventure

Крис Касперски aka мыщъх

Спецвыпуск: Хакер, номер #058, стр. 058-028-3

Необходимый инструментарий

Голыми руками много дыр не наловишь! Агрессивная природа двоичного кода требует применения специального инструментария. Прежде всего потребуются дизассемблеры. Их много, но IDA PRO – бесспорный лидер, оставляет своих конкурентов далеко позади и поддерживает практически все форматы исполняемых файлов, процессоры и компиляторы, существующие на сегодняшний день (см. рис. 2).

Еще понадобится отладчик. Классический выбор – Soft-ice (см. рис. 4), однако в последнее время его жирная туша начинает уступать маленькому и подвижному OllyDebugger'у (см. рис. 5), главная вкусность которого – автоматическое отображение распознанных ASСII-строк рядом со смещениями, что значительно упрощает поиск переполняющихся буферов, поскольку они становятся видны как на ладони. К сожалению, будучи отладчиком прикладного уровня, OllyDebugger не может отлаживать ядерные компоненты Windows (некоторые серверные процессы в том числе).

Если исследуемая программа упакована, перед началом дизассемблирования ее следует распаковать, что можно сделать любым универсальным дампером (Proc Dump, PE-Tools, Lord-PE), а еще лучше – специализированным распаковщиком, знающим данный упаковщик в лицо (правда, не для всех упаковщиков существуют распаковщики). Дампы, снятые с программы, чаще всего неработоспособны и для своего запуска требуют серьезной доработки напильником. Однако зачем запускать их? Для дизассемблирования они подойдут и так.

Все вышеупомянутые продукты можно найти в Осле (Donkey) или в Муле (Mule) – файлообменных сетях, грубо говоря, представляющих собой интернет внутри интернета. С их появлением поиски вареза на WEB'е стали уже неактуальны (удивительно, но о существовании осла многие до сих пор не знают!).