жестокая пенетрация hiew’ом

GPCH (ADMIN@DOTFIX.NET)

Спецвыпуск: Хакер, номер #066, стр. 066-072-4

Как видишь, жизнь не так сложна, как казалось, когда ты начинал читать эту статью :). Кстати, насчет ошибок. Практически любой введенный код можно отменить нажимая <F3>. С помощью <F9> ты запишешь в файл правильно написанное. Только вот незадача, после записи файл не запускается и приходится выходить из HIEW, чтобы снять залоченность. Но решение вновь находится. Открываем hiew7.ini и ищем строку «ReopenAfterEdit», ставим ее в «On». Теперь, после редактирования, файл будет закрываться и вновь открываться для чтения, что позволит запускать его после каждой правки. Я спросил у Евгения, зачем он не сделал то же самое в настройках по умолчанию. Угадай, что ответил автор HIEW. Да, правильно: «Чтобы люди читали help». Так что мораль простая: читай help, комментарии ко всем строкам hiew7.ini, и да даруется тебе знание.

[декриптуем XOR] С некоторых пор повелось так, что каждый кодер, разобравшийся с PE-форматом, пишет свой криптор. Как ни странно, их дело процветает и появляется все больше программ, способных шифровать EXE и защищать его от взлома (якобы). В основном они используют алгоритм XOR :), и поскольку он обратим, для расшифровки остается только узнать пароль и обработать им шифрованный кусок кода.

Иногда анализ программы позволяет узнать, каким ключом дешифруется тот или иной блок. И как же расшифровывать? В уме? Всю секцию кода? «Не смешите», — сказал ты и пошел по-быстрому писать программу на С для решения этой задачи. Стоп! Все это уже есть в HEX-редакторе HIEW. В режиме редактирования ты всего лишь надавливаешь <Ctrl>+<F8> и задаешь ключ, потом <F8>, ксоря блок за блоком. Зажимаешь <F8> и держишь, пока не раскриптуется!

[как бы ни был силен XOR], он не всегда подходит для шифровки-дешифровки. Однако не спеши грустить — HIEW позволит тебе задавать алгоритм шифровки самостоятельно. Для этого нажимаешь <F3>, чтобы перейти в режим редактирования, затем <F7>. Отроется диалог набора кода. Забиваешь туда алгоритм криптовки и используешь. Как писать криптоалгоритм, объяснено в справке. Написано нормально, разобраться можно ;).

[проверим возможности] HIEW на примере.

Для большей простоты и наглядности возьмем KeygenMe by Fabsys. Тяни его с crackmes.de или с диска к журналу. Начнем исследовать. Открываем keygen.exe в hiew (Листинг 4). Что видим?

Листинг 4

.0040820C: 55 push ebp

.0040820D: 8BEC mov ebp,esp

.0040820F: 83C4F0 add esp,0FFFFFFF0 ;'?'

.00408212: B8C4814000 mov eax,0004081C4 --?1

.00408217: E8F0C2FFFF call .00040450C --?2

.0040821C: 6A40 push 000000040 ;'@'

.0040821E: 684C824000 push 00040824C ;'Rules'

.00408223: 6854824000 push 000408254 ;'KeygenMe and de