Набор инструментов

Симонов Илья aka Shturmovik

Спецвыпуск: Хакер, номер #057, стр. 057-004-1

(nazi@gh0sts.org)

Обзор программ для взлома

Твоя любимая программа запросила денег, или тебе просто интересно раскрывать чужие секреты? Тогда, думаю, стоит заняться реверс-инженерингом, а еще лучше - крэкингом. Думаешь, с чего начать? Наверное, лучше начать с обучения использованию стандартных инструментов крэкера. Чем мы сегодня и займемся.

Начало начал

А начинать необходимо всегда с простого, чтобы понять сложное. Для начала узнаем, чем защищена и защищена ли вообще программа или CD с игрушкой, как она шаманит с файловой системой, где следит в реестре. В этом нелегком деле поможет целый набор уже готовых программ.

PeiD (www.peid.tk)

Первоочередное дело данной программы - показать, на чем написан исследуемый файл, чем он упакован, если упакован вообще. Также мы увидим информацию о секциях файла и другие атрибуты. Имеется встроенный дизассемблер начала кода. Если считать стандартные плагины, то тут и универсальный распаковщик, и восстановление импорта, и криптоанализ. В общем, это вещь №1 на крэкерском рабочем столе.

RegShot

Что делать, когда нужно узнать, где в системном реестре шаманит платная программулина? Можно доверится REgMon'у или же ставить точки останова на обращение к реестру в отладчике. Но, по-моему, проще снять снимок реестра до и после определенной операции. Можно сделать снимок файловой системы и определенных папок. И, самое главное, можно сравнить все это, и тогда пред нами встанет отчет обо всех изменениях реестра и указанных папок. Думаю, больше слов не требуется - осталось запустить.

File Monitor

Иногда, однако, наши пакостники за считанные секунды создают временные файлы, а затем удаляют их. Тогда RegShot отходит на второй план и на его место вступает File monitor, который с частым обновлением показывает все обращения к файловой системе в данный момент. Главное - не упустить в быстро растущем списке свою программу и закрыть все, что только можно, перед запуском.

Restorator

Кто из нас не любит присваивать чужое? Там поменять имя автора в любимой программе, или же, наоборот, достать интересную картинку из жертвы. К твоим услугам лучший редактор ресурсов для таких дел - Restorator. После установки он встраивается в оболочку, и исправить файл можно кликнув по нему правой кнопкой и выбрав open with restorator. Все иконки/картинки/строки и прочие ресурсы с возможностью исправления будут как на ладони.

PiD (www.protectionid.owns.it)

Что-то мы все о программах да о программах. Думаешь заняться пиратством, да вот какая-то защита не дает нормально скопировать диск? Хочешь узнать, что же это за напасть? Поручи дело PiD'у, простая, как PeiD - без комментариев.

Microsoft Spy++ (www.microsoft.com)

Замечательный шпион за API-вызовами и перехватчик сообщениями между приложениями от создателей Windows. Этот простенький шпион покажет тебе все взаимные зависимости окон твоей программы. Есть дельный совет: при уборке NAG'а или баннера хорошо посмотреть размер вышесказанного этим шпионом. А далее в дизассемблер и искать помещение размеров в стек... вроде как мы нашли процедуру построения нехорошей рекламы, а дальше - дело времени.