ТОО "LiO Programs" - web дизайн, хостинг, разработка ПО - Статьи

СТАТЬИ - Исследование файла ключей Chessgenius (25.06.2007)

Исследование файла ключей Chessgenius

В прошлой статье я описывал взлом программы при помощи патчинга. Более интересно было бы взглянуть на структуру файла регистрации. Файл считывается в следующую область памяти:

.data:004675F8 lgdat_key       dw ?                    ; DATA XREF: check_registration+13o.data:004675F8                                         ; check_registration+F7o ....data:004675FA lgdat_unk       dw ?                    ; DATA XREF: check_registration+11Bo.data:004675FA                                         ; check_registration+1E3o.data:004675FC magic_number    dd ?                    ; DATA XREF: check_registration+157r.data:004675FC                                         ; check_registration+2FCw.data:00467600 ; time_t lgdat_time.data:00467600 lgdat_time      dd ?                    ; DATA XREF: check_registration+178r.data:00467600                                         ; check_registration+327o.data:00467604 lgdat_time2     dd ?                    ; DATA XREF: check_registration+16Dr.data:00467604                                         ; check_registration+230w.data:00467608 lgdat_unk2      dd ?.data:0046760C lgdat_unk3      dd ?                    ; DATA XREF: check_registration+308w.data:00467610 ; void lgdat_username.data:00467610 lgdat_username  db 20h dup(?)           ; 0 ; DATA XREF: wait_for_input+1EDo.data:00467610                                         ; check_registration:date_ops_occuredo ...

Я немного пересмотрел имена переменных, добавил к ним префикс lgdat, а также переименовал метку hash на uncrypt.

filewasread:                            ; CODE XREF: check_registration+10Bj.text:00411C6F                 mov     dword_44E058, 99 ; i=99.text:00411C79                 mov     ecx, offset lgdat_unk.text:00411C7E.text:00411C7E uncrypt:                                ; CODE XREF: check_registration+14Cj.text:00411C7E                 mov     eax, dword_44E058.text:00411C83                 imul    eax, 15A4E35h.text:00411C89                 inc     eax.text:00411C8A                 mov     dword_44E058, eax ; i *= 0x15a4e35h.text:00411C8F                 shr     eax, 10h.text:00411C92                 and     ax, 7FFFh.text:00411C96                 imul    ax, lgdat_key.text:00411C9E                 xor     [ecx], ax.text:00411CA1                 add     ecx, 2.text:00411CA4                 cmp     ecx, offset addr_cinstdat ; remaining part is being xored.text:00411CAA                 jb      short uncrypt.text:00411CAC                 mov     eax, 1

Итак, первым словом из этой 56-байтной структуры является ключ, которым и расшифровывается остальная часть файла, если перевести этот участок кода на язык высокого уровня, то выглядеть это будет так:

int i = 99word *p = lgdat.unkwhile (p<=last_word_of_lgdat){i*=0x15a4e35;p = p ^ (((i >> 16) && 0x7fffh)*lgdat_key);p++;}

Заметим, что шифрование и дешифрование происходит этой же функцией. После расшифровки этой структуры проверяется корректность ключа, то есть расшифрованное двойное слово lgdat.magic_number должно быть равным 234567. После чего начинаются операции с датами:

.text:00411CC1                 mov     eax, val_12000  ; eax = 12000.text:00411CC6                 mov     ecx, 86400      ; seconds in 1 day.text:00411CCB                 sub     eax, lgdat_time2.text:00411CD1                 mov     time2, eax      ; time2 = 12000 - lgdat.time2.text:00411CD6                 mov     eax, lgdat_time.text:00411CDB                 mov     were_date_ops, 1.text:00411CE5                 sub     eax, [ebp+now]  ; eax = (lgdat.time - current_time).text:00411CEB                 cdq.text:00411CEC                 idiv    ecx.text:00411CEE                 mov     ecx, days_in_year.text:00411CF4                 add     ecx, eax.text:00411CF6                 mov     days, ecx       ; days = 365 + sec_to_days(lgdat.time-current_time)

в переменную time2 записывается разность 12000 и lgdat.time2, а в переменную days записывается 365 +sec_to_days(lgdat.time-current_time). Затем,

.text:00411D08 date_ops_occured:                       ; char *.text:00411D08                 push    offset lgdat_username.text:00411D0D                 push    offset reg_username ; char *.text:00411D12                 call    _strcpy.text:00411D17                 add     esp, 8

В переменную reg_username копируется содержимое из структуры lgdat_username. Затем, файл считывается повторно и повторяется расшифровка. Честно говоря, я не совсем понимаю, зачем считывать файл снова?

.text:00411D1A                 push    56              ; nNumberOfBytesToRead.text:00411D1C                 push    ebx             ; lDistanceToMove.text:00411D1D                 push    offset lgdat_key ; lpBuffer.text:00411D22                 push    offset aLastgame_dat ; "lastgame.dat".text:00411D27                 call    open_and_readf.text:00411D2C                 add     esp, 10h.text:00411D2F                 test    eax, eax.text:00411D31                 jnz     short loc_411D37.text:00411D33                 xor     eax, eax.text:00411D35                 jmp     short loc_411D79.text:00411D37 loc_411D37:                             ; CODE XREF: check_registration+1D3j.text:00411D37                 mov     dword_44E058, 99.text:00411D41                 mov     ecx, offset lgdat_unk.text:00411D46.text:00411D46 uncrypt_again:                          ; CODE XREF: check_registration+214j.text:00411D46                 mov     eax, dword_44E058.text:00411D4B                 imul    eax, 15A4E35h.text:00411D51                 inc     eax.text:00411D52                 mov     dword_44E058, eax.text:00411D57                 shr     eax, 10h.text:00411D5A                 and     ax, 7FFFh.text:00411D5E                 imul    ax, lgdat_key.text:00411D66                 xor     [ecx], ax.text:00411D69                 add     ecx, 2.text:00411D6C                 cmp     ecx, offset addr_cinstdat.text:00411D72                 jb      short uncrypt_again.text:00411D74                 mov     eax, 1.text:00411D79.text:00411D79 loc_411D79:                             ; CODE XREF: check_registration+1D7j.text:00411D79                 test    eax, eax.text:00411D7B                 jnz     short loc_411D81.text:00411D7D                 xor     eax, eax.text:00411D7F                 jmp     short loc_411DF4

Код абсолютно идентичен предыдущему. Далее начинается самое интересное! Содержимое lgdat копируется в локальную область, в нем изменяются поля lgdat_key (туда записывается текущее время), переменная lgdat.time2 увеличивается на единицу, структура обратно шифруется и записывается в файл! В случае успеха, все окей. Ниже приведен этот интересный участок кода:

.text:00411D81 loc_411D81:                             ; CODE XREF: check_registration+21Dj.text:00411D81                 push    offset lgdat_key ; time_t *.text:00411D86                 mov     esi, offset lgdat_key.text:00411D8B                 lea     edi, [ebp+lgdat_local].text:00411D8E                 inc     lgdat_time2.text:00411D94                 call    _time.text:00411D99                 add     esp, 4.text:00411D9C                 mov     ecx, 14.text:00411DA1                 rep movsd.text:00411DA3                 mov     xor_dword, 99.text:00411DAD                 lea     ecx, [ebp+lgdat_local+2].text:00411DB0.text:00411DB0 loc_411DB0:                             ; CODE XREF: check_registration+27Aj.text:00411DB0                 mov     eax, xor_dword.text:00411DB5                 lea     edx, [ebp+var_38].text:00411DB8                 imul    eax, 15A4E35h.text:00411DBE                 inc     eax.text:00411DBF                 mov     xor_dword, eax.text:00411DC4                 shr     eax, 10h.text:00411DC7                 and     ax, 7FFFh.text:00411DCB                 imul    ax, word ptr [ebp+lgdat_local].text:00411DD0                 xor     [ecx], ax.text:00411DD3                 add     ecx, 2.text:00411DD6                 cmp     ecx, edx.text:00411DD8                 jb      short loc_411DB0.text:00411DDA                 push    ebx             ; lDistanceToMove.text:00411DDB                 lea     eax, [ebp+lgdat_local].text:00411DDE                 push    56              ; int.text:00411DE0                 push    eax             ; lpBuffer.text:00411DE1                 push    offset aLastgame_dat ; "lastgame.dat".text:00411DE6                 call    read_from_file.text:00411DEB                 add     esp, 10h.text:00411DEE                 cmp     eax, 1.text:00411DF1                 sbb     eax, eax        ; eax = 0.text:00411DF3                 inc     eax             ; eax = 1 -> unregistered = 1.text:00411DF4.text:00411DF4 loc_411DF4:                             ; CODE XREF: check_registration+221j.text:00411DF4                 mov     is_registered, eax.text:00411DF9                 jmp     check_key

Итак, похоже, что единственное что определяет корректность ключа – это магическое число 234567. Напишем же генератор файлов регистрации!

comment * «««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««Build this example with>> Console Assemble & Link <<; ««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««« *.486.model flat, stdcalloption casemap :none   ; case sensitive; «««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««include masm32includewindows.incinclude masm32includemasm32.incinclude masm32includekernel32.incinclude masm32macrosmacros.asmincludelib masm32libmasm32.libincludelib masm32libkernel32.lib.datalgdat_key       dd ?lgdat_mag_num   dd ?lgdat_time      dd ?lgdat_time2     dd ?lgdat_unk2      dd ?lgdat_unk3      dd ?lgdat_username  db 20h dup(?)len_lgdat       equ $-lgdat_keyxor_dword       dd ?prompt          db 'Enter your username: 'len_prompt      equ $-promptbytes_written   dd ?std_input       dd ?std_output      dd ?filename        db 'lastgame.dat',0fhandle         dd ?.codecrypt PROC NEARmov     xor_dword, 99mov     ecx, (offset lgdat_key+2)uncrypt:mov     eax, xor_dwordimul    eax, 15A4E35hinc     eaxmov     xor_dword, eaxshr     eax, 10hand     ax, 7FFFhimul    ax, word ptr lgdat_keyxor     [ecx], axadd     ecx, 2cmp     ecx, offset xor_dwordjb      short uncryptretcrypt ENDPstart:; «««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««invoke  AllocConsoleinvoke  GetStdHandle, STD_INPUT_HANDLEmov     std_input, eaxinvoke  GetStdHandle, STD_OUTPUT_HANDLEmov     std_output, eaxinvoke  WriteConsole, std_output, offset prompt, len_prompt, offset bytes_written, NULLinvoke  ReadConsole, std_input, offset lgdat_username, 20h, offset bytes_written, NULLmov     lgdat_mag_num, 234567call    cryptinvoke  CreateFile, offset filename, FILE_WRITE_DATA, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL or FILE_FLAG_WRITE_THROUGH, NULLmov     fhandle, eaxinvoke  WriteFile, fhandle, offset lgdat_key, len_lgdat, offset bytes_written, NULLinvoke  GetLastErrorinvoke  CloseHandle, fhandleinvoke  FreeConsoleexit; «««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««««end start

Вводим имя пользователя и все!

Настоящая статья предоставлена в ознакомительных целях и ответственность за использование ее в незаконных целях ложится на ваши плечи

Лев Трубач (leotr),
trubachlev@mail.ru,
icq: 348980438,
web: www.leotr.org

Республика Казахстан, г. Арыс.

размещение, распространение,копирование данной статьи без ведомаавтора - запрещена