ТОО "LiO Programs" - web дизайн, хостинг, разработка ПО - Статьи

СТАТЬИ - Взлом ChessGenius (15.06.2007)

Взлом ChessGenius

Введение

Я – любитель шахмат, часто играю в Интернете, иногда играю с компьютером. Встретил недавно программу, написанную Ричардом Лэнгом. Что меня в ней поразило, это ее компактность – программа занимает всего полмегабайта. Эта программа когда-то выигрывала самого Гарри Каспарова.

Ограничения

Пробная версия программы считает на ограниченную глубину ходов, и в окне анализа движка не выводятся сообщения после 10-го хода

Поведение программы

Итак, рассмотрим, как программа себя ведет, каким образом защищает себя от нелегального копирования. Когда мы запускаем ее, мы получаем диалоговое окно с двумя полями для ввода имени пользователя и серийника, кнопки Register и кнопки для пробной версии. Окей, пробуем ввести имя пользователя и пароль от фонаря. Получаем сообщение о неверности последних.

Взлом

Дизассемблируем программу в IDA. Загружаем программу в OllyDbg и устанавливаем останов на функции MessageBoxA в USER32.dll. Затем Debug – Execute till return. Жмем ОК в появившемся сообщении. Отладчик останавливается, нажимаем f8, для того, чтобы возвратиться в вызывающую процедуру.
Видим, что функция была вызвана из следующего места:

00436D39  /$  8B4424 08     MOV EAX,DWORD PTR SS:[ESP+8]00436D3D  |.  85C0          TEST EAX,EAX00436D3F  |.  74 07         JE SHORT GEN32WIN.00436D4800436D41  |.  8038 00       CMP BYTE PTR DS:[EAX],000436D44  |.  75 02         JNZ SHORT GEN32WIN.00436D4800436D46  |.  33C0          XOR EAX,EAX00436D48  |>  68 00200000   PUSH 2000                                       ; /Style = MB_OK|MB_TASKMODAL00436D4D  |.  50            PUSH EAX                                        ; |Title00436D4E  |.  FF7424 0C     PUSH DWORD PTR SS:[ESP+C]                       ; |Text00436D52  |.  6A 00         PUSH 0                                          ; |hOwner = NULL00436D54  |.  FF15 C4F64600 CALL DWORD PTR DS:[<&USER32.MessageBoxA>]       ; MessageBoxA00436D5A  .  C3            RETN

Процедура довольно короткая, и похоже, она является оболочкой (или упрощенным вызовом) процедуры MessageBox). Взглянув на количество перекрестных ссылок на эту процедуру, можно убедиться в частоте ее вызовов, что еще подтверждает правильность наших догадок. Произведем возврат из этой процедуры.

00411F2B  |.  A1 48764600   |MOV EAX,DWORD PTR DS:[467648]00411F30  |.  50            |PUSH EAX00411F31  |.  68 E8FB4400   |PUSH GEN32WIN.0044FBE8                         ;  ASCII "Error - Incorrect key. Please enter name and key as supplied by www.chessgenius.com"00411F36  |.  E8 FE4D0200   |CALL GEN32WIN.00436D39 ; <- вызов процедуры.00411F3B  |.  83C4 08       |ADD ESP,8

А вот и главная процедура. Рассмотрим ее:

.text:00411B5E                 push    ebp.text:00411B5F                 mov     ebp, esp.text:00411B61                 sub     esp, 250h.text:00411B67                 push    ebx.text:00411B68                 push    esi.text:00411B69                 push    edi.text:00411B6A                 push    168             ; size_t.text:00411B6F                 push    0               ; int.text:00411B71                 push    offset bytes_from_lgdat ; here this function fills 168 bytes.text:00411B76                 call    _memset

здесь у нас сохраняются регистры и обнуляются переменные. Кстати, обнуление происходит неявно, т. е. передается адрес одной переменной, а длина – 168 байт, в результате обнуляются все используемые нелокальные переменные

.text:00411B7B                 add     esp, 0Ch.text:00411B7E                 mov     eax, offset NewItem.text:00411B83                 mov     offNI1, eax.text:00411B88                 mov     offNI2, eax.text:00411B8D                 mov     addr_cinstdat, offset aCInstall__dat ; "c:\install_.dat".text:00411B97                 mov     char_C, 43h.text:00411B9E                 mov     dword_467638, 10h.text:00411BA8                 mov     addr_register, offset aRegister ; "Register".text:00411BB2                 mov     addr_playdemo, offset aPlayDemo ; "Play Demo".text:00411BBC                 mov     days_in_year, 365.text:00411BC6                 mov     val_12000, 12000.text:00411BD0                 mov     ecx, dword_45C1D8.text:00411BD6                 mov     offNI3, eax.text:00411BDB                 push    offset aUnregistered ; "  Unregistered".text:00411BE0                 mov     dword_467654, ecx.text:00411BE6                 push    offset reg_username ; char *.text:00411BEB                 xor     ebx, ebx.text:00411BED                 mov     CGC_unreg, offset aChessgeniusC_0 ; "ChessGenius Classic Unregistered".text:00411BF7                 mov     CGC_regok, offset aChessgeniusC_1 ; "        ChessGenius Classic 7.138R 
   "....text:00411C01                 mov     addr_aKey, offset aKey ; "Key:".text:00411C0B                 call    _strcpy         ; reg_username = "Unregistered"

Здесь у нас происходит инициализация переменных, заметим обнуление регистра ebx (в последствии этот регистр останется «девственно нулевым» и очень часто некоторые переменные будут им инициализироваться. Многие эти переменные не используются в этой процедуре, но используются в диалоговой функции.

.text:00411C13 loc_411C13:                             ; CODE XREF: check_registration+3E0j.text:00411C13                 mov     esi, offset aC  ; "C".text:00411C18                 lea     edi, [ebp+var_C0].text:00411C1E                 xor     eax, eax.text:00411C20                 mov     ecx, 19.text:00411C25                 movsw.text:00411C27                 lea     edi, [ebp+var_C0+2].text:00411C2D                 rep stosd               ; unused.text:00411C2F                 stosw                   ; word[C0+2] = 0

Происходит копирование символа “C” и затем последующие 19 байт обнуляются.

.text:00411C31                 lea     eax, [ebp+now].text:00411C37                 mov     were_date_ops, ebx ; were_date_ops = false.text:00411C3D                 push    eax             ; time_t *.text:00411C3E                 mov     time2, ebx      ; 0.text:00411C44                 mov     days, ebx       ; 0.text:00411C4A                 call    _time.text:00411C4F                 add     esp, 4

Здесь обнуляются некоторые переменные, а также в локальную переменную now записывается текущие дата/время.

.text:00411C52                 push    56              ; nNumberOfBytesToRead.text:00411C54                 push    ebx             ; lDistanceToMove.text:00411C55                 push    offset bytes_from_lgdat ; lpBuffer.text:00411C5A                 push    offset aLastgame_dat ; "lastgame.dat".text:00411C5F                 call    open_and_readf.text:00411C64                 add     esp, 10h

Далее производится попытка чтения 56 байт из файла lastgame.dat. Довольно забавная маскировка имени ключевого файла. Ну и теперь распутье.

.text:00411C67                 test    eax, eax.text:00411C69                 jnz     short filewasread.text:00411C6B                 xor     eax, eax.text:00411C6D                 jmp     short bool_tester

В случае удачного чтения файла начинается вычисление хэша, в противном случае, следующая секция кода пропускается

.text:00411C6F filewasread:                            ; CODE XREF: check_registration+10Bj.text:00411C6F                 mov     dword_44E058, 99.text:00411C79                 mov     ecx, offset unk_4675FA.text:00411C7E.text:00411C7E hash:                                   ; CODE XREF: check_registration+14Cj.text:00411C7E                 mov     eax, dword_44E058.text:00411C83                 imul    eax, 15A4E35h.text:00411C89                 inc     eax.text:00411C8A                 mov     dword_44E058, eax.text:00411C8F                 shr     eax, 10h.text:00411C92                 and     ax, 7FFFh.text:00411C96                 imul    ax, bytes_from_lgdat.text:00411C9E                 xor     [ecx], ax.text:00411CA1                 add     ecx, 2.text:00411CA4                 cmp     ecx, offset addr_cinstdat.text:00411CAA                 jb      short hash.text:00411CAC                 mov     eax, 1

Обращу ваше внимание на последнюю инструкцию – она устанавливает регистр eax в 1. Если бы эта секция была пропущена, то значение регистра eax было бы равно 0. То есть, в любом случае eax при следующей инструкции содержит признак чтения файла.

.text:00411CB1 bool_tester:                            ; CODE XREF: check_registration+10Fj.text:00411CB1                 test    eax, eax.text:00411CB3                 jz      short after_date_ops.text:00411CB5                 cmp     magic_number, 234567.text:00411CBF                 jnz     short after_date_ops

Если файл был прочитан удачно и переменная magic_number равна 234567, то выполняется следующая секция.

.text:00411CC1                 mov     eax, val_12000  ; eax = 12000.text:00411CC6                 mov     ecx, 86400      ; seconds in 1 day.text:00411CCB                 sub     eax, time1.text:00411CD1                 mov     time2, eax      ; n2 = 12000 - n1.text:00411CD6                 mov     eax, time3      ; 0?.text:00411CDB                 mov     were_date_ops, 1.text:00411CE5                 sub     eax, [ebp+now]  ; eax = (time3 - current_time).text:00411CEB                 cdq.text:00411CEC                 idiv    ecx.text:00411CEE                 mov     ecx, days_in_year.text:00411CF4                 add     ecx, eax.text:00411CF6                 mov     days, ecx       ; n5 = 365 + sec_to_days(n3-current)

происходят какие-то операции с датами, в переменную were_date_ops записывается 1. Заметим, что в начале процедуры эта переменная была обнулена.

.text:00411CFC after_date_ops:                         ; CODE XREF: check_registration+155j.text:00411CFC                                         ; check_registration+161j.text:00411CFC                 cmp     were_date_ops, ebx.text:00411D02                 jz      loc_411DFE

В регистре ebx содержится 0, то есть, если не было операций с датами, то осуществляется переход на эту секцию:

.text:00411E0E loc_411E0E:                             ; CODE XREF: check_registration+2A3j.text:00411E0E                 call    wait_for_input.text:00411E13                 cmp     were_date_ops, ebx.text:00411E19                 jnz     short loc_411E45.text:00411E1B                 cmp     reg_status, 642h.text:00411E24                 jz      short set_unregistered.text:00411E26                 cmp     reg_status, 1.text:00411E2E                 jz      short set_unregistered.text:00411E30                 mov     reg_stat_ne_1_642h, 1.text:00411E3A.text:00411E3A set_unregistered:                       ; CODE XREF: check_registration+2C6j.text:00411E3A                                         ; check_registration+2D0j.text:00411E3A                 mov     is_registered, ebx.text:00411E40                 jmp     check_key       ; jumps to.text:00411E40                                         ; is_key_correct

Выводится диалоговое окно, запрашивающее имя пользователя и серийный номер, затем происходят операции сравнения сначала were_date_ops сравнивается с нулем, если эта переменная равна нулю, то программа обречена на провал, так как переменной is_registered присваивается значение 0, и после этого сообщение о неверности ключа и возврат на 411c13, т.е в самое начало.

.text:00411F19 check_key:                              ; CODE XREF: check_registration+29Bj.text:00411F19                                         ; check_registration+2ABj ....text:00411F19                 cmp     is_registered, ebx.text:00411F1F                 jnz     short check_registered.text:00411F21.text:00411F21 is_key_correct:.text:00411F21                 cmp     reg_status, 1.text:00411F29                 jnz     short check_registered.text:00411F2B                 mov     eax, CGC_unreg.text:00411F30                 push    eax             ; int.text:00411F31                 push    offset aErrorIncorrect ; "Error - Incorrect key. Please enter nam"....text:00411F36                 call    ShowMessage.text:00411F3B                 add     esp, 8.text:00411F3E                 jmp     loc_411C13

Что ж, попробуем пропатчить программу, изменив переход

.text:00411E19                 jnz     short loc_411E45

на

.text:00411E19                 jmp     short loc_411E45

т. е. сделав его безусловным.

Заключение

Вот и снова проблемы в защите программ. И все из-за одних лишь окон сообщений. Как ни странно, для того, чтобы программа сломалась потребовалось изменить один лишь байт!

Настоящая статья предоставлена в ознакомительных целях и ответственность за использование ее в незаконных целях ложится на ваши плечи

Лев Трубач (leotr),
trubachlev@mail.ru,
icq: 348980438,
web: www.leotr.org

Республика Казахстан, г. Арыс.

размещение, распространение,копирование данной статьи без ведомаавтора - запрещена