Буду описывать здесь процесс выполнения различных работ.
Страницы
- Главная страница
- Карта блога
html
вторник, 30 августа 2011 г.
Анализатор исполняемых файлов PEiD 0.95
0. Скачать PEiD v0.95 c 36 плагинами: PEiD.v0.95.rar или здесь: PEiD.v0.95.rar
1.Общее описание программы.
PEiD (PE iDentifier) — инструмент для исследования PE файлов, позволяющий узнать язык программирования, использованный при написании программы, название упаковщика, с помощью которого эта программа ужата; или криптора , которым программу зашифровали.
Анализ программой PEiD производится по внутренней и внешней базе сигнатур, текущая версия 0.95 может определять 672 различных сигнатуры в PE файлах.
В программе PEid есть несколько уровней сканирования , можно обрабатывать целые каталоги.
Расширить функционал PEiD можно за счет использования плагинов, которые можно скачать с официальной страницы PEiD (сейчас сайт, к сожалению, не работает ) или найти у сторонних разработчиков
Analyzer peid | analyzer pe files | PE file#antispambo #pentest #cracking #crackme
Описание возможностей и функционала программы можно найти в файле readme.txt
2. Рабочее окно программы
Запускаем и программа готова к работе:
 |
| Программа готова к работе |
Рассмотрим некоторые управляющие элементы окна
В левом нижнем углу checkbox Stay on top . Если он отмечен, рабочее окно программы PeiD всегда будет наверху, если снят, то поведение окна будет обычным
Наверху окна метка File: , текстовое окошечко и небольшая кнопочка. Все это служит для выбора и отображения файла, с которым будет работать программа PeiD
3.Начало работы с программой.
При помощи кнопочки выберем нужный исполняемый файл и получим результат. Можно воспользоваться методом Drag — and – Drop. Достаточно перетащить мышью нужный PE-файл на окно программы и мы тоже получим результат
Окно PeiD после вызова файла:
 |
| Окно PeiD после вызова файла |
Видим, что данный PE-EXE файл написан на Borland Delphi версии 6.0 или 7.0 и ничем не упакован.
Вот другой файл :
 |
| Программа запакована упаковщиком UPX. |
Исследуемая программа запакована упаковщиком UPX.
КАК ДЕКОМПИЛИРОВАТЬ EXE DLL C# | КАК УЗНАТЬ ИСХОДНЫЙ КОД ПРОГРАММЫ | ДЕКОМПИЛЯЦИЯ | C# ПЛЮШКИ
В случае, если PEid ничего не удалось найти, она выведет « Nothing found ».
Если загруженный файл является не PE – файлом, программа выдает « Not a valid PE file ».
Анализ PE — файла осуществляется при помощи сигнатур. Про сигнатуры написано в файле external.txt .Сами внешние сигнатуры находятся в файле userdb.txt .
Источник: konspect.blogspot.com
PEiD Tab для Windows
PEiD Tab — бесплатная утилита, которая расширяет возможности Windows Explorer, добавляя функцию исследования PE файлов, позволяющий узнать компилятор, а следовательно, и язык программирования, использованный при написании программы, упаковщика или криптора. Определение упаковщика осуществляется при помощи поиска сигнатуры.
Текущая версия может определять 672 различных сигнатуры в PE файлах. Также можно добавить пользовательские сигнатуры. Есть возможность дизассемблирования файла. К недостаткам можно отнести то, что можно обойти алгоритм поиска его сигнатур, и он не найдет нужную сигнатуру. Пользоваться утилитой очень легко — после установки PEiD Tab необходимо кликнуть правой кнопкой мыши по нужному файлу (ярлыке, приложению, библиотеке DLL или другом исполняемом файле), выбрать пункт «Свойства» из выпадающего меню, и перейти на появившуюся вкладку PEiD («PE iDentifier»).
- Исправлено некорректное отображение PEiD Tab в Windows XP
- Улучшена совместимость с 64-х битными приложениями
- Исправлена ошибка загрузки ресурсов
- Обновлена база сигнатур
- Полная поддержка плагинов PEiD
ТОП-сегодня раздела «Расширения»
С помощью небольшой программки Defender Control вы в один клик сможете отключать, включать и.
Небольшая портативная программа, которая позволяет настроить панель задач Windows 10.
Punto Switcher — нужная программа, которая автоматически исправит текст, набранный не в той.
Volume2 — очень удобная программа, дающая пользователю возможность управлять уровнем.
MiniBin — небольшая утилита, которая дополнит Вашу панель уведомлений (системный трей) иконкой Корзины.
StartIsBack++ — полезная утилита для всех пользователей «десятки», которая вернет в интерфейс операционки привычное и знакомое меню Пуск из Windows 7.
Отзывы о программе PEiD Tab
Отзывов о программе PEiD Tab 1.4.7.992 пока нет, можете добавить.
Источник: www.softportal.com
Защита программного обеспечения: Основные ошибки при программировании блока регистрации программы (или один бит может изменить мир)
Для того чтобы написать хорошую программу, как правило, требуется от программиста много времени и сил. Большинство программистов даже не представляют себе насколько просто их программы могут быть взломаны. Стандартное время, необходимое для взлома программы с ошибками в защите блока проверки легальности пользователя обычно не превышает 5 минут.
В своих статьях я хочу рассказать об основных недочетах, которые допускают программисты в блоках регистрации приложений. Для этого я написал небольшую программу, на которой постараюсь показать насколько легко можно обойти участок кода, отвечающий за проверку легальности копии программного обеспечения. Если данная тема будет интересна читателям, она найдет продолжение в последующих публикациях.
Для начала нам потребуется:
• Дизассемблер (я воспользовался дизассемблером IDA Free www.hex-rays.com/idapro/idadownfreeware.htm)
• Шестнадцатеричный редактор (я взял редактор со встроенным дизассемблером BIEW biew.sourceforge.net/ru/biew.html)
• Немножечко мозгов 🙂
Первый шаг – определить компилятор, использованный для создания загружаемого модуля. Для этого воспользуемся небольшой утилитой PEiD (http://www.peid.info/). Шаг второй – запуск программы. Это очень важные этапы, которые позволят нам собрать важную информацию для выбора стратегии поиска в дизассемблированном листинге блока проверки правильности регистрационных данных. Интерфейсное окно программы выглядит следующим образом:
Первое, что мы видим – надпись в строке заголовка: «регистрационные данные не верны!». Это означает, что программа при загрузке проверяет наличие регистрационного номера и кода. Это упрощает задачу т.к. изменив логику алгоритма в самом начале запуска программы, мы получим в дальнейшем полнофункциональную копию. Теперь попробуем ввести какие-нибудь данные в поля ввода.
Естественно, мы получим сообщение о том, что введенный код не соответствует имени пользователя. Воспользовавшись утилитой PEiD, узнаем что программа была написана и скомпилирована в интегрированной среде Delphi. По внешнему виду окна сообщений можно заключить, что для создания диалогового сообщения была использована процедура из внутренней библиотеки компонент. Определить компилятор можно также визуально осмотрев исполняемый модуль, обратив внимание на особенности записей секций программы, дополнительных строчек copyright. Для того чтобы изучить исходный код программы, дизассемблируем ее при помощи IDA.
Для начала, попытаемся найти в окне функций ShowMessage, которая вероятно была использована для вывода окна сообщений. Как видим, на эту процедуру в листинге программы есть две перекрестные ссылки.
Логично предположить, что одно из этих окон выдает сообщение об успешной регистрации программы, другое – о неудачной регистрации. Наше внимание должна привлечь функция по виртуальному адресу .0047120E. Именно от результатов ее работы зависит дальнейшее ветвление алгоритма. Как правило, логический результат работы функции передается в регистр al.
Таким образом, можно сделать вывод о том, что функция sub_470FFC отвечает за проверку корректности введенных данных о регистрации программы. Далее, все что нам нужно – это подменить результаты работы функции. Для этого перейдем по адресу. 00470FFC.
Есть два способа фальсифицировать результаты работы функции: сократить ее выполнение лишь необходимыми строками либо найти место в программе, где регистру al сообщается 0. В первом случае, открыв исполняемый модуль в программе BIEW и перейдя по вышеуказанному адресу вводим следующий код: 33C0B001C3 что соответствует очистке регистра аккумулятора (eax), сообщению ему истинного результата и команда возврата на адрес, находящийся в стеке. Недостатком этого метода является слишком большие изменения исходного кода программы. Чем меньше модификаций исходного кода будет сделано, тем более эффектно это будет смотреться и менее вероятна неправильная работа программы в дальнейшем. Наше внимание должен привлечь следующий фрагмент кода
По виртуальному адресу .0047106E фактически присваивается результат работы функции. Изменив значение кода 0x75 на 0x74 в операторе условного перехода, который находится одной строчкой выше, мы тем самым заставим программу считать легальными любые сочетания имени/кода кроме правильных сочетаний. Запускаем модифицированную программу, сразу видим надпись в строке заголовка о том, что программа уже зарегистрирована.
Введя произвольное сочетание регистрационного имени/кода мы получим уведомление об успешной регистрации программы.
Таким образом, мы обошли блок регистрации программы, причем избежали возможных программных «закладок», которые могли находиться внутри регистрационной функции (при модификации кода программы первым описанным способом, приложение могло работать неправильно несмотря на сообщения об успешной регистрации).
Итак рассмотрим основные ошибки.
1. Использование одной функции проверки легальности копии (функций должно быть много, несмотря на то, что делают они фактически одно и то же)
2. Использование стандартных диалогов уведомления (лучше написать свои формы-уведомления для сообщений пользователю)
3. Уведомления пользователя об успешной регистрации (допустимо только уведомление о записи регистрационных данных и предложение перезапустить программу)
4. Отсутствие дополнительных проверок легальности копии, отсутствие привязки результатов работы программы от введенных данных (сочетание имени/пароля должно выдавать корректирующие коэффициенты, влияющие на результат работы приложения)
Это далеко не все рекомендации, которые можно дать авторам программного обеспечения, но их выполнение может затруднить взлом программы. Быть может, этого будет достаточно для того, чтобы остановить начинающего, но явно недостаточно для человека, который занимается изучением исходного кода программ достаточно давно.
В любом случае, какая бы ни была сложная и запутанная защита – ее можно взломать. Весь вопрос в квалификации человека и времени. Идеальный вариант – это когда взлом программы стоит дороже, чем покупка легальной копии. Всем удачи :).
- взлом
- защита от взлома
- реверс-инженеринг
- реверс инженеринг
- реверсинг
- ассемблер
Источник: habr.com