Hướng dẫn Crackme 1 của Merc

Hướng dẫn Crackme 1 của Merc Introduction: Giới thiệu Bài viết này sẽhướng dẫn người đọc cách đọc code crackme đầu tiên của Merc đểtừđó viết chương trình keygen. Tools: Công cụChúng ra sẽcần Stripper, IDA, và một chương trình biên dịch ngôn ngữC. Việc giải nén khá là đơn giản. Ta sẽdùng Stripper v2.0.7 đểgiải nén crackme này. Bài viết này không chú trọng vào việc giải nén. Guess Phỏng đoán: Chạy thửcrackme, ta thấy crackme đòi nhập một chuỗi nào đó rồi nhấn nút Check. Nhấn nút Check thì crackme tựđộng thoát ra. Việc kết thúc chương trình một cách ép buộc này làm ta nghĩngay đến các hàm ExitProcess, TerminateProcess, SendMessage, PostMessage và các hàm tương tự. Disasm: Dịch ngược và hiểu mã Ta dùng IDA đểdịch ngược. Sau khi đã dịch ngược xong, chọn cửa sổNames window, tìm hàm ExitProcess hoặc PostQuitMessage. Tại sao? Vì khi ởcông ty thì tác giảbài viết phát hiện ra từhàm ExitProcess có thểlần ngược lại hàm kiểm tra chuỗi. Nhưng đến khi về nhà thì tác giảkhông còn lần ngược lại được từExitProcess nữa mà phải từPostQuitMessage. Quay trởlại cửa sổIDA View. Cuộn lên trên cho tới khi thấy đoạn mã sau. .text:00401440 83+ sub esp, 7Ch .text:00401443 53 push ebx .text:00401444 8B+ mov ebx, ecx .text:00401446 33+ xor ecx, ecx .text:00401448 56 push esi .text:00401449 89+ mov [esp+9], ecx .text:0040144D 57 push edi .text:0040144E 89+ mov [esp+11h], ecx .text:00401452 A0+ mov al, byte_418148 .text:00401457 89+ mov [esp+15h], ecx .text:0040145B BE+ mov esi, offset aGoodJobTheSolu ; "Good Job! The Solution Is : " .text:00401460 66+ mov [esp+19h], cx .text:00401465 8D+ lea edi, [esp+2Ch] .text:00401469 88+ mov [esp+1Bh], cl]]> Đưa con trỏtới dòng .text:00401440, nhấn phím P đểkhai báo một hàm mới bắt đầu từđịa chỉđó. Tại sao chúng ta biết? Vì ngay trên đó ta thấy align 10h chia cách các hàm. Cũng đặt con trỏtại đây, nhấn N, nhập vào check vì ta sẽthấy trong vài đoạn sau đây chính là hàm kiểm tra chuỗi. Lần theo mã đến một đoạn có rất nhiều lệnh mov sau. .text:00401482 B8+ mov eax, 58h .text:00401487 89+ mov [esp+88h+var_67], edx .text:0040148B 89+ mov [esp+88h+var_30], eax .text:0040148F 89+ mov [esp+88h+var_20], eax .text:00401493 89+ mov [esp+88h+var_63], edx .text:00401497 8D+ lea eax, [esp+88h+String] .text:0040149B 6A+ push 3Ch ; nMaxCount .text:0040149D 66+ mov [esp+8Ch+var_5F], dx .text:004014A2 A4 movsb .text:004014A3 50 push eax ; lpString .text:004014A4 68+ push 3E8h ; nIDDlgItem .text:004014A9 8B+ mov ecx, ebx .text:004014AB 88+ mov [esp+94h+var_5D], dl .text:004014AF C7+ mov [esp+94h+var_3C], 31h .text:004014B7 C7+ mov [esp+94h+var_38], 47h .text:004014BF C7+ mov [esp+94h+var_34], 23h .text:004014C7 C7+ mov [esp+94h+var_2C], 38h .text:004014CF C7+ mov [esp+94h+var_28], 74h .text:004014D7 C7+ mov [esp+94h+var_24], 27h .text:004014DF C7+ mov [esp+94h+var_1C], 39h .text:004014E7 C7+ mov [esp+94h+var_18], 73h .text:004014EF C7+ mov [esp+94h+var_14], 76h .text:004014FA C7+ mov [esp+94h+var_10], 43h .text:00401505 C7+ mov [esp+94h+var_C], 60h .text:00401510 C7+ mov [esp+94h+var_8], 2Fh .text:0040151B C7+ mov [esp+94h+var_4], 79h .text:00401526 33+ xor esi, esi .text:00401528 E8+ call sub_40E21E]]> Đầu tiên, eax được gán giá trị0x58. Sauđó var_30 và var_20 được gán giá trịcủa eax. Ởcác dòng mov sau, ta thấy một loạt liên tiếp từ var_3C tới var_4 được gán các giá trị"cứng". Chú ý kỹta thấy rằng từvar_3C tới var_4 là một mảng 15 biến kiểu int tất cả. Nhấn kép chuột vào var_3C, sau đó nhấn chuột vào chuỗi var_3C, nhấn * và nhập 15 vào ô Array size. Ta có thểđổi tên biến var_3C thành target bằng cách nhấn chuột vào chuỗi var_3C, nhấn N và nhập vào target. Nhấn kép vào sub_40E21E tại dòng lệnh call ởcuối ta thấy rằng hàm này thực chất là hàm gói GetDlgItemTextA. Đổi tên sub_40E21E thành getInputText. Vì đây là hàm nhận dữliệu nhập, ta cũng nên đổi tên biến String thành input. Đoạn mã C tương tựnhưsau. int target[] = {0x31, 0x47, 0x23, 0x58, 0x38, 0x74, \ 0x27, 0x58, 0x39, 0x73, 0x76, 0x43, 0x60, 0x2F, 0x79}; char input[60]; getInputText(input, 0x3C); // đây chỉlà hàm giảđểnhận dữliệu nhập ]]> Chúng ta sẽgặp đoạn mã kếtiếp thường xuyên nên bài viết sẽchỉ nói qua một lần.Đoạn mã kếbao gồm bốn lệnh lea edi, X, tới repe scasb, rồi not ecx, và dec ecx. Tất cảbốn lệnh này chỉthực hiện một việc là tính chiều dài chuỗi được chỉtới bởi edi. .text:0040152D 8D+ lea edi, [esp+88h+input] .text:00401531 83+ or ecx, 0FFFFFFFFh .text:00401534 33+ xor eax, eax .text:00401536 33+ xor edx, edx .text:00401538 F2+ repne scasb .text:0040153A F7+ not ecx .text:0040153C 49 dec ecx]]> Chúng ta bắt đầu tìm hiểuđoạn mã kếtiếp có mục đích gì. .text:0040152D 8D+ lea edi, [esp+88h+input] .text:00401531 83+ or ecx, 0FFFFFFFFh .text:00401534 33+ xor eax, eax .text:00401536 33+ xor edx, edx .text:00401538 F2+ repne scasb .text:0040153A F7+ not ecx .text:0040153C 49 dec ecx .text:0040153D 74+ jz short loc_40155A .text:0040153F .text:0040153F loc_40153F: ; CODE XREF: check+118]]>↓<![CDATA[j .text:0040153F 8A+ mov cl, [esp+edx+88h+input] .text:00401543 8D+ lea edi, [esp+88h+input] .text:00401547 88+ mov byte ptr [esp+edx+88h+var_6C], cl .text:0040154B 83+ or ecx, 0FFFFFFFFh .text:0040154E 33+ xor eax, eax .text:00401550 42 inc edx .text:00401551 F2+ repne scasb .text:00401553 F7+ not ecx .text:00401555 49 dec ecx .text:00401556 3B+ cmp edx, ecx .text:00401558 72+ jb short loc_40153F]]> Nhưđã nói, từdòng .text:0040152D tới .text:0040153C tìm chiều dài của chuỗi input. Nếu chiều dài đó khác 0 thì sẽthực hiện phần kế tiếp, còn không thì bỏqua. Kèm trong mã tìm chiều dài là việc khởi tạo eax và edx thành 0. Phần mã từ.text:0040153F đến cuối thực hiện việc chép tuần tựcác ký tựtừinput vào var_6C. Đổi tên var_6C thành copiedInput. Ta có thểbiểu diễn đoạn mã hợp ngữnày bằng mã C như sau. char copiedInput[60]; int counter; if (strlen(input) != 0) { for (counter = 0; counter < strlen(input); counter++) { copiedInput[counter] = input[counter]; } }]]> Chúng ta tiếp tục tìm hiểu phần kế. .text:0040155A loc_40155A: ; CODE XREF: check+FD]]>↑<![CDATA[j .text:0040155A 8D+ lea edi, [esp+88h+input] .text:0040155E 83+ or ecx, 0FFFFFFFFh .text:00401561 33+ xor eax, eax .text:00401563 33+ xor edx, edx .text:00401565 F2+ repne scasb .text:00401567 F7+ not ecx .text:00401569 49 dec ecx .text:0040156A 74+ jz short loc_401589 .text:0040156C .text:0040156C loc_40156C: ; CODE XREF: check+147]]>↓<![CDATA[j .text:0040156C 8A+ mov cl, [esp+edx+88h+input] .text:00401570 8D+ lea edi, [esp+88h+input] .text:00401574 02+ add cl, dl .text:00401576 33+ xor eax, eax .text:00401578 88+ mov [esp+edx+88h+input], cl .text:0040157C 83+ or ecx, 0FFFFFFFFh .text:0040157F 42 inc edx .text:00401580 F2+ repne scasb .text:00401582 F7+ not ecx .text:00401584 49 dec ecx .text:00401585 3B+ cmp edx, ecx .text:00401587 72+ jb short loc_40156C]]> Nếu độdài chuỗi input khác 0 thì lần lượt sửa từng ký tựtrong input với giá trịlà giá trịcũcộng thêm vịtrí của ký tựđó trong chuỗi. Ta thấy trong đoạn tìmđộdài chuỗi ởtrên có khởi tạo edx thành 0 và đoạn ởdưới có thêm một lệnh inc edx đểtăng edx. Đoạn mã C tương tựnhưsau. if (strlen(input) != 0) { for (counter = 0; counter < strlen(input); counter++) { input[counter] += counter; } }]]> Phần kếtiếp có vẻhơi phức tạp hơn một chút. .text:00401589 loc_401589: ; CODE XREF: check+12A]]>↑<![CDATA[j .text:00401589 8D+ lea edi, [esp+88h+input] .text:0040158D 83+ or ecx, 0FFFFFFFFh .text:00401590 33+ xor eax, eax .text:00401592 33+ xor edx, edx .text:00401594 F2+ repne scasb .text:00401596 F7+ not ecx .text:00401598 49 dec ecx .text:00401599 49 dec ecx .text:0040159A 74+ jz short loc_4015C5 .text:0040159C .text:0040159C loc_40159C: ; CODE XREF: check+183]]>↓<![CDATA[j .text:0040159C 8A+ mov al, [esp+edx+88h+input] .text:004015A0 8A+ mov cl, [esp+edx+0Dh] .text:004015A4 3A+ cmp al, cl .text:004015A6 7E+ jle short loc_4015B0 .text:004015A8 88+ mov [esp+edx+88h+input], cl .text:004015AC 88+ mov [esp+edx+0Dh], al .text:004015B0 .text:004015B0 loc_4015B0: ; CODE XREF: check+166]]>↑<![CDATA[j .text:004015B0 8D+ lea edi, [esp+88h+input] .text:004015B4 83+ or ecx, 0FFFFFFFFh .text:004015B7 33+ xor eax, eax .text:004015B9 42 inc edx .text:004015BA F2+ repne scasb .text:004015BC F7+ not ecx .text:004015BE 83+ add ecx, 0FFFFFFFEh .text:004015C1 3B+ cmp edx, ecx .text:004015C3 72+ jb short loc_40159C]]> Chú ý kỹđoạn mã loc_40159C, IDA đã không giúp chúng ta biết esp+edx+0Dh chỉtới giá trịnào. Nhưng IDA có thểcho chúng ta biết esp+edx+88h+input thực chất là gì. Đưa con trỏvào vùng esp+edx+88h+input, nhấn chuột phải và quan sát kỹta sẽthấy esp+edx+0Ch. Có nghĩa là đoạn mã này sẽlần lượt so sánh hai ký tự kếtiếp nhau trong input. Nếu ký tựđứng trước nhỏhơn ký tựđứng sau thì hoán đổi vịtrí của chúng. Chú ý kỹlà vòng lặp chỉlặp tới chiều dài của input trừmột. Chúng ta biết điều này vì tại .text:004015BE, thay vì dec ecx ta lại có add ecx, 0FFFFFFFFh (hay ecx = ecx - 2, hay ecx chứa chiều dài chuỗi input giảm một). Đoạn mã C tương tựnhư sau. if (strlen(input) != 0) { for (counter = 0; counter < strlen(input) - 1; counter++) { char a = tmp[counter]; char b = tmp[counter + 1]; if (a > b) { tmp[counter] = b; tmp[counter + 1] = a; } } } Phần cuối cùng của hàm này khá đơn giản. .text:004015C5 loc_4015C5: ; CODE XREF: check+15A]]>↑<![CDATA[j .text:004015C5 8D+ lea edi, [esp+88h+input] .text:004015C9 83+ or ecx, 0FFFFFFFFh .text:004015CC 33+ xor eax, eax .text:004015CE F2+ repne scasb .text:004015D0 F7+ not ecx .text:004015D2 49 dec ecx .text:004015D3 74+ jz short loc_40163E .text:004015D5 8D+ lea edx, [esp+88h+target] .text:004015D9 .text:004015D9 loc_4015D9: ; CODE XREF: check+1B6]]>↓<![CDATA[j .text:004015D9 0F+ movsx eax, [esp+esi+88h+input] .text:004015DE 3B+ cmp eax, [edx] .text:004015E0 75+ jnz short loc_4015F8 .text:004015E2 8D+ lea edi, [esp+88h+input] .text:004015E6 83+ or ecx, 0FFFFFFFFh .text:004015E9 33+ xor eax, eax .text:004015EB 46 inc esi .text:004015EC 83+ add edx, 4 .text:004015EF F2+ repne scasb .text:004015F1 F7+ not ecx .text:004015F3 49 dec ecx .text:004015F4 3B+ cmp esi, ecx .text:004015F6 72+ jb short loc_4015D9 .text:004015F8 .text:004015F8 loc_4015F8: ; CODE XREF: check+1A0]]>↑<![CDATA[j .text:004015F8 83+ cmp esi, 0Fh .text:004015FB 75+ jnz short loc_40163E]]> Đoạn mã này so sánh từng ký tựcủa chuỗi input với giá trịcó sẵn trong target. Giá trịcủa esi là vịtrí của sựkhác nhau đầu tiên. Giá trị của esi phải là 15 thì khóa nhập vào mới đúng. Mã C tương tựnhưsau. if (strlen(input) != 0) { for (counter = 0; counter < strlen(input); counter++) { if (input[counter] != target[counter]) { break; } } } if (counter == 0x0F) { // phần mã hiển thịhộp thoại thông báo copiedInput là khóa đúng // phần này không được xem xét trong bài viết } // PostQuitMessage]]> Nhưvậy ta đã có đầy đủthông tin đểviết lại hàm kiểm tra khóa nhập của crackme này. Việc tìm ra một khóa thỏa mã điều kiện của hàm kiểm tra này cũng khá đơn giản. Bài viết sẽkhông đềcập tới vấn đềtìm ra một khóa mà sẽtập trung vào việc tìm ra tất cảcác khóa trong phần tới. id="brute"> Với một hàm kiểm tra đơn giản nhưvậy ta có rất nhiều kết quảthỏa mã điều kiện. Tuy nhiên, tác giảcrackme này nhất định đòi người thử sức phải tìm ra khóa có ý nghĩa. Vì hàm kiểm tra quá đơn giản nênđể tìm ra tất cảmọi khóa ta chỉcòn cách vét cạn các hoán vịcủa target. Lưu ý rằng sinh ra tất cảhoán vịcủa một chuỗi 15 ký tựsẽsinh ra 15! (15 giai thừa) chuối mới. Ai cũng nhận ra 15! là một con sốrất lớn nên trong khi sinh ra hoán vị, chúng ta phải có cách đểloại bỏtất cảcác hoán vịmà ta biết là sẽkhông thểnào dẫn tới đáp án đúng. Trước khi bắt tay vào tìm kết quả, ta cần phải sửa hàm kiểm tra để tốiưu tốc độchạy nhưsau. static char target[] = "1G#X8t'X9svC`/y"; #define TARGET_LEN 15 int check(char *input, register int length) { char tmp[16]; register char a, b; register int counter; strncpy(tmp, input, length); length--; for (counter = 0; counter < length; counter++) { a = tmp[counter]; b = tmp[counter + 1]; if (a > b) { tmp[counter] = b; tmp[counter + 1] = a; } if (tmp[counter] != target[counter]) { break; } } if (counter == length && tmp[counter] == target[counter]) { counter++; } return counter; }]]> Hàm này kiểm tra chuỗi nhập vào với độdài length. Giá trịtrảvề là vịtrí sai biệt đầu tiên. Vì việc kiểm tra khá tốn thời gian so với việc sinh hoán vịnên hàm kiểm tra này đã được tối ưu dẫnđến việc mã hàm hơi khó hiểu. Ta cần hàm này vì trong quá trình sinh hoán vịta sẽ kiểm tra ngay lập tức và loại bỏcác hoán vịcon không cần thiết. Hàm sinh hoán vịkhá đơn giản. Nó là một hàm đệquy nhưsau. static int used[TARGET_LEN]; void printKey(char *dst) { int i = 0; for (i = 0; i < TARGET_LEN; i++) { printf("%c", (char) (dst[i] - i)); } printf("\n"); } void permute(register char *dst, register index) { register int i; if (index >= TARGET_LEN) { if (check(dst, TARGET_LEN) >= TARGET_LEN) { printKey(dst); } return; } for (i = 0; i < TARGET_LEN; i++) { if (!used[i]) { dst[index] = target[i]; used[i] = 1; if (check(dst, index + 1) >= index) // cắt nhánh { permute(dst, index + 1); } dst[index] = '\x00'; used[i] = 0; } } }]]> Điều đáng lưu ý ởhàm permute là dòng if đểcắt nhánh. Nếu ký tự mới thêm vào dst không qua được hàm kiểm tra nhưcác ký tựđã có trong dst thì bỏtoàn bộnhánh đó. Đểxửdụng hàm permute ta sẽkhai báo một mảng ký tựvà khởi tạo mảng used nhưsau. void main(void) { char tmp[16]; memset(used, 0, sizeof(used)); memset(tmp, 0, sizeof(tmp)); permute(tmp, 0); }]]> Đoạn mã trên sẽin lên màn hình tất cảcác giá trịthỏa hàm kiểm trađã nói tớiởdisasm. Đểbiên dịch các đoạn mã này, ngườiđọc cần thêm stdio.h, và string.h. Lời kết: Tác giảhy vọng bài viết đã hướng dẫn người đọc cách đọc và hiểu mã hợp ngữcùng IDA đểtừđó cấu trúc lại crackme đầu tiên của Merc và phương pháp vét cạn cắt nhánh tìm các khóa thỏa mãn crackme này.