Ingenieria Inversa Diseno de Aplicaciones Seguras

Introduccion a la Ingeniera Inversa
Diseno de Aplicaciones Seguras

Ricardo J. Rodrguez
rjrodriguez@unizar.es
XX de Noviembre de 2011
Grupo de Ingeniera de Sistemas de Eventos Discretos

Universidad de Zaragoza
Outline
Outline
2
3
4
5
6
Introducci
on a la Ingeniera Inversa
Que es la Ingeniera Inversa
Motivaci
on
Aproximaciones a la Ingeniera Inversa
Conocimientos previos
Refrescando la memoria. . .
Conocimientos de manejo de debuggers
7
Conocimientos de arquitectura x86 b
asicos
8
Conocimientos de las estructuras PE
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
Tecnicas de reversing
CD Check
Patching y loaders
Time-trials y Registro de Windows
Captura del serial y Keygenning
Archivos de licencia
Desempacado (unpacking)
Algunos metodos antireversing
Ejemplo pr
actico
Estudio del crackME
Algoritmo de generaci
on
Conclusiones
Investigaci
on en Ingeniera Inversa
Introducci
on a la Ingeniera Inversa - DAS
DAS 2011
2 / 54
Introducci
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
3 / 54
Introducci
Qu
e es la Ingeniera Inversa
Introduccion a la Ingeniera Inversa (I)

Ingeniera inversa (reverse engineering)
Descubrir como funciona (algo) a partir de un analisis exhaustivo
Mejora de productos/sistemas viejos
Diferentes dominios de aplicaci
on
Hardware (legacy hardware)
Software (e.g. Samba)
R.J. Rodrguez
Introducci
DAS 2011
4 / 54
Introducci
Qu
e es la Ingeniera Inversa
Introduccion a la Ingeniera Inversa (I)

Ingeniera inversa (reverse engineering)
Descubrir como funciona (algo) a partir de un analisis exhaustivo
Mejora de productos/sistemas viejos
Diferentes dominios de aplicaci
on
Hardware (legacy hardware)
Software (e.g. Samba)
Ir hacia atras en el ciclo de desarrollo
R.J. Rodrguez
Introducci
DAS 2011
4 / 54
Introducci
Motivaci
on
Introduccion a la Ingeniera Inversa (II)

Motivacion
Interoperabilidad
Documentacion inexistente
Analisis de productos finales
Auditora de seguridad
Espionaje industrial o militar (e.g. Segunda GM)
Eliminacion de anticopias o limitaciones de uso
Creacion de duplicados sin licencia
Academicos
Curiosidad innata
Para aprender de los errores de otros
R.J. Rodrguez
Introducci
DAS 2011
5 / 54
Introducci
Motivaci
on
Introduccion a la Ingeniera Inversa (II): Motivacion (2)
Encontrar vulnerabilidades en el software

Chequeo de cotas de manera incorrecta (buffer overflow)
Uso de entradas sin validacion
Rutinas cclicas para entrada de datos
Operaciones de copia a nivel de byte
Aritmetica de punteros basada en entradas dadas del usuario
Confianza en sistemas seguros con entradas dinamicas
R.J. Rodrguez
Introducci
DAS 2011
6 / 54
Introducci
Introduccion a la Ingeniera Inversa (III)

Aproximaciones
Caja blanca
Analizar y entender el c
odigo fuente (o binario desensamblado)
Encontrar errores de programacion y/o implementacion
Analizador estatico: b
usqueda de patrones (falso positivo?)
Ejemplos: WhiteBox SecureAssistant, IDAPro, SourceScope. . .
Caja negra
Analizar programa seg
un diferentes entradas software en ejecucion
No es tan efectivo, pero requiere menos experiencia
Metodo habitual para detectar exploits
Caja gris
Combinacion de las dos anteriores
Ejecuci
on de programa mediante debug. . .
. . . alimentandolo con diferentes entradas
Ejemplos: Rationals Purify (analisis uso/consumo memoria), Valgrind
R.J. Rodrguez
Introducci
DAS 2011
7 / 54
Introducci

Reverse engineering code
Tambien conocida como cracking
Eliminar protecciones de c
odigo (copyrights)
NO siempre es malo: detecci
on de bugs, potenciales exploits, . . .
Lucha contra el malware
R.J. Rodrguez
Introducci
DAS 2011
8 / 54
Introducci

Reverse engineering code
Tambien conocida como cracking
Eliminar protecciones de c
odigo (copyrights)
NO siempre es malo: detecci
on de bugs, potenciales exploits, . . .
Lucha contra el malware
Crackers: algo mas que unas galletas. . .
NO CONFUNDIR con los criminal hackers
R.J. Rodrguez
Introducci
DAS 2011
8 / 54
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
9 / 54
Conocimientos previos (I)
Ensamblador (http://www.intel.com/products/processor/manuals/ )
R.J. Rodrguez
Introducci
DAS 2011
10 / 54
Conocimientos previos (I)
Ensamblador (http://www.intel.com/products/processor/manuals/ )
Funcionamiento interno SS.OO.
Que ocurre al pulsar un bot
on?
Y al aceptar un checkbox?
La biblia de APIs de Windows: WinXXAPI (32 o 64 bits)
http://msdn.microsoft.com/en-us/library/Aa383723
API: Application Programming Interface
Estructura interna de un PE (Portable Executable)

http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx
Debuggear programas
Breakpoints
Step into, step over, . . .
R.J. Rodrguez
Introducci
DAS 2011
10 / 54
Conocimientos previos (II)

Anillos de privilegio R0 . . . R3
Mas privilegios (kernel) a menos privilegios (aplicaciones)
R.J. Rodrguez
Introducci
DAS 2011
11 / 54
Conocimientos previos (II)

Anillos de privilegio R0 . . . R3
Mas privilegios (kernel) a menos privilegios (aplicaciones)
When a program runs, then it can be cracked

R.J. Rodrguez
Introducci
DAS 2011
11 / 54
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
12 / 54
Nociones de debugger
Codigo ensamblador
Ejecuci
on paso a paso
Util para detectar fallos en programas

Comandos tpicos:
Breakpoint: punto de ruptura
Step into / Step over
Animate into / Animate over
Ejecuci
on hasta RET
R.J. Rodrguez
Introducci
DAS 2011
13 / 54

asicos
Conocimientos de arquitectura x86 basicos (I)
Registros
Diferentes tipos de registros, seg
un uso
Prop
osito general
Segmento
Apuntador de instrucciones
Indice
Bandera (flags)
R.J. Rodrguez
Introducci
DAS 2011
14 / 54

asicos
Conocimientos de arquitectura x86 basicos (II)
Registros de proposito general

EAX : registro acumulador
Operaciones aritmeticas y l
ogicas
Recoge resultado despues de operaciones (habitualmente)
EBX : registro base

Transferencias de datos entre memoria y procesador
ECX : registro contador

Contador en bucles (loop), cadenas (rep), desplazamientos (shX)
EDX : registro datos

Multiplicacion y division (junto con EAX )
Entrada y salida de puertos
R.J. Rodrguez
Introducci
DAS 2011
15 / 54

asicos
Conocimientos de arquitectura x86 basicos (III) (1)

Registros de bandera (flags)
Cada bit significa una cosa diferente
Bit
Flag
15
-
14
-
13
-
12
-
11
OF
10
DF
9
IF
8
TF
7
SF
6
ZF
5
-
4
AF
3
-
2
PF
1
-
0
CF
CF : acarreo (arrastre tras operaciones aritmeticas)

OF : desbordamiento
ZF : cero (se pone a 1 si el resultado de la u
ltima operaci
on es 0)
SF : signo (se pone a 1 si el resultado de la u
ltima operaci
on es
negativo)
PF : paridad (se pone a 1 si el resultado de la u
ltima operaci
on es par)
R.J. Rodrguez
Introducci
DAS 2011
16 / 54

asicos
Conocimientos de arquitectura x86 basicos (III) (2)

Registros de bandera (flags)
Cada bit significa una cosa diferente
Bit
Flag
15
-
14
-
13
-
12
-
11
OF
10
DF
9
IF
8
TF
7
SF
6
ZF
5
-
4
AF
3
-
2
PF
1
-
0
CF
AF : auxiliar (operaciones BCD)

DF : direcci
on (ops. de cadena, direcci
on ascendete o descendente en
recorrido)
IF : interrupciones (0 enmascaramiento de ints)
TF : trap flag (ejecucion paso a paso, ya veremos. . . )
R.J. Rodrguez
Introducci
DAS 2011
17 / 54

asicos
Conocimientos de arquitectura x86 basicos (IV) (1)
Tipos de instrucciones
Codificacion variable y alineaci
on independiente
INSTRUCCION DESTINO, ORIGEN

Puede aparecer un registro, dos o ninguno en una instrucci
on
(registros implcitos)
Referencias a memoria en cualquiera de los lados (NO a la vez!)
Cada operaci
on puede modificar registros consultar manual ASM
R.J. Rodrguez
Introducci
DAS 2011
18 / 54

asicos
Conocimientos de arquitectura x86 basicos (IV) (2)
Tipos de instrucciones
Flags recogen resultado de operaciones ALU
Direccionamiento: inmediato, offset o con ndice escalado (no relativo
al PC)
. . . excepto saltos (instrucci
on jmp)!
Instrucciones at
omicas (xchg, cmpxchg/cmpxchg8b, xadd, prefijo
LOCK)
Registros para coma flotante (ops. especiales)
Instrucciones SIMD (Single Instruction, Multiple Data): paralelismo a
nivel de datos
R.J. Rodrguez
Introducci
DAS 2011
19 / 54

asicos
Conocimientos de arquitectura x86 basicos (V) (3)

Flujo del programa
jmp
call ret
Pueden ser cercanos o lejanos, seg
un destino
La pila
LIFO (Last In First Out)
Paso de parametros a procedimientos
push
pop
call
ret
push ebp
mov ebp, esp
sub esp, SIZE LOCAL VARIABLES
R.J. Rodrguez
C
odigo de la subrutina
mov esp, ebp
pop ebp
INPUT
PARAMS; 4 by default
ret a
SIZE
Introducci
on a la Ingenier
Inversa
- DAS
DAS 2011
20 / 54
Conocimientos de las estructuras PE (I)

Encabezados: tama
no constante
EXEs, DLLs, OBJs
Cabecera MZ (DOS): c
odigo a ejecutar si no es
compatible con MS-DOS
Tama
no 0x40,
ultimos 4 @cabecera PE
Cabecera PE (Portable Executable)

04h:
06h:
14h:
16h:
18h:
tipo de maquina compilado

n
umero de secciones
tama
no de la cabecera opcional
caractersticas del fichero
comienzo cabecera opcional
01Ch: tama
no del c
odigo
028h: Entry Point
034h: direcci
on base del fichero
R.J. Rodrguez
Introducci
DAS 2011
21 / 54
Conocimientos de las estructuras PE (II)
Recuerda: secciones alineadas en memoria

durante ejecucion
Tablas de secciones:
@PE header+tama
no de PE header+tamano
de cabecera opcional
00h: nombre de la secci
on
08h: tama
no virtual
0ch: direcci
on virtual
024h: flags (lectura, escritura, ejecuci
on. . . )
Secciones: division del c

odigo
.text, .idata, .bss, .data, .reloc
Nombre de la seccion irrelevante para el
funcionamiento
R.J. Rodrguez
Introducci
DAS 2011
22 / 54
Conocimientos de las estructuras PE (II)
Referencias
Wikepedia
(http://en.wikipedia.org/wiki/Portable_Executable)
Peering Inside the PE: A Tour of the Win32 Portable Executable File
Format
(http://msdn.microsoft.com/en-us/library/ms809762.aspx)
Microsoft PE and COFF Specification

(http://msdn.microsoft.com/en-us/windows/hardware/gg463119
The .NET File Format
(http://ntcore.com/files/dotnetformat.htm)
R.J. Rodrguez
Introducci
DAS 2011
23 / 54
Herramientas u
tiles
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
24 / 54
Herramientas u
tiles
Herramientas utiles (I)
Basicas
Desensambladores
General: W32Dasm, IDA Pro, . . .
Especfico: p32Dasm (VBasic), Reflector (.NET), . . .
Editor hexadecimal (e.g., HexWorkshop)

Debuggers
Soft ICE
OllyDBG
IDA Pro
...
R.J. Rodrguez
Introducci
DAS 2011
25 / 54
Herramientas u
tiles
Herramientas utiles (II)
Otras. . .
Identificadores y editores PE (PEiD, PEEditor, . . . )
Visores/editores de recursos (XNResource Editor, Resorce Hacker,
...)
Volcadores de memoria (LordPE Deluxe, ProcDump, SirPE, . . . )
R.J. Rodrguez
Introducci
DAS 2011
26 / 54
Herramientas u
tiles
Herramientas utiles (II)
Otras. . .
Identificadores y editores PE (PEiD, PEEditor, . . . )
Visores/editores de recursos (XNResource Editor, Resorce Hacker,
...)
Volcadores de memoria (LordPE Deluxe, ProcDump, SirPE, . . . )
Emuladores (HASP, Sentinel, . . . )
Monitores de API (KaKeeware Application Monito, Event2Address,
...)
Reparadores de IAT (ImportREC, ReVirgin)
R.J. Rodrguez
Introducci
DAS 2011
26 / 54
Herramientas u
tiles
Herramientas utiles (III)

Documentacion: manuales y tutoriales
La mas importante hay que leer para aprender
Internet, una herramienta u
til y al alcance de cualquiera
Grupos de cracking
Hispano-hablantes (WkT, CLS, eCh, . . . )
Extranjeros (RZR, TNT!, ARTeam, RE, . . . )
Foros
elHacker (secci
on Programaci
onIngeniera Inversa)
ExeTools
WoodMan
Paginas personales (Karpoff, Shoulck, Saccopharynx, +NCR, AbsSha,

...)
Tuts4You (http://www.tuts4you.com/)
R.J. Rodrguez
Introducci
DAS 2011
27 / 54
Herramientas u
tiles
Herramientas utiles (III)

Documentacion: manuales y tutoriales
La mas importante hay que leer para aprender
Internet, una herramienta u
til y al alcance de cualquiera
Grupos de cracking
Hispano-hablantes (WkT, CLS, eCh, . . . )
Extranjeros (RZR, TNT!, ARTeam, RE, . . . )
Foros
elHacker (secci
on Programaci
onIngeniera Inversa)
ExeTools
WoodMan
Paginas personales (Karpoff, Shoulck, Saccopharynx, +NCR, AbsSha,

...)
Tuts4You (http://www.tuts4you.com/)
Practica, practica y (un poco m

as de) pr
actica
Cualquier (pobre) programa que caiga en nuestras manos
Crackmes (http://www.crackmes.us/)
R.J. Rodrguez
Introducci
DAS 2011
27 / 54
T
ecnicas de an
alisis
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
28 / 54
T
ecnicas de an
alisis
C
odigo muerto
Analisis de codigo muerto: descripcion

Programas sin protecci
on (o protecci
on mnima)
Es raro que funcione
Herramientas necesarias
Identificador PE
Desensamblador
Editor Hexadecimal
Cerebro
Intuici
on
Lapiz y papel
Suerte :)
Casos tpicos
Salto JE/JNE (JZ/JNZ) para registro correcto
N
umero de registro embebido en la aplicaci
on
Muy sencillo (queremos desafos!)

R.J. Rodrguez
Introducci
DAS 2011
29 / 54
T
ecnicas de an
alisis
C
odigo muerto
Analisis de codigo muerto: ejemplos (I)

NOPeo de salto de comprobaci
on
Una o varias rutinas de comprobacion de serial

NOPeo: sustituir codigo m
aquina por NOP (No OPeration)
JE/JNE (74/75) NOP (90)
JE/JNE (74/75) JMP (EB)a
Variantes: JX/JNX (cualquiera) NOP (90)
o JMP (EB)
a
Si el salto es largo (destino a m
as de 32 bits desde el lugar de origen),
vara. . .
Pasos
R.J. Rodrguez
Identificar PE y desensamblar
Buscar mensajes de chico malo
Analizar camino hasta el mensaje
NOPear salto/desviar camino
Introducci
DAS 2011
30 / 54
T
ecnicas de an
alisis
C
odigo muerto
Analisis de codigo muerto: ejemplos (II)

A la caza del serial
Una o varias rutinas de comprobacion de serial

El codigo de registro (serial) es u
nico y. . .
. . . esta embebido en la aplicaci
on !
Pasos
R.J. Rodrguez
Identificar PE (esta protegido?)
Desensamblar
Buscar mensajes de chico malo
Husmear la zona
Comprobar cadenas sospechosas :)
Introducci
DAS 2011
31 / 54
T
ecnicas de an
alisis
C
odigo vivo
Analisis de codigo vivo: descripcion

Programas con (o sin) protecci
on
Herramientas necesarias
Identificador PE
Desensamblador
Debugger
Cualquiera del cintur
on (dependera de la aplicaci
on a crackear)
Cerebro
Intuici
on
Lapiz y papel
Suerte :)
Mas complicados (i.e., divertido)

Cada aplicaci
on es un reto nuevo y diferente
Casos tpicos
Mmm. . . cualquiera?
(luego veremos un ejemplo. . . )

R.J. Rodrguez
Introducci
DAS 2011
32 / 54
T
ecnicas de reversing
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
33 / 54
T
CD Check
Tecnicas de cracking (I): CD Check

Verificacion del CD presente en la unidad
Fichero concreto en el CD de la unidad (algunas veces)
Protecciones mas avanzadas: SafeDisc, StarForce
Uso de unidades virtuales: DaemonTools
APIs tpicas
GetDriveTypeA
EAX = 5 si hay CD
GetVolumeInformationA
R.J. Rodrguez
Introducci
DAS 2011
34 / 54
T
Patching y loaders
Tecnicas de cracking (II): Patching y loaders

Patching
Objetivo: cambiar flujo natural de ejecucion del programa
Cambio de instrucciones maquina
Modificando (tras un CMP o TEST) o insertando saltos
Sustituyendo por NOPs
Metodos habituales: b
usqueda de cadenas o chequeo de APIs
Cambios estaticos (i.e., permanentes)
Loaders
Como el patching, pero en caliente m
as elegante
Dos tipos (basicos)
Simples
Debuggers (mas complejos):
util para programas empacados
Cambios dinamicos (i.e., temporales)

R.J. Rodrguez
Introducci
DAS 2011
35 / 54
T
Tecnicas de cracking (III): Time-trials y Registro

Time-trials
Proteccion por tiempo (uso limitado X das/minutos)
APIs tpicas de chequeo
GetLocalTime
GetFileTime
GetSystemTime
Registro de Windows
Guardan datos en el Registro de Windows
APIs tpicas
RegCloseKey
RegCreateKeyEx
RegOpenKeyEx
RegSetValueEx
RegQueryValueEx
R.J. Rodrguez
Introducci
DAS 2011
36 / 54
T
Tecnicas de cracking (V): Captura del serial y Keygenning

Captura del serial
Objetivo: conseguir n
umero de registro del programa
Identico para todos los usuarios
Embebido en la aplicaci
on
Facil: b
usqueda de cadenas con patrones conocidos. . .
Keygenning
Objetivo: encontrar algoritmo de generacion de claves
Complejidad del algoritmo variable
Cada usuario tiene un n
umero de registro diferente
Ingeniera inversa pura y dura
R.J. Rodrguez
Introducci
DAS 2011
37 / 54
T
Tecnicas de cracking (VI): Archivos de licencia
Se registran mediante archivos de licencia

Chequeos rutinarios contra servidor de la empresa (a veces)
APIs tpicas
Conexion: connect, WSAConnect
Recepci
on: recv, recvfrom, WSARecv, WSARecvFrom, WSARecvMsg
Envo: send, sendto, WSASend, WSASendTo, WSASendMsg
Algunos usan criptografa (i.e., licencia codificada)

MUY complicados de conseguir licencia correcta
Dependera del algoritmo criptografico usado
Soluci
on: intentar parchear. . .
R.J. Rodrguez
Introducci
DAS 2011
38 / 54
T
Tecnicas de cracking (VII): Desempacado (unpacking)

Programas protegidos
Pueden ser muy complicados (anti-dumps, scrambling, . . . )
Pasos a realizar
1
Hallar el OEP (Original Entry Point)

Stolen bytes
Cambios en la cabecera PE
Dumpear el proceso de memoria (estara desempacado!)

Secciones virtuales
Ofuscaci
on de c
odigo
Arreglar la IAT (Import Address Table)

Emulaci
on de APIs
Redireccionamiento de APIs
Lista:
http://en.wikipedia.org/wiki/Executable_compression
Existen unpackers autom
aticos: tools propias o scripts
R.J. Rodrguez
Introducci
DAS 2011
39 / 54
Algunos m
etodos antireversing
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
40 / 54
Algunos m
etodos antireversing

Tecnicas anti-debugging
APIs
Windows internals tricks
Deteccion de herramientas
Lectura recomendada: http://pferrie.tripod.com/
Tecnicas anti-tracing
Tecnicas anti-dumping
Tecnicas de ocultacion de OEP
Otras tecnicas:
Ofuscamiento de c
odigo (codigo basura)
Deteccion de modificaciones (CRC, APIs)
Criptografa
R.J. Rodrguez
Introducci
DAS 2011
41 / 54
Ejemplo pr
actico
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
42 / 54
Ejemplo pr
actico
Estudio del crackME
Ejemplo practico (I): estudio del crackME

CrackMe sencillito de http://www.crackmes.de
Objetivo: hacer un generador de claves
Pasos
R.J. Rodrguez
Analizar para ver si esta limpio
Insertar nombre y codigo para ver chico

malo
Cargar en debugger (e.g., OllyDBG)
Introducci
DAS 2011
43 / 54
Ejemplo pr
actico
Estudio del crackME
Ejemplo practico (I): estudio del crackME

CrackMe sencillito de http://www.crackmes.de
Objetivo: hacer un generador de claves
Pasos
R.J. Rodrguez
Analizar para ver si esta limpio
Insertar nombre y codigo para ver chico

malo
Cargar en debugger (e.g., OllyDBG)
Introducci
DAS 2011
43 / 54
Ejemplo pr
actico
Estudio del crackME
Ejemplo practico (II): estudio del crackME (1)
Pasos
R.J. Rodrguez
Introducci
DAS 2011
44 / 54
Ejemplo pr
actico
Estudio del crackME
Pasos
1
Llamada a IsDebuggerPresent ocultar el Olly
R.J. Rodrguez
Introducci
DAS 2011
44 / 54
Ejemplo pr
actico
Estudio del crackME
Pasos
1
BP en GetDlgItemTextA e introducimos datos. . .

R.J. Rodrguez
Introducci
DAS 2011
44 / 54
Ejemplo pr
actico
Estudio del crackME
Pasos
1
BP en GetDlgItemTextA e introducimos datos. . .
Alcanzamos codigo de la aplicaci

on (CTRL + F 9)
R.J. Rodrguez
Introducci
DAS 2011
44 / 54
Ejemplo pr
actico
Estudio del crackME
Condiciones del nombre

EAX: longitud del nombre
R.J. Rodrguez
Introducci
DAS 2011
45 / 54
Ejemplo pr
actico
Estudio del crackME

EAX > 4 && EAX 0Ah
R.J. Rodrguez
Introducci
DAS 2011
45 / 54
Ejemplo pr
actico
Estudio del crackME

EAX > 4 && EAX 0Ah
Si longitud de serial= 0 MessageBoxA
R.J. Rodrguez
Introducci
DAS 2011
45 / 54
Ejemplo pr
actico
Estudio del crackME
B
usqueda de cadenas referenciadas
Cadenas de chico bueno y chico malo
R.J. Rodrguez
Introducci
DAS 2011
46 / 54
Ejemplo pr
actico
Estudio del crackME
B
R.J. Rodrguez
Introducci
DAS 2011
46 / 54
Ejemplo pr
actico
Estudio del crackME
B
lstrcmpA: comparaci
on de cadenas
Valor de EAX determina igualdad
R.J. Rodrguez
Introducci
DAS 2011
46 / 54
Ejemplo pr
actico
on
Ejemplo practico (III): algoritmo de generacion (1)
0x401153: Inicio algoritmo

BP para estudio en caliente
R.J. Rodrguez
Introducci
DAS 2011
47 / 54
Ejemplo pr
actico
on

0x40316A: buffer longitud
R.J. Rodrguez
Introducci
DAS 2011
47 / 54
Ejemplo pr
actico
on

EDI: buffer cadena
ESI: otro buffer :)
EAX=EBX=ECX=EDX=0
EDX=longitud
R.J. Rodrguez
Introducci
DAS 2011
47 / 54
Ejemplo pr
actico
on

EDI: buffer cadena
ESI: otro buffer :)
EAX=EBX=ECX=EDX=0
EDX=longitud
EBX=contador
R.J. Rodrguez
Introducci
DAS 2011
47 / 54
Ejemplo pr
actico
on
EDI = buffer del nombre

EDX = longitud del nombre
EBX = 1
while EBX < EDX do
AL = car
acter apuntado por EDI
if AL 0x5A and AL 0x41 then
AL+ = 0x2C
end
ECX + = EAX
EDI + +
end
R.J. Rodrguez
Introducci
DAS 2011
48 / 54
Ejemplo pr
actico
on

EBX = 1
while EBX < EDX do
AL = car
AL+ = 0x2C
end
ECX + = EAX
EDI + +
end
R.J. Rodrguez
Introducci
DAS 2011
48 / 54
Ejemplo pr
actico
on

EBX = 1
while EBX < EDX do
AL = car
AL+ = 0x2C
end
ECX + = EAX
EDI + +
end
ECX + = 0x29A
ECX = 0x3039
ECX = 0x17
ECX = 0x9
R.J. Rodrguez
Introducci
DAS 2011
48 / 54
Ejemplo pr
actico
on
EBX = 0
EAX = ECX
ECX = 0x0A
repeat
EDX = 0
EDX = EAX mod ECX
EAX / = ECX
DL+ = 0x30
Guardar DL en el buffer ESI + EBX
EBX + +
until EAX = 0
R.J. Rodrguez
Introducci
DAS 2011
49 / 54
Ejemplo pr
actico
on
EBX = 0
EAX = ECX
ECX = 0x0A
repeat
EDX = 0
EDX = EAX mod ECX
EAX / = ECX
DL+ = 0x30
EBX + +
until EAX = 0
R.J. Rodrguez
Introducci
DAS 2011
49 / 54
Ejemplo pr
actico
on
EBX = 0
EAX = ECX
ECX = 0x0A
repeat
EDX = 0
EDX = EAX mod ECX
EAX / = ECX
DL+ = 0x30
EBX + +
until EAX = 0
EDI = buffer 0x04030C8

Revertimos la cadena apuntada por ESI y guardamos en EDI
R.J. Rodrguez
Introducci
DAS 2011
49 / 54
Ejemplo pr
actico
on
EBX = 0
EAX = ECX
ECX = 0x0A
repeat
EDX = 0
EDX = EAX mod ECX
EAX / = ECX
DL+ = 0x30
EBX + +
until EAX = 0

A
nadimos resto del nombre (desde el 4 car
acter) al final de la
nueva cadena
R.J. Rodrguez
Introducci
DAS 2011
49 / 54
Ejemplo pr
actico
on
EBX = 0
EAX = ECX
ECX = 0x0A
repeat
EDX = 0
EDX = EAX mod ECX
EAX / = ECX
DL+ = 0x30
EBX + +
until EAX = 0

acter) al final de la
A
nadimos resto del nombre (desde el 5 car
nueva cadena
Y ya se compara la cadena construida con la introducida
R.J. Rodrguez
Introducci
DAS 2011
49 / 54
Conclusiones
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
50 / 54
Conclusiones
Conclusiones y otras aplicaciones

Cualquier protecci
on es crackeable
Mundo de constante evolucion nuevas protecciones, nuevos
metodos
Leer y practicar mucho
Usar y programar mas software libre
Que no hacer mas software libre :)
Otras aplicaciones
Fuzzing
Exploiting
DBI (Dynamic Binary Instrumentation)
R.J. Rodrguez
Introducci
DAS 2011
51 / 54
Investigaci
2
3
4
5
6
Introducci
Motivaci
on
7
asicos
8
Herramientas u
tiles
Tecnicas de an
alisis
9
C
odigo muerto
10
C
odigo vivo
R.J. Rodrguez
CD Check
Patching y loaders
Ejemplo pr
actico
Estudio del crackME
on
Conclusiones
Investigaci
Introducci
DAS 2011
52 / 54
Investigaci
Investigacion en Ingeniera Inversa
Comparativa de rendimiento con/sin protecciones

Nuevas tecnicas de protecci
on
Basadas en Redes de Petri
?
B
usqueda de nuevas vulnerabilidades
R.J. Rodrguez
Introducci
DAS 2011
53 / 54
Introduccion a la Ingeniera Inversa

Diseno de Aplicaciones Seguras
Ricardo J. Rodrguez
rjrodriguez@unizar.es
XX de Noviembre de 2011
Grupo de Ingeniera de Sistemas de Eventos Discretos

Universidad de Zaragoza

Ingenieria Inversa Diseno de Aplicaciones Seguras

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ingenieria Inversa Diseno de Aplicaciones Seguras

Cargado por

Copyright:

Formatos disponibles

Introduccion a la Ingeniera Inversa

Diseno de Aplicaciones Seguras

Grupo de Ingeniera de Sistemas de Eventos Discretos

Introduccion a la Ingeniera Inversa (I)

Introduccion a la Ingeniera Inversa (I)

Ir hacia atras en el ciclo de desarrollo

Introduccion a la Ingeniera Inversa (II)

Introduccion a la Ingeniera Inversa (II): Motivacion (2)

Encontrar vulnerabilidades en el software

Aproximaciones a la Ingeniera Inversa

Introduccion a la Ingeniera Inversa (III)

Aproximaciones a la Ingeniera Inversa

Introduccion a la Ingeniera Inversa (III)

Aproximaciones a la Ingeniera Inversa

Introduccion a la Ingeniera Inversa (III)

Conocimientos previos (I)

Conocimientos previos (I)

API: Application Programming Interface

Estructura interna de un PE (Portable Executable)

Conocimientos previos (II)

Conocimientos previos (II)

When a program runs, then it can be cracked

Conocimientos de manejo de debuggers

Conocimientos de manejo de debuggers

Util para detectar fallos en programas

Conocimientos de arquitectura x86 b

Conocimientos de arquitectura x86 basicos (I)

Conocimientos de arquitectura x86 b

Conocimientos de arquitectura x86 basicos (II)

Registros de proposito general

EBX : registro base

ECX : registro contador

EDX : registro datos

Conocimientos de arquitectura x86 b

Conocimientos de arquitectura x86 basicos (III) (1)

CF : acarreo (arrastre tras operaciones aritmeticas)

Conocimientos de arquitectura x86 b

Conocimientos de arquitectura x86 basicos (III) (2)

AF : auxiliar (operaciones BCD)

Conocimientos de arquitectura x86 b

Conocimientos de arquitectura x86 basicos (IV) (1)

INSTRUCCION DESTINO, ORIGEN

Conocimientos de arquitectura x86 b

Conocimientos de arquitectura x86 basicos (IV) (2)

Conocimientos de arquitectura x86 b

Conocimientos de arquitectura x86 basicos (V) (3)

Conocimientos de las estructuras PE

Conocimientos de las estructuras PE (I)

Cabecera PE (Portable Executable)

tipo de maquina compilado

Conocimientos de las estructuras PE

Conocimientos de las estructuras PE (II)

Recuerda: secciones alineadas en memoria

Secciones: division del c

Conocimientos de las estructuras PE

Conocimientos de las estructuras PE (II)

Microsoft PE and COFF Specification

Herramientas utiles (I)

Editor hexadecimal (e.g., HexWorkshop)

Herramientas utiles (II)

Herramientas utiles (II)

Herramientas utiles (III)

Paginas personales (Karpoff, Shoulck, Saccopharynx, +NCR, AbsSha,

Herramientas utiles (III)