Ein kleiner Artikel für den heutigen Abend. Es geht um das fixxen einer “String-Encryption” (eigentlich ein simples Encoding) mit Hilfe von Mono.Cecil. Dabei werden wir alle Methoden zu dieser String-Encryption-Klasse mit einem ldstr-Opcode ersetzen und dabei natürlich nebenher den String decodieren.

Die String-Encryption-Klasse besteht aus einem großen Byte-Array (XORed). Alle 59 statischen Methoden dieser Klasse beinhalten in etwa folgendes:

public static string smethod_16()
{
    return (string_0[15] ?? smethod_0(15, 313, 8));
}

Alle dieser Methoden liefern also string_0[X] zurück ODER wenn dieses NULL ist smethod_0(X,Y,Y). X ist in diesem Fall die “ID” des Strings, Y wird später besprochen.

Nehmen wir also an wir finden einen Call zu einer solchen Funktion, dann speichern wir die MethodDefinition (quasi die Methoden-Klasse unter Mono.Cecil) ab und übergeben diese unserer Funktion:

if (Globals.lstTypes[i].lstMethods[j].Object.Body.Instructions[k].OpCode.Code == Mono.Cecil.Cil.Code.Call)
{
String sTemp = Globals.lstTypes[i].lstMethods[j].Object.Body.Instructions[k].GetInstructionString();
 
if (sTemp.Contains("PrivateImplementationDetails"))
{                                
MethodDefinition MD = (MethodDefinition)Globals.lstTypes[i].lstMethods[j].Object.Body.Instructions[k].Operand;
 
String sTempDecoded = Utils.GetDecodedStringFromMD(MD, byte_0);
Globals.lstTypes[i].lstMethods[j].Object.Body.Instructions[k] = new Mono.Cecil.Cil.Instruction(Mono.Cecil.Cil.OpCodes.Ldstr, sTempDecoded);
}
}

Wenig übersichtlich, ich weis Auf jeden Fall gehen wir alle Methoden durch und prüfen ob diese einen “Call” Opcode enthalten. Wenn ja, so wird geprüft ob eine Funktion aus dem <PrivateImplementationDetails>-Namespace gecalled wird, wenn ja haben wir eine Funktion smethod_X(). Diese erhalten wir über den Operand des Call-OpCodes.

Unsere gefundene MethodDefinition (smethod_X) wird nun an die Utils-Funktion übergeben, zusammen mit dem großen byte-Array mit wohl all den Strings drin. Diese im nächsten Absatz besprochene Funktion liefert uns den decodierten String. Der eigentliche Methodenaufruf (call smethod-X) wird nun durch ein “Ldstr DekodierterString” ersetzt, also wird der dekodierte String direkt geladen, nicht durch die decoding-Funktion.

Zum eigentlichen Decoding. Diese Funktion ist schnell erklärt, es geht mehr um die Mono.Cecil-Funktionsweise:

public static String GetDecodedStringFromMD(MethodDefinition MD, byte[] Array)
        {
            int[] iParams = new int[3];
            for (int i = 0; i < MD.Body.Instructions.Count; i++)
            {
                if (MD.Body.Instructions[i].GetInstructionString().Contains("call"))
                {
                    iParams[0] = (int)MD.Body.Instructions[i - 3].Operand;
                    iParams[1] = (int)MD.Body.Instructions[i - 2].Operand;
                    iParams[2] = (int)MD.Body.Instructions[i - 1].Operand;
                }
            }
 
            return  Encoding.Default.GetString(Array, iParams[1],iParams[2]);
        }

Vor dem eigentlichen Decode-Call werden 3 Argumente der Funktion übergeben (X, Y, Y) Diese werden ausgelesen, danach folgt die GetString-Funktion mit den ausgelesenen Parametern (Y) als Anfangsoffset und Länge. In Falle von smethod_16() wäre das ein Startoffset von 313 und eine Länge von 8 Zeichen. Und mehr macht die Utils-Funktion auch nicht. Und so leicht ist Mono.Cecil zu bedienen

Greez Easy

1 person likes this post.

Like

Unlike

Das Nutzen von GPU-Power ist dank OpenCL, CUDA und DirectX 10.1 nichts besonderes mehr. Besonders ist allerdings, dass man diese Technerlogie auch von .NET nutzen kann.
Dieser Artikel wird eine Einführung in die Arbeit mit der GPU durch C# geben. Kentnisse über DirectX und HLSL (die Shadersprache) sind empfohlen, aber nicht wirklich benötigt. Im nächsten Artikel wird aus diesem vermittelten Wissen ein simpler MySQL 3.2.3 Passwordcracker entstehen.

Wir werden einen DirectX Wrapper verwenden, um Zugriff auf die dort gelagerte ComputerShader-Klasse zu bekommen. Dabei macht es nicht wirklich einen Unterschied ob SlimDX oder SharpDX verwendet wird, SlimDX gefällt mir persönlich besser. SlimDX ist ein Wrapper um viele DirectX 9-11 Funkionen und Klassen. Also enthält SlimDX im Grunde nur Typedefs und “Verlinkungen”, ein Wrapper eben. Daher können wir oft C++-Code 1 zu 1 übernehmen, nur beim Ressourcen Management muss man anders vorgehen, aber dazu später mehr.

Wie schon erwähnt wird Sourcecode zum eigentlichen Cracker erst in dem nächsten Post kommen, dieser Artikel deckt nur die notwendigen Grundlagen dazu ab. Da der Source des Crackers relativ komplex wird, habe ich mich entschieden die Posts aufzutrennen.

Weiterlesen

4 people like this post.

Like

Unlike

Diesem Artikel folgt eventuell eine neue Serie, eine Serie über (Browser)Gamebots, deren Verhalten und natürlich Künstliche Intelligenz. Denn Spiele zu “brechen” kann nicht nur über Hacks geschehen; Es kann auch durch ein gut gesteuertes Programm welches dem Spieler Arbeit abnimmt passieren!

Konkret geht es in diesem Artikel um eine sog. Finite State Machine. Dieses ist ein Grundansatz der KI-Programmierung. Diese beschränke KI kann auf bestimme Situationen reagieren, wenn diese nur festgelegt sind. Dadruch ergibt sich ein mehr oder weniger komplexes Netz aus Statii und Verhaltensweisen. Erklären kann man das am besten an dem Verhalten von Tieren: Fressen, schlafen und weg rennen sind solche Grundzustände, dabei wird jeweils in dem aktuellen Zustand entschieden was weiter gemacht wird bzw. in welchen Zustand als nächstes gewechselt wird.

In der Botprogrammierung ist das ganz ähnlich. Unser Bot reagiert auf verschiedene Parameter (Input) und erwiedert der Situation dementsprechend durch ein Zustandswechsel (Output). Wenn ein Bot für einen der vielen Farmvilleklons bemerkt, dass genügend Früchte vorhanden sind, so werden sie geerntet. Oder wie man auch so schön sagt: Aktion -> Reaktion.

Weiterlesen

6 people like this post.

Like

Unlike

In diesem Post werde ich auf die grundlegenden Funktionsweisen von Obfuscatoren (Plural?) und auf die entsprechenden Gegenmaßnahmen gegen die Codeverschleierer eingehen. Dabei werden zum Großteil Tools benutzt, welche allerdings vorher erklärt werden

Uns dürfte inzwischen bekannt sein dass man durch den MSIL-Code in einer .NET Assembly den originalen Code weitgehend wiederherstellen kann. Wenn man nun sein geistiges Eigentum vor bösen Kopierern schützen möchte, verwendet man einen sog. Obfuscator. Das Prinzip ist dabei immer gleich: Mache es dem “Cracker” so schwer wie möglich und verstecke was nur geht.

In der folgenden Auflistung werden Features von Obfuscatoren genannt. Jeder Obfuscator funktioniert anders, aber die Grundprinzipien sind immer gleich:

String Verschlüsselung:
Nehmen wir an, ein File “secret.sec” wird zur Laufzeit entschlüsselt, um die darin enthaltenen Informationen auszulesen. Damit der böse Cracker nicht einfach den Key zum entschlüsseln auslesen kann, wird dieser zur Laufzeit aus den Ressourcen geladen und kurz vor der Verwendung entschlüsselt.

Bringen tut das ganze nichts, der String ist im Klartext im Speicher und kann, wie beim knacken des PSC-Managers, einfach durch einen IL-Patch ausgelesen werden. Wem das zu viel Arbeit ist kann DeObfsucatoren wie De4Dot oder auch den SimpleAssemblyExplorer verwenden, diese Entschlüsselungsfunktionen zu statischen Strings zu verwandeln.

Code Flow Obfuscation:
Niemand freut es dieses Wort zu hören, vor allem wenn man sich intensiver mit der Software beschäftigen will. Durch die Code Flow Obfuscation (Codefluss Verschleierung) wird im Code willkürlich hin und her gesprungen. Dadurch ist es fast unmöglich den Code einen Sinn abzugewinnen und die Abläufe zu verstehen.

Gegenmaßnahmen gibt es nicht wirklich, der schon erwähnte De4Dot Deobfuscator scheint wohl das ganze ein wenig zu entwirren. Respekt!

Disassembler Crasher:
Auch hier gilt: Mehr Schein als Sein. Sobald etwas nicht 100% Regelkonform ist, verweigert der Redgate .NET Reflector seinen Dienst. Vorallem bei der IL->C# Umwandlung ist der Reflector leicht zu “crashen”, indem z.B. am Anfang folgende MSIL-Befehle verwendet werden:

    L_0000: br L_0007 // Funktionsbeginn, es wird auf 0007 gesprungen
    L_0005: pop // dieses Crashed den Reflector
    L_0006: ldc.i4.0 // ein Int32 mit 0 wird gepushed (dieser Code wird auch nie erreicht)
    L_0007: ldarg.0 // Ab hier ist die eigenliche Funktion
    L_0008: ldarg.1
    L_0009: stfld object wLi4HZ52yOdC082JDDw.JPBLCe51Perll5dUTub::H5vj8Bi4l
    L_000e: ret

Der Reflector versucht diese POP-Anweisung in C# umzuwandeln, dabei ist der Stack doch leer. Dieser Code wird nie erreicht, sonst würde er natürlich einen Fehler werfen. Doch so läuft das Programm einwandfrei und der Reflector meckert. Weitere solcher Reflector-Crasher sind hier aufgelistet!

Eine tolle Programmieraufgabe um sich mit der Mono.Cecil-Libary anzufreunden: Ein Tool sollte alle Methoden durchgehen. Wenn Methode[i] an ILCode[5] ein POP-Opcode hat, sollten die ersten 6 Bytes des MSIL-Codes gelöscht werden. So kann sie ohne Probleme im Reflector angezeigt werden

Alternativen wie der IL-Spy haben übrigens keine Probleme mit solchen Spielereien, aber leider braucht man manchmal den Reflector um mit Reflexil arbeiten zu können.

Namen unleserlich machen:
Schon mal probiert das ASCII-Zeichen 0x9B normal darzustellen? Im besten Fall bekommt man ein Quadrat als Zeichenersetzung, manchmal aber auch einfach nichts. Obfuscatoren ersetzen alle Methoden, Typen, Felder und sonstige Namen des #String-Streams durch nicht-darstellbare Zeichen. Dies erschwert die Unterscheidung von Klassen/Namespaces und verwirrt natürlich.

Als Gegenmittel gibts den .NET Deobfuscator. Dieses Tool ersetzt (mal wieder) durch die Mono.Cecil-Libary die Namen dieser Typen und versucht eine Sinnvolle Zuordnung. So heißt eine Form dann z.B. Type001_Form, was die Analyse ungemein erleichtert.

MSIL-Encryption und JITHooks:
Das wohl härteste aber auch schwächste Gegenmittel gegen böse Cracker. Die Methoden-Bodies sind hierbei leer und werden erst kurz vor dem umwandeln in nativen Code (über den Just-In-Time Compiler) entschlüsselt. So bekommt man von dem MSIL-Code nichts mit.

Die Theorie zum brechen dieses Schutzes ist in .NET Internals and Code Injection zur genüge beschrieben. Wer sich ernsthaft mit .NET Reversing beschäftigen möchte, sollte dies wie die Bibel vor dem einschlafen lesen

Der Clou ist den JIT-Compiler selbst zu hooken bevor es der Obfuscator macht. Denn in der CompileMethod-Funktion wird der MSIL-Code übergeben, welchen man hier abgreifen kann. Mithilfe der Mono.Cecil-Libary wird dann eine neue Assembly erstellt, natürlich mit gefüllten Method-Bodies. Die wohl effektivste Implementierung dieses JITDumps ist der Jitdumper3. Das Teil ist komplett in .NET geschrieben, also kann sehr schön untersucht werden. Wenn ich die Zeit finde wird auch mal eine Analyse drüber gepostet, mal schaun…

Sonstige Tools:
Zum Abschluss noch ein paar Tools, welche die Arbeit gegen Obfuscatoren ungemein erleichtern. Zum einen wäre das der .NET Dumper, um Assemblys aus dem Speicher zu dumpen wenn sie schon unpacked sind. Weiter ist der Universal Fixer ganz nützlich, welcher die Assembly wieder in Ordnung bringt und ein paar Sachen, die sonst per Hand gemacht werden, für euch erledigt.

Wie bei allen Tools gilt: Was bringt euch ein SQL-Injection Tool, welches alles für euch macht? Lerneffekt = 0! Lernt wie die Tools arbeiten!!11elf! wollt ihr die Tools beherrschen oder beherrschen die Tools euch?

Greez Easy

5 people like this post.

Like

Unlike

Ich wollte schon immer mal so ein interaktives Flash-Video mit Camtasia Studio machen. Und da bot sich die Auflösung zum PatchMe #02 natürlich an. Die Vorteile liegen auf der Hand: Falls man etwas noch nicht richtig über die Text-Anleitungen verstanden haben sollte, kann man die Schritte hier einzeln nachvollziehen.

Einfach immer auf den Angezeigten Text drücken sobald man mit lesen fertig ist, dann gehts weiter.

Sollte es Verständnisfragen oder Feedback geben, habe ich natürlich immer ein offenes Ohr. Je nachdem wie euch solche Videos gefallen kann es das öfters geben, aber mal schaun

Zum Video gehts hier lang!

So Far

Easy

2 people like this post.

Like

Unlike