2015-06-26
778
Обратное проектирование трактуется как определение логики создания программ и в частном случае как декомпиляция
В процессе анализа типовой процедуры isvaliduser необходимо отметить особенность информации предаваемой в процедуры в качестве ее параметров и возвращаемой из нее информации. Следует уделять внимание содержимому регистра передаваемых в другие процедуры, вызываемый процедурой isvaliduser.
В процедуру isvaliduser заносится содержимое памяти которое содержит идентификатор пользователя и ключевая информация пользователя.
При взломе исследуется содержимое ОЗУ для поиска осмысленных последовательностей типа invalid registration password fail. В двльнейшем определяется место нахождения модулей защиты, которые отвечают за сверку информации. При этом осуществляется поиск наиболее часто употребимых регистров еах и евх (для передачи параметров в функцию)
Специфика атак на модули проверки временных параметров работы программы.
Взлом данных модулей во многом аналогичен взлому модуля защиты по ключевой информации
Специфика:
1. Нет искомых последовательностей
2. Адресация к дополнительным ресурсам, содержащие конфигурационные файлы или параметры, требуемые для обсчета времени и даты
Для облегчения осуществления атаки на данный вид защиты используют средства динамического исследования (отладчики) для отслеживания местонахождения собственных механизмов защиты при адрессации к внешнему конфигурационному ресурсу и дальнейшей компрометации.
Методика осуществления взлома посредством остлеживания вызовов API функций.
Современные модули защиты зачастую используют функции информационной среды (ОС виндоус). Современные отладчики могут достаточно быстро и точно определить запрашиваемую API функцию. При реализации модуля защиты как правило используются сообщения о неудачной регистрации (message box)
Достаточно в отладчики установить точку останова на вызов функции message box, непосредственно перед вводом ключевой информации
Далее определяется местоположение механизмов защиты в месте с программным кодов вызова данной
При отлове win API необходимо прежде всего учитывать тип приложения и тип ОС. При условии что злоумышленнику неизвестно точно API функция реализующая действия в процессе обработки механизма защиты.
