книги хакеры / журнал хакер / 201_Optimized

А теперь попробуем снять упаковку стандартным способом при помощи upx -d. При запуске после распаковки получаем следующую картину: 2 + 2 = 5.

Таким образом, даже без копания в коде можно понять, что в алгоритм распаковки, который заложен в само приложение, внесены изменения. Попробуем снять упаковку вручную при помощи отладчика ImmunityDebugger и программы по восстановлению таблицы импорта Import REConstructor. Так как данный способ давно и многократно описан, не будем подробно его рассматривать; кто еще незнаком или хочет освежить в памяти — добро пожаловать сюда.

При просмотре в IDA полученного после ручной распаковки файла можно увидеть, что в результате имеем 2 + 2 = 4, значит, процесс распаковки прошел корректно.

Теперь уже можно рассмотреть алгоритм сравнения «правильности» введенной строки. Что имеем? В начале алгоритма проверки считывается текущее время, а именно час, затем от введенной строки получаем MD5 и сравниваем хеш с эталонными значениями. В данном случае эталонное значение представляет собой также хеш, который можно отнести к определенному часу в сутках, и таких возможных значений ровно от 0 до 23. После ввода верного значения, то есть текущего верного времени, получим необходимый адрес электронной почты (рис. 5).

В итоге получаем адрес и пятое задание.

FLARE-ON CHALLENGE 5

Пятое задание начинается с того, что, помимо исполняемого файла, в архиве, присланном нам на почту, находится также и pcap-файл. Как обычно, начинаем исследование с запуска IDA. Рассмотрев внутренности файла, видим, что приложение открывает файл key.txt. Затем содержимое файла считывается, и над ним проводится набор математических операций, а полученная последовательность передается по сети на адрес 127.0.0.1 (рис. 6).

Теперь становится понятно предназначение pcap-файла — в нем записана та последовательность, которая получена в результате математических операций.

Если рассматривать поподробнее, то данные математические операции — это криптографический алгоритм. Для того чтобы быстро и без особых усилий определить, что за алгоритм применяется в анализируемом семпле, можно использовать один очень действенный способ. Так как во многих криптоалгоритмах применяются уникальные для данного алгоритма константы, то именно по ним и возможно определить, с чем имеешь дело, не перебирая при этом кучу кода. Посмотреть эти константы можно как в поисковых системах, так

ив исходниках библиотеки OpenSSL.

Внашем случае используется Base64. Также можно обратить внимание, что в этом задании есть маленькая хитрость: в стандартном алгоритме алфавит

ABCD...abcd...01234+/, а здесь abcd...ABCD...01234+/, поэтому можно сделать вывод, что в полученной последовательности символы верхнего и нижнего регистра поменяются местами. Соответственно, чтобы получить необходимый адрес электронной почты, нужно проделать все эти операции наоборот.

Рис. 6. Новый код на Python

Но перед этим надо получить последовательность, над которой будем дальше колдовать. Как ты помнишь, мы пришли к выводу, что она должна находиться в pcap-файле. Число tcp stream в нем небольшое — всего двенадцать, поэтому можно скопировать данную последовательность вручную. А затем над полученными данными провести все манипуляции: перевести регистр символов и декодировать Base64. Ниже представлен кусочек кода, который поможет автоматизировать часть этапов:

электронной почты от следующего задания.

FLARE-ON CHALLENGE 6

Данное задание отличается от других тем, что здесь уже мы имеем дело с APK-файла- ми (Android application) (рис. 7).

В принципе, декомпилировать APK в Javaкод не составляет никакой проблемы: вначале распаковываем android.apk как ZIP-файл, а затем полученный classes.dex преобразуем при помощи d2j-dex2jar в JAR.

В результате в Java-коде видим, что основную проверку выполняет библиотека libvalidate.so (Shared object — ELF, еще и скомпилированный под ARM). Анализировать libvalidate будем в IDA и исключительно в статике, хотя есть пара готовых способов анализировать APK в динамике, но в таком случае больше времени потратим на подготовку системы. После непродолжительного изучения становится понятно, что анализировать внутри библиотеки надо функцию Java_com_lareon_ lare_ValidateActivity_validate —

именно в ней и происходит сравнение введенной строки с эталоном по определенному алгоритму.

А суть алгоритма проверки введенного пароля с эталонным значением такова: каждый символ переводится в свой шест-

надцатеричный эквивалент, который делится без остатка на число из предварительно подготовленной таблицы, и количество таких делений без остатка для каждого элемента таблицы фиксируется в предварительно подготовленном массиве (рис. 8). Затем полученная из таких сумм таблица сверяется с эталонной таблицей для каждого символа, если таких совпадений 22 (количество символов необходимой почты), то, значит, был введен верный адрес.

Для того чтобы получить необходимый набор символов, то есть искомый адрес электронной почты, нужно просто умножать символ из таблицы с элементами, на которые делили, на количество раз, указанное в эталонных таблицах для каждого символа.

Попробуем проверить данное изображение на заложенный в нем стегоконтейнер по алгоритму LSB (последний значимый бит) при помощи утилиты stegsolve.jar. При извлечении из каждого байта последнего бита получаем следующий файл (рис. 12).

Рис. 12. Результат извлечения стегоконтейнера

Можно заметить, что по внешнему виду данный файл чем-то схож с PE: второй байт полученного файла равен Z, что также похоже на сигнатуру PE файла MZ. Попробуем проинвертировать первый байт файла 0xB2 в двоичном виде (10110010) и получим 01001101 или 0x4D, что соответствует символу M. Если проделать эту процедуру со вторым символом, то из Z, который в двоичном виде 01011010, мы получим Z. Следовательно, чтобы получить из этого файла правильный PE-файл, необходимо инвертировать каждый байт. Этот код поможет провести данное преобразование быстрее: