INTRODUCCION AL CRACKING CON OLLYDBG PARTE 20
Páginas: 10 (2389 palabras)
Publicado: 24 de septiembre de 2015
INTRODUCCION AL CRACKING CON OLLYDBG PARTE 20
El siguiente truco ANTIOLLYDBG que veremos en esta oportunidad es la detección del mismo, por el nombre del proceso del OLLYDBG, pero antes de todo les diré una configuración del OLLYDBG que aun no hemos tocado y que es muy importante en este caso.
Si vamos a DEBUGGING OPTIONS-SECURITY
Allí lo mejor es poner las tres tildes y que carguesiempre la información, verán que con las tres tildes puestas cuando pongan BPX en una api y reinicien el OLLYDBG, el BPX continuara puesto, lo cual evita tener que repetir el proceso de ponerlos uno a uno cada vez que reiniciamos.
Estrictamente no conozco el funcionamiento interno completo del OLLYDBG pero en la practica lo que sucede es eso con las tres tildes, los BPX en las apis se mantienen luegode reiniciarlo.
Así esta mejor para mi gusto, es menos molesto, ahora si, comenzamos con el tema de antidebugging por el nombre del proceso.
Deteccion del OLLYDBG por el nombre del proceso
Cuando corremos el OLLYDBG si miramos la lista de procesos con CTRL + ALT + SUPR
Vemos que el nombre del proceso esta allí muy claro en la lista de los mismos, que le impide a un programa revisar todoslos procesos y si encuentra alguno que se llame OLLYDBG, cerrarlo, pues nada, jeje.
Usaremos un crackme que no resolveremos por ahora porque es un nivel levemente superior al actual, así que lo veremos mas adelante, pero estudiaremos en el la técnica de cómo detectan los programas a OLLYDBG por el nombre del proceso, como evitarlo manualmente y como evitarlo definitivamente jeje.
El crackme queadjunto es el DAXXOR el cual si dejamos un OLLYDBG corriendo vacío y corremos fuera de OLLY el famoso DAXXOR, veremos que el crackme corre pero cierra el OLLYDBG, lo mismo que si lo corremos en OLLYDBG, también lo cierra y por supuesto se acaba todo.
Estudiemos como hace esto, abrámoslo en OLLYDBG.
Allí esta en el ENTRY POINT, y veamos las apis que utiliza.
Bueno hay unas cuantas, pero aquíhay otra protección agregada y es que el crackme no tiene cargadas en el inicio las apis que usara para detectar al OLLYDBG, y las cargara a medida que corra, de paso explicaremos también este método de protección que en si, no te permite ver todas las apis que usara, en la lista de NAMES, pero por otra lado tiene como contrapartida que el que se da cuenta del truco y descubre las apis que vacargando el programa a medida que corre, sabrá a ciencia cierta que esas apis son las IMPORTANTES, pues por algo el programa las oculta para que no aparezcan en la lista.
Esto casi siempre es evidente cuando un programa que no esta empacado como en este caso, hace uso de la api GetProcAddress
GetProcAddress se utiliza, para que el programa cargue nuevas apis, que no están en la lista para poderusarlas, ya veremos un uso intensivo y mas detallado de esta api en el capitulo de desempacado, pero por ahora pongamos un BP en dicha api.
Y demos RUN
Cada vez que para vemos que esta pidiendo por medio de la api GetProcAddress, la dirección en nuestra maquina de una determinada api la primera que pide es en este caso, __CPPdebugHook que no pertenece al truco que estamos estudiando por locual damos RUN nuevamente.
Así vamos pasando con F9 hasta que encontremos apis relacionadas con el truco, aquí vemos la api EnumProcesses que es usada, así que lo que hacemos es llegar hasta el RET de GetProcAddress la cual nos devuelve en EAX la dirección de la api solicitada en nuestra maquina y allí le ponemos un BPX, veamos, lleguemos al RET con EXECUTE TILL RETURN.
Allí en EAX devuelve ladirección en mi maquina de la api solicitada, en mi caso es 76BB3A9A en sus maquinas puede variar.
Por otro lado veo que OLLYDBG no identifica la api que no esta en la lista de NAMES, por lo cual no se puede poner BP directos al nombre de la api, si no que hay que poner el BP en la dirección.
Ahora si lo toma
Ya tenemos puesto el BP en la api sospechosa, sigamos corriendo OLLYDBG, para...
El siguiente truco ANTIOLLYDBG que veremos en esta oportunidad es la detección del mismo, por el nombre del proceso del OLLYDBG, pero antes de todo les diré una configuración del OLLYDBG que aun no hemos tocado y que es muy importante en este caso.
Si vamos a DEBUGGING OPTIONS-SECURITY
Allí lo mejor es poner las tres tildes y que carguesiempre la información, verán que con las tres tildes puestas cuando pongan BPX en una api y reinicien el OLLYDBG, el BPX continuara puesto, lo cual evita tener que repetir el proceso de ponerlos uno a uno cada vez que reiniciamos.
Estrictamente no conozco el funcionamiento interno completo del OLLYDBG pero en la practica lo que sucede es eso con las tres tildes, los BPX en las apis se mantienen luegode reiniciarlo.
Así esta mejor para mi gusto, es menos molesto, ahora si, comenzamos con el tema de antidebugging por el nombre del proceso.
Deteccion del OLLYDBG por el nombre del proceso
Cuando corremos el OLLYDBG si miramos la lista de procesos con CTRL + ALT + SUPR
Vemos que el nombre del proceso esta allí muy claro en la lista de los mismos, que le impide a un programa revisar todoslos procesos y si encuentra alguno que se llame OLLYDBG, cerrarlo, pues nada, jeje.
Usaremos un crackme que no resolveremos por ahora porque es un nivel levemente superior al actual, así que lo veremos mas adelante, pero estudiaremos en el la técnica de cómo detectan los programas a OLLYDBG por el nombre del proceso, como evitarlo manualmente y como evitarlo definitivamente jeje.
El crackme queadjunto es el DAXXOR el cual si dejamos un OLLYDBG corriendo vacío y corremos fuera de OLLY el famoso DAXXOR, veremos que el crackme corre pero cierra el OLLYDBG, lo mismo que si lo corremos en OLLYDBG, también lo cierra y por supuesto se acaba todo.
Estudiemos como hace esto, abrámoslo en OLLYDBG.
Allí esta en el ENTRY POINT, y veamos las apis que utiliza.
Bueno hay unas cuantas, pero aquíhay otra protección agregada y es que el crackme no tiene cargadas en el inicio las apis que usara para detectar al OLLYDBG, y las cargara a medida que corra, de paso explicaremos también este método de protección que en si, no te permite ver todas las apis que usara, en la lista de NAMES, pero por otra lado tiene como contrapartida que el que se da cuenta del truco y descubre las apis que vacargando el programa a medida que corre, sabrá a ciencia cierta que esas apis son las IMPORTANTES, pues por algo el programa las oculta para que no aparezcan en la lista.
Esto casi siempre es evidente cuando un programa que no esta empacado como en este caso, hace uso de la api GetProcAddress
GetProcAddress se utiliza, para que el programa cargue nuevas apis, que no están en la lista para poderusarlas, ya veremos un uso intensivo y mas detallado de esta api en el capitulo de desempacado, pero por ahora pongamos un BP en dicha api.
Y demos RUN
Cada vez que para vemos que esta pidiendo por medio de la api GetProcAddress, la dirección en nuestra maquina de una determinada api la primera que pide es en este caso, __CPPdebugHook que no pertenece al truco que estamos estudiando por locual damos RUN nuevamente.
Así vamos pasando con F9 hasta que encontremos apis relacionadas con el truco, aquí vemos la api EnumProcesses que es usada, así que lo que hacemos es llegar hasta el RET de GetProcAddress la cual nos devuelve en EAX la dirección de la api solicitada en nuestra maquina y allí le ponemos un BPX, veamos, lleguemos al RET con EXECUTE TILL RETURN.
Allí en EAX devuelve ladirección en mi maquina de la api solicitada, en mi caso es 76BB3A9A en sus maquinas puede variar.
Por otro lado veo que OLLYDBG no identifica la api que no esta en la lista de NAMES, por lo cual no se puede poner BP directos al nombre de la api, si no que hay que poner el BP en la dirección.
Ahora si lo toma
Ya tenemos puesto el BP en la api sospechosa, sigamos corriendo OLLYDBG, para...
Leer documento completo
Regístrate para leer el documento completo.