Руководство по исследованию программ, написанных на Visual Basic 6.0 — Архив WASM.RU

Все статьи

Руководство по исследованию программ, написанных на Visual Basic 6.0 — Архив WASM.RU


[Вступление]

Многие почему то считают, что Visual Basic это примитивный язык программирования, который не может компилировать программы, работать с адресами переменных в памяти и не позволяющий вставлять ассемблерные процедуры в код. Так вот, все это неправда. Начиная с версии 5.0 данный язык позволяет компилировать программы в Native Code, а также имеется возможность работы с адресами переменных в памяти (для этого существует функция varptr). Ассемблерные процедуры вставлять тоже можно, но не так просто. Для этого я написал уже 2 части статьи по вставке ассемблерных процедур в код на Visual Basic. Эти статьи можно найти на сайте www.dotfix.net. Как видите, недостатков у VB не так уж и много, а преимуществ настолько много, что я расскажу лишь о самых очевидных и важных:

  • Полноценная компиляция и маленький размер получаемых exe файлов. Несмотря на то, что программы требуют библиотеку MSVBVM60.DLL, это не является недостатком, так как эта библиотека интегрированная во все новые операционные системы и таскать ее вместе с приложением не нужно.

  • Простота написания кода. Все удобно и наглядно. Даже начинающий может писать неоптимизированные, но рабочие программы. Как говориться, умеешь писать качественно - пиши, от этого программы будут только лучше. Не умеешь - можешь писать неоптимизированные проги (переменные объявлять не обязательно, преобразовывать типы данных тоже не обязательно). Но постепенно приходят более глубокие познания и можно писать крупные проекты, не сильно уступающие аналогам на C++ или Delphi по скорости работы, но на разработку которых уходит гораздо меньше времени.

    Так вот, начинающие исследователи программ почему то считают, что программы, написанные на VB невозможно сломать. Если программа скомпилирована в pcode - я частично с ними соглашусь, но даже для этого вида компиляции уже написано множество отладчиков, способных понимать псевдокодовые инструкции. Что же касается Native Code, то тут все ломается также, как и любая другая программа, написанная например на C++ или Delphi. Но есть ряд особенностей. Все операции, которые выполняет программа выполняются с использованием узкоспециализированных функций из библиотеки MSVBVM60.DLL. Имена этих функций напоминают операторы Visual Basic'а, поэтому глядя на названия большинства из них, можно понять, какие операции они позволяют выполнять. Но есть и такие, которые не поддаются логике. О них я и расскажу в данной статье.


    [Функции]

    Самые непонятные исследователям функции - функции для преобразования данных из одного типа в другой. Чуть ниже я для удобства приведу существующие типы данных, используемых в Visual Basic 6.0 и функции для работы с ними. За большую часть данной информации хотелось бы поблагодарить Eternal_Bliss (http:\\crackmes.cbj.net) и авторов сайта http://www.infonegocio.com/vbcrack/, хотя на момент второй редакции статьи (которую Вы сейчас видите перед собой) мне прилось значительно расширить эту информацию основываясь на собственном опыте.
    Часть имени каждой функции преобразования данных представляет собой набор аббревиатур, обозначающих типы исходных и конечных данных. Вот их расшифровка:

    Тип данныхРасшифровка
    boolboolean
    strstring
    i2byte or integer (2 битный integer)
    ui2unsigned integer (2 битный unsigned integer)
    i4long (4 битный integer)
    r4single (4 битный real)
    r8double (8 битный real)
    cycurrency
    varvariant (VB) или variable (OLEAUT)
    fpчисло с плавающей точкой
    cmpсравнение
    compсравнение

    Ниже представленые функции, экспортируемые библиотекой MSVBVM60.DLL. Если Вам потребуется вызывать эти вункции из своих программ, то имейте ввиду, что у VB свои типы данных, отличные в некоторых случаях от тех, которые используются в Delphi и С++. Строки вообще имеют свой особый формат (в начале строки два (или четыре) байта указывают на длину, затем идет строка). Отсюда бессмысленно пытаться вызвать перечисленные ниже функции из Delphi или C++ - такой вызов скорее всего приведет к ошибке. Что касается конвенции вызовов, то VB использует stdcall и другие не поддерживает, из чего логично сделать вывод, что Dll написанную на C++ с конвенцией вызова cdecl вызвать из VB практически невозможно.

  • Функции для преобразования типов данных
    __vbaI2Strпреобразует String в Integer
    __vbaI4Strпреобразует String в Long
    __vbar4Strпреобразует String в Single
    __vbar8Strпреобразует String в Double
    VarCyFromStrпреобразует String в Currency
    VarBstrFromI2преобразует Integer в String

  • Перенос данных
    __vbaStrCopyкопирует строку в память - аналог API функции HMEMCPY
    __vbaVarCopyкопирует переменный тип (variant) в память
    __vbaVarMoveкопирует переменный тип (variant) в память

  • Математические функции
    __vbavaraddсложение двух переменных типа Variant
    __vbavarsubделение двух переменных типа Variant
    __vbavarmulумножение двух переменных типа Variant
    __vbavaridivсложение двух переменных типа Variant с выводом результата в переменную типа Integer
    __vbavarxorXOR

  • Другие функции
    __vbavarfornextиспользуется в конструкциях For... Next... (Loop)
    __vbafreestrудаление переменной
    __vbafreeobjудаление объекта
    __vbastrvarvalполучения численного значения из строки
    multibytetowidecharпреобразование кодировки
    rtcMsgBoxпоказывает сообщение - аналог API messagebox/a/exa
    __vbavarcatобъединяет две переменные типа Variant
    __vbafreevarудаляет переменную типа Variant
    __vbaobjsetсоздает объект
    __vbaLenBstrопределяет длину строки
    rtcInputBoxпоказывает форму с полем ввода (используются также API функции getwindowtext/a, GetDlgItemtext/a)
    __vbaNewаналог API функции Dialogbox
    __vbaNew2аналог API функции Dialogboxparam/a
    rtcTrimBstrудаляет пробелы вначале и в конце строки

  • Функции сравнения
    __vbastrcompсравнивает 2 строковые переменные - аналог API функции lstrcmp
    __vbastrcmpсравнивает 2 строковые переменные - аналог API функции lstrcmp
    __vbavartsteqсравнивает 2 Variant переменные
    __vbaFpCmpCyсравнивает значение с плавающей точкой с Currency значением

    [Разблокирование элементов управления]

    Любой элемент управления на форме может быть видимым или невидимым, доступным или заблокированным. Очень часто для взлома программы бывает нужно разблокировать отдельные элементы управления на форме. Для установки свойств объектов существует функция __vbaObjSet. Именно с помощью нее можно заблокировать или разблокировать элемент управления и изменить любое из его свойств. Поэтому нам необходимо отлавливать вызов именно этой функции. Откроем например Olly Debugger, найдем эту функцию среди вызываемых программой и поставим на нее бряк нажав кнопку F2. Затем запустим исследуемую программу. Когда бряк сработает - посмотрите окружающий код. Если он напоминает

    CODE NOW!

    50 push eax
    52 push edx
    FFD7 call edi
    8BD8 mov ebx, eax
    6A00 push 00
    53 push ebx
    8B03 mov eax, dword ptr [ebx]

    то вы на верном пути. Как вы думаете, что это за "push 00"? 00h в VB означает FALSE, а FFh TRUE, из этого следует, что данная команда устанавливает свойство в FALSE, то есть возможно это и есть блокировка элемента управления на форме. Но это может быть и установка любого другого свойства формы в TRUE. Так как синтаксис один и тот же, что принадлежность данной команды к изменению свойства блокировки можно установить только анализом окружающего кода, но умаю с этой мелочью вы справитесь сами.


    [Методика взлома простейших проверок пароля]

    Нижеследующий текст - мой вольный перевод статьи How to Research Visual Basic Cracking с сайта http://www.infonegocio.com/vbcrack/. За английскую версию текста спасибо ее авторам.

    Что нам может понадобиться? Любой дизассемблер/отладчик. Подойдет Win32Dasm или Olly Debugger Если вы используете W32Dasm, то функции, используемые программой вы можете посмотреть в меню "Functions" -> "Imports".

    Если вы будете исследовать базу данных Jet, которая использует драйвера Micro$oft, то помните, что названия функции не говорят сами за себя и вам будет трудно узнать действие, которое выполняет та или иная функция. в данном случае Вам остается только смотреть рекомендации к функциям, которые любезно оставлены программистами Micro$oft. Дыр же в этих драйверах практически нет, поэтому исследовать программы для работы с базами данных довольно сложно.

    Рассмотрим пример защиты программы паролем. Для удобства поиска нужного кода поставим MessageBox. Откройте Visual Basic, добавьте на форму текстовое поле и кнопку, затем в обработчике щелчка по кнопке напишите следующий код:

    CODE NOW!

    Private Sub Command1_Click()
    Dim X&
    X = 43690
    MsgBox "Testing password"
    If CLng(Trim$(Text1.Text)) = X Then MsgBox ("GoodBoy")
    End Sub

    Теперь откроем Olly Debugger, загрузим в него прогу (предварительно прогу нужно откомпилировать) и ищем вызов функции rtcMsgBox.

    CODE NOW!

    00401F54 FF1520104000 CALL [MSVBVM60!rtcMsgBox] ;MsgBox "Testing password"
    00401F5A 8D459C LEA EAX,[EBP-64]
    00401F5D 8D4DAC LEA ECX,[EBP-54]
    00401F60 50 PUSH EAX
    00401F61 8D55BC LEA EDX,[EBP-44]
    00401F64 51 PUSH ECX
    00401F65 8D45CCLEA EAX,[EBP-34]
    00401F68 52 PUSH EDX
    00401F69 50 PUSH EAX
    00401F6A 6A04 PUSH 04
    00401F6C FF1508104000 CALL [MSVBVM60!__vbaFreeVarList]
    00401F72 8B0E MOV ECX,[ESI]
    00401F74 83C414 ADD ESP,14
    00401F77 56 PUSH ESI
    00401F78 FF9104030000 CALL [ECX+00000304]
    00401F7E 8D55DCLEA EDX,[EBP-24]
    00401F81 50 PUSH EAX
    00401F82 52 PUSH EDX
    00401F83 FF1524104000 CALL [MSVBVM60!__vbaObjSet]
    00401F89 8BF0 MOV ESI,EAX
    00401F8B 8D4DE4LEA ECX,[EBP-1C]
    00401F8E 51 PUSH ECX
    00401F8F 56 PUSH ESI
    00401F90 8B06 MOV EAX,[ESI]
    00401F92 FF90A0000000 CALL [EAX+000000A0]
    00401F98 3BC7 CMP EAX,EDI
    00401F9A DBE2 FCLEX
    00401F9C 7D12 JGE 00401FB0
    00401F9E 68A0000000 PUSH 000000A0
    00401FA3 6804184000 PUSH 00401804
    00401FA8 56 PUSH ESI
    00401FA9 50 PUSH EAX
    00401FAA FF1518104000 CALL [MSVBVM60!__vbaHresultCheckObj] ;получение содержимого Text1.Text
    00401FB0 8B55E4MOV EDX,[EBP-1C]
    00401FB3 52 PUSH EDX
    00401FB4 FF1514104000 CALL [MSVBVM60!rtcTrimBstr] ;Trim$
    00401FBA 8BD0 MOV EDX,EAX
    00401FBC 8D4DE0 LEA ECX,[EBP-20]
    00401FBF FF1584104000 CALL [MSVBVM60!__vbaStrMove]
    00401FC5 50 PUSH EAX
    00401FC6 FF1568104000 CALL [MSVBVM60!__vbaI4Str] ;CLng
    00401FCC 33C9 XOR ECX,ECX
    00401FCE 3DAAAA0000 CMP EAX,0000AAAA ;Число 43690 в HEX виде
    00401FD3 8D55E0LEA EDX,[EBP-20]
    00401FD6 8D45E4LEA EAX,[EBP-1C]
    00401FD9 0F94C1 SETZ CL
    00401FDC 52 PUSH EDX
    00401FDD 50 PUSH EAX
    00401FDE F7D9 NEG ECX
    00401FE0 6A02 PUSH 02
    00401FE2 8BF1 MOV ESI,ECX
    00401FE4 FF156C104000 CALL [MSVBVM60!__vbaFreeStrList]
    00401FEA 83C40C ADD ESP,0C
    00401FED 8D4DDC LEA ECX,[EBP-24]
    00401FF0 FF1594104000 CALL [MSVBVM60!__vbaFreeObj]
    00401FF6 663BF7 CMP SI,DI
    00401FF9 7463 JZ 0040205E ;переход на GoodBoy код (MsgBox "GoodBoy")
    00401FFB B804000280 MOV EAX,80020004
    00402000 8D558C LEA EDX,[EBP-74]
    00402003 8D4DCCLEA ECX,[EBP-34]
    00402006 8945A4 MOV [EBP-5C],EAX
    00402009 895D9C MOV [EBP-64],EBX
    0040200C 8945B4 MOV [EBP-4C],EAX
    0040200F 895DAC MOV [EBP-54],EBX
    00402012 8945C4 MOV [EBP-3C],EAX
    00402015 895DBC MOV [EBP-44],EBX
    00402018 C7459418184000 MOV DWORD PTR [EBP-6C],00401818
    0040201F C7458C08000000 MOV DWORD PTR [EBP-74],00000008
    00402026 FF157C104000 CALL [MSVBVM60!__vbaVarDup]
    0040202C 8D4D9C LEA ECX,[EBP-64]

    Чтобы взломать данную программу - нужно изменить переход по адресу 00401FF9
    с условного на абсолютный. Для этого меняем JE на JMP (то есть 74h на EBh).
    Как видите - простенькие защиты VB программ ломаются не сложнее чем в программах, написанных на
    Delphi или C++


    [Взлом паролей в виде разных типов данных]

    Нижеследующий тест - мой вольный перевод статей:
    Cracking Visual Basic Serials - Strings, integers and Longs
    Cracking Visual Basic Serials - Single, Double and XOR
    с сайта http://www.infonegocio.com/vbcrack/. За английские версии этих статей спасибо их авторам.

  • Получение пароля, если он лежит строкой в открытом виде

    Когда VB копирует строку в память - Вы ее можете отловить.
    Для этого нужно поставить бряк на функцию __vbaStrCopy и когда бряк сработает, посмотрите код после je 66047B00 (он содержится в библиотеке и един для всех программ). вам нужно посмотреть содержимое edx-04 (в SoftICE нужно ввести команду d edx-04). При этом вы увидите строчку, с которой работает в данный момент функция.

    CODE NOW!

    Exported fn(): __vbaStrCopy - Ord:008Ah
    :66024532 56 PUSH ESI
    :66024533 57 PUSH EDI
    :66024534 85D2 TEST EDX, EDX
    :66024536 8BF9 MOV EDI, ECX
    :66024538 0F84C2350200 JE 66047B00
    :6602453E FF72FC PUSH [EDX-04] ;по этому адресу лежит строка
    :66024541 52 PUSH EDX

  • Получение пароля, если он сравнивается с введенным

    Поставьте бряк на функцию __vbaStrComp и чуть выше ее вызова будут два push'а - они заносят в стек две Variant переменные для сравнения. Посмотрите содержимое EAX чтобы просмотреть адрес теста. Просмотрите, что лежит по этому адресу, наверняка это правильный пароль.

    CODE NOW!

    00401BC7 50 PUSH EAX ;то что Вы ввели
    00401BC8 6880174000 PUSH 00401780 ;верный пароль
    00401BCD FF1530104000 CALL [MSVBVM60!__vbaStrComp]

  • Получение пароля, если происходит сравнение 4х байтовых числовых переменных

    Поставьте бряк на функцию __vbai4str. Эта функция используется программой для перевода введенной текстовой строки в 4х байтовое число. Когда бряк сработает - посмотрите код ниже - там наверняка будет проца сравнения паролей. Но значение пароля будет в HEX виде (например десятичное число 987654321 равно шестнадцатеричному 3ADE68B1).

    CODE NOW!

    00401B77 FF155C104000 CALL [MSVBVM60!__vbaI4Str]
    00401B7D 8D4DE0 LEA ECX, [EBP-20]
    00401B80 8BF8 MOV EDI, EAX
    00401B82 FF157C104000 CALL [MSVBVM60!__vbaFreeStr]
    00401B88 8D4DDC LEA ECX, [EBP-24]
    00401B8B FF1580104000 CALL [MSVBVM60!__vbaFreeObj]
    00401B91 81FFB168DE3A CMP EDI, 3ADE68B1 ; 3ADE68B1 - это пароль
    00401B97 7520 JNZ 00401BB9 ;функция вернет ноль
    ;если пароли верны, следовательно этот переход
    ;сработает только при неверном пароле

    Тут мы можем узнать верный пароль или отключить проверку пароля (для этого нужно JNZ заменить на NOP (то есть в данном случае менять нужно байты по адресу 00401B97 с 7520 на 9090)

  • Получение пароля при сравнивании двух 2х байтовых чисел

    Отличие от предыдущего примера в том, что нужно ставить бряк на функцию __vbai2Str. Но иногда предварительно производится преобразование строки сначала в 4х байтовое число посредством функции __vbaI2I4, а затем 4х байтовое число преобразуется в двухбайтовое.

  • Обход сравнения двух переменных типа Single

    Эту проверку обойти довольно просто. Если Вашей целью является написание патча, то ставьте бряк на функцию __vbaR4Str и когда он сработает - пролистните код вниз. Вы увидите переход после проверки. Просто измените условие перехода на обратное.

    CODE NOW!

    00401C0C FF153C104000 CALL [MSVBVM60!_vbaR4Str]
    00401C12 D95DE4 FSTP REAL4 PTR [EBP-1C]
    00401C15 8D4DDC LEA ECX, [EBP-24]
    00401C18 8D55E0 LEA EDX, [EBP-20]
    00401C1B 51 PUSH ECX
    00401C1C 52 PUSH EDX
    00401C1D 6A02 PUSH 02
    00401C1F FF1570104000 CALL [MSVBVM60!__vbaFreeStrList]
    00401C25 83C40C ADD ESP, 0C
    00401C28 8D4DD8 LEA ECX, [EBP-28]
    00401C2B FF1594104000 CALL [MSVBVM60!__vbaFreeObj]
    00401C31 817DE43A92FC42 CMP DWORD PTR [EBP-1C], 42FC923A
    00401C38 7520 JNZ 00401C5A ;если ноль, то пароль неправильный

    Замените инструкцию по адресу 00401C38 на 9090 (чтобы в данном месте не выполнялось никаких операций) или измените условный переход на противоположный. Программисты на Visual Basic не смогут проверить то, что вы заменили эти байты на два NOP'а (9090). Если у Вас все же возникают опасения, что программа перестанет работать при отсутствии команд, просто введите команды, которые ничего не поменяют, например:

    CODE NOW!

    inc eax
    dec eax

    Эти команды однобайтовые и как раз впишутся на место условного перехода

  • Обход проверки значений с плавающей точкой (double).

    Это также сделать очень просто. Если хочется обойтись битхаком - ставьте бряк на функцию __vbaR8Str и пролистните ком чуть ниже бряка, Вы увидите процедуру сравнения (FCOMP REAL8 PTR [Address]), после нее идет TEST и jump. Измените условие перехода на противоположное.

    CODE NOW!

    00401C55 FF1510104000 CALL [MSVBVM60!rtcTrimBstr]
    00401C5B 8BD0 MOV EDX, EAX
    00401C5D 8D4DD8 LEA ECX, DWORD PTR [EBP-28]
    00401C60 FF1580104000 CALL [MSVBVM60!__vbaStrMove]
    00401C66 50 PUSH EAX
    00401C67 FF1560104000 CALL [MSVBVM60!__vbaR8Str]
    00401C6D DC1DD8104000 FCOMP REAL8 PTR [004010D8] ;сравнение паролей
    00401C73 DFE0 FSTSW AX ;обработка сопроцессором
    00401C75 F6C440 TEST AH, 40 ;проверка правильности пароля
    00401C78 7409 JE 00401C83 ;переход, если пароль верный

    Замените инструкцию по адресу 00401C78 на 9090 (чтобы в данном месте не выполнялось никаких операций) или измените условный переход на противоположный. Программисты на Visual Basic не смогут проверить то, что вы заменили эти байты на два NOP'а (9090). Если у Вас все же возникают опасения, что программа перестанет работать при отсутствии команд, просто введите команды, которые ничего не поменяют, например:

    CODE NOW!

    inc eax
    dec eax

    Эти команды однобайтовые и как раз впишутся на место условного перехода

  • Получение пароля, если он поXORен.

    Алгоритм работы бейсиковской процедуры таков. Введенный пароль посимвольно переводится в ASCII коды, которые по очереди XORятся. Затем производится обратный перевод, возможно с предварительными математическими манипуляциями с ASCII кодами. ANSI коды могут XORиться со случайным или фиксированным числом.

    CODE NOW!

    00401E6C 50 PUSH EAX
    00401E6D FF1544104000 CALL [MSVBVM60!rtcMidCharBstr]
    00401E73 8BD0 MOV EDX, EAX
    00401E75 8D4DC8 LEA ECX, [EBP-38]
    00401E78 FFD6 CALL ESI
    00401E7A 50 PUSH EAX
    00401E7B FF1518104000 CALL [MSVBVM60!rtcAnsiValueBstr]
    00401E81 0FBFC8 MOVSX ECX, AX
    00401E84 81F191000000 XOR ECX, 00000091 ;ANSI XOR 91
    00401E8A 51 PUSH ECX ;результат XOR'а
    00401E8B FF1570104000 CALL [MSVBVM60!rtcBstrFromAnsi]

    Ставим бряк на 00401E8A 51 PUSH ECX и отслеживаем изменение содержимого регистра ECX при прохождении цикла. Когда программа пройдет весь цикл - вы получите полный пароль.

    CODE NOW!

    CALL [MSVBVM60!rtcMidCharBstr] ;получает один символ из пароля
    CALL [MSVBVM60!rtcAnsiValueBstr] ;получает из символа Ansi код.
    CALL [MSVBVM60!rtcBstrFromAnsi] ;преобразует Ansi код в строку

    В этом случае ниже скорее всего будет сравнение и переход, при этом CALL [MSVBVM60!__vbaStrComp] может быть использован для сравнения строк. Если не производится обращение к MSVBVM60!rtcBstrFromAnsi тогда с паролем производятся определенные математические манипуляции, при этом он может быть представлен как 2х или 4х битное число или число с плавающей точкой. Об этих случаях было сказано выше.

    [Заключение]

    Надеюсь, что прочитав данную статью Вас уже больше не пугает исследование VB кода. Чтобы потренироваться советую поисследовать мои крякми (лежат на www.dotfix.net в разделе "Разное"), о взломе первого из которых написана статья (лежит на www.dotfix.net в разделе "Статьи"). Второй мой крякми еще никто не взломал ;)

    Еще раз благодарю авторов сайта http://www.infonegocio.com/vbcrack/, так как если бы не их туториалы на английском, то этой статьи возможно и не было бы.

    Удачи и спасибо за то, что дочитали статью до конца

    2002-2013 (c) wasm.ru