16/02/2012

hướng dẫn crack phần mềm-chi tiết, cụ thể (coppy từ HVA Oline) p3

IV.Giới thiệu về Breakpoint trong SoftICE 

Bạn có thể dùng SoftICE để thiết lập Breakpoint trong mã chương trình đang thi hành, trong thao tác đọc viết vào 1 vị trí bộ nhớ, ngắt (interrupts) và đọc viết tới các I/O ports... SoftICE sẽ gán 1 chỉ số, từ 0 đến FFh cho mỗi Breakpoint được thiết lập. Bạn có thể dùng chỉ số của Breakpoint để nhận diện các Breakpoint khi đặt, xóa, vô hiệu hóa, kích hoạt hay biên tập chúng. 
Tất cả các Breakpoint của SoftICE là bền vững, nghĩa là SottICE sẽ theo dõi và duy trì 1 Breakpoint cho tới khi bạn xoá hoặc vô hiệu hóa nó bằng lệnh BC hay BD. Sau khi xoá các Breakpoint, có thể xem lại chúng bằng lệnh BH, điều này sẽ hiển thị 1 danh sách các Breakpoint đã dùng. 
Trong SoftICE, bạn có thể đặt 1 lần tới 256 Breakpoint. Tuy nhiên, số các Breakpoint Memory (BPM) và I/O (BPIO) không được quá 4, điều này là do hạn chế của bộ vi xử lí x86. 
Những dạng Breakpoint được hổ trợ bởi SoftICE 

SoftICE cung cấp 1 loạt các khả năng Breakpoint đầy sức mạnh như sau: 
• Execution Breakpoints : SoftICE thay thế chỉ thị máy (lệnh) hiện có bởi INT 3. Bạn có thể dùng lệnh BPX để thiết lập Execution Breakpoints. 
• Memory Breakpoints : SoftICE dùng các thanh ghi debug của x86 để ngắt khi 1 hay nhiều Byte/Word/DWord xác định nào đó của bộ nhớ được đọc, viết hoặc thi hành. Bạn dùng lệnh BPM để đặt Memory Breakpoints. 
• Interrupt Breakpoints : SoftICE chặn ngắt (interrupt) bằng cách sửa đổi IDT (Interrupt Descriptor Table) vectors. Bạn dùng lệnh BPINT để đặt Interrupt Breakpoints. 
• I/O Breakpoints : SoftICE dùng các thanh ghi debug mở rộng trên các CPU Pentium và Pentium-Pro để theo dõi các chỉ thị IN hay OUT đến 1 cổng (port) xác định nào đó. Bạn có thể dùng lệnh BPIO để đặt I/O Breakpoints. 
• Window Message Breakpoints : SoftICE bẫy 1 hoặc 1 dãy các thông điệp đi đến 1 cửa sổ xác định. Bạn có thể dùng lệnh BMSG để thiết lập Window Message Breakpoints. 
Các tùy biến cho Breakpoint 

Bạn có thể tùy biến thêm cho các dạng Breakpoint bằng cách dùng 2 tùy chọn sau: 
• Biểu thức điều kiện [IF expression] : Muốn Breakpoint xảy ra biểu thức phải có giá trị khác 0 (True). 
• Hành vi Breakpoint [DO "command1;command2;"] : 1 dãy các lệnh SoftICE sẽ được tự động thi hành khi xảy ra Breakpoint. 
Execution Breakpoints 

1 Execution Breakpoint sẽ chặn các chỉ thị máy thí dụ như 1 lời gọi hàm hay 1 câu lệnh nào đó. Đây là dạng Breakpoint thường dùng nhất. Bằng cách thay thế câu lệnh hiện có bằng 1 lệnh INT 3, SoftICE sẽ lấy được điều khiển khi thi hành Breakpoint INT 3 này. 
Có 2 cách để đặt Execution Breakpoint trong SoftICE : dùng chuột và dùng lệnh BPX. 
Dùng chuột để đặt Breakpoint 
Bạn có thể dùng chuột để đặt hay xóa Breakpoint dạng point-and-shoot (Breakpoint bền vững) và Breakpoint dạng one-shot (Breakpoint chỉ dùng 1 lần). 
Để đặt 1 Breakpoint dạng point-and-shoot, trong Code Window kích đôi vào hàng lệnh mà bạn muốn đặt điểm ngắt. SoftICE sẽ điểm sáng hàng này. Kích đôi hàng này lần nữa để xóa Breakpoint. 
Để đặt Breakpoint dạng one-shot, kích chuột vào hàng mà bạn muốn đặt Breakpoint để di chuyển con trỏ đến hàng này sau đó dùng lệnh HERE (hay nhấn phím F7). 
khi thi hành đến hàng lệnh đã được đặt Breakpoint, SoftICE sẽ cho "đóng băng" Process đang theo dõi và bạn có thể theo dõi tình trạng hiện hành của tiến trình này. 
Dùng lệnh BPX để đặt Breakpoint 
Dùng lệnh BPX với các tham số sau để đặt 1 Execution Breakpoint: 

BPX [address] [IF expression] [DO "command1;command2;"] 

Tìm hiểu thí dụ sau để hiểu kĩ hơn về lệnh BPX: 

Chạy Notepad, gõ 1, 2 từ sau đó chọn File.New. Notepad sẽ hiển thị hộp thông báo nhắc nhở có Save lại không. Hộp thông báo có title 'Notepad', với chuỗi thông báo 'The text in the Untitled file has changed.\n\nDo you want to save the changes?'. 

Ghi chú: '\n' có nghĩa là xuống hàng. 

Bạn nhấn Cancel. 
Để hiển thị được hộp thông báo trên, Notepad phải gọi API MessageBoxA. Chúng ta đặt 1 Breakpoint sao cho khi Notepad gọi API trên sẽ bị SoftICE cho "đóng băng". 
Vào SoftICE (Ctrl-D), nhập: 
BPX MessageBoxA 
Rời SoftICE (Ctrl-D lần nữa hay nhập lệnh X hoặc bạn nhấn F5), vào Notepad, chọn File.New. Cửa sổ SoftICE sẽ bật lên, chúng ta đang ở điểm vào của API MessageBoxA. Mã mà bạn thấy trên Code Window không phải là mã của Notepad mà là mã của Kernel32.dll được ánh xạ qua vùng nhớ của Notepad, đừng quan tâm đến chuyện đó, nhớ rằng Breakpoint của chúng ta đã làm việc tốt. 
Hãy tìm hiểu kĩ thêm 1 chút, xem mẫu hàm của API MessageBoxA: 
int MessageBox( 
HWND hWnd, // handle of owner window 
LPCTSTR lpText, // address of text in message box 
LPCTSTR lpCaption, // address of title of message box 
UINT uType // style of message box 
); 
Nếu Notepad muốn gọi API này nó phải truyền đủ 4 tham số trên qua Stack (nhờ lệnh Push). Để ý kĩ các giá trị trên đỉnh Stack trong lúc này: 

ESP (+ 0h) DWord chứa địa chỉ trở về mã Notepad, tức địa chỉ của câu lệnh kế tiếp lệnh gọi API MessageBoxA trong Notepad 
ESP + 4h hWnd 
ESP + 8h lpText 
ESP + Ch lpCaption 
ESP + 10h uType 
Ghi chú: trong Win32 mỗi lần Push vào stack phải Push 1 DWord (4 Byte), khác với Dos mỗi lần Push chỉ là 1 giá trị 2 Byte. 
Nếu bạn không hiểu những điều tui vừa nói ở trên thì cũng không sao, bạn cứ tạm chấp nhận. Nhưng nếu bạn muốn tìm hiểu kĩ hơn, hẹn gặp lại bạn ở 1 tài liệu khác dạy về lập trình Hợp Ngữ trên Windows, tui sẽ cố gắng viết nhanh để Upload lên cho các bạn. 
Khi SoftICE dừng lại ngay trên điểm vào của API MessageBoxA, nhập: 
D ESP+4 
Theo bảng trên, lệnh này sẽ hiển thị trên Data Window giá trị của tham số hWnd tức Handle của cửa sổ Notepad. 
Trên Data Window, bạn sẽ thấy 4 byte đầu tiên có dạng 'A0 04 00 00' (máy bạn có thể khác), vậy Handle của cửa sô Notepad là 4A0h. 
Tiếp tục nhập lệnh: 
D ESP + 8 
sẽ thấy 4 byte '38 F8 63 00' (tức DWORD 63F838h) 

Nhập: 
D 63F838 
Lệnh này sẽ Dump các Byte tại địa chỉ 63F838h và bạn sẽ thấy dòng text 'The text in the Untitled file has changed.\n\nDo you want to save the changes?'. 
Để ý kĩ các Byte trong cột thứ 2 của Data Window, sẽ thấy chuỗi trên được kết thúc bằng Byte 00h (NULL) và '\n' có giá trị là 0Ah. 
Bạn cũng có thể tìm đến chuỗi trên nhanh hơn bằng cách dùng lệnh sau: 
D @(ESP + 8) 
hay 
D ESP->8 
Ở đây chúng ta phải định vị gián tiếp vì giá trị lpText truyền cho API MessageBoxA là con trỏ trỏ đến chuỗi thông báo trên. 
Để nhanh hơn, đặt 1 Breakpoint như sau: 
BPX MessageBoxA DO "D @(ESP+8)" 
Bạn có thể cho SoftICE thi hành từng lệnh một bằng cách dùng lệnh P (hay nhấn F10) hoặc lệnh T (hay nhấn F8). 
Sự khác nhau giữa 2 lệnh này là ở chổ lệnh P xem 1 lời gọi hàm Call xxxx như 1 lệnh đơn lẻ và cho thi hành toàn bộ thủ tục xxxx được gọi bởi lệnh Call này, sau đó dừng lại ở lệnh kế tiếp ngay sau lệnh Call xxxx, còn lệnh T sẽ nhảy đến dòng lệnh đầu tiên của thủ tục xxxx và dừng lại. 
Lệnh T tất nhiên sâu sắc hơn lệnh P nhưng lúc nào cũng dùng nó thay thế cho lệnh P thì không phải là 1 ý hay, bạn rất dễ bị lệnh này dẫn đến 1 thủ tục không đâu và "quên cả đường về". Điều quan trọng là phải biết lúc nào cần dùng T và lúc nào cần dùng P. Thời gian sẽ dạy cho bạn điều đó. 
Trong Code Window, bạn cũng có thể dùng chuột kích vào 1 dòng mã bên dưới dòng mã hiện đang thực thi để dời con trỏ đến đây, sau đó nhấn F7 (lệnh HERE), khi mã thi hành đến vị trí con trỏ (nếu thực sự mã có thể thi hành đến đúng vị trí con trỏ), SoftICE sẽ dừng lại cho bạn. Đây chính là cách đặt Breakpoint dạng one-shot. 
Nếu bạn đã chán và muốn trở về lệnh ngay sau lệnh gọi API MessageBoxA, nhập lệnh: 
G @SS:ESP 
hay cũng có thể nhấn F11. 
Lệnh trên sẽ kiểm tra khi thanh ghi con trỏ lệnh EIP vươn tới được địa chỉ được chỉ rõ trong SS:ESP, sẽ cho "đóng băng" Notepad ngay lập tức. Như tui đã nói ở trên, DWord tại SS:ESP hiện tại đang chứa địa chỉ trở về của mã Notepad, tức địa chỉ của câu lệnh kế tiếp lệnh gọi API MessageBoxA trong Notepad. 
Nhấn Cancel, chúng ta sẽ quay lại SoftICE, nhìn lên 1 chút, bạn sẽ thấy đoạn mã như sau: 
:004023FC 51 push ecx 
:004023FD 8D857CFEFFFF lea eax, dword ptr [ebp-0184] 
:00402403 FF750C push [ebp+0C] 
:00402406 50 push eax 
:00402407 FF7508 push [ebp+08] 
:0040240A FF15A8644000 Call [USER32!MessageBoxA] 
:00402410 8BE5 mov esp, ebp 
Dễ dàng thấy được 4 câu lệnh Push truyền các tham số cho API MessageBoxA. 
Nhập lệnh: 
BPX 40240A 
hay kích đôi vào câu lệnh 'Call [USER32!MessageBoxA]'. 
Chúng ta đang tạo 1 Breakpoint dạng point-and-shoot cho câu lệnh này. 
Vào lại Notepad chọn File.New. Cửa sổ SoftICE bật lên và chúng ta dừng ngay trên câu lệnh 'Call [USER32!MessageBoxA]'. Breakpoint của ta đã làm việc!. 
Để xoá hết các Breakpoint đã đặt dùng lệnh 
BC * 
Một số thao tác trên các Breakpoint 

Vô hiệu hóa Breakpoint 
Dùng lệnh: 

BD list | * 

Trong đó: 
• list : 1 dãy các số hiệu Breakpoint ngăn cách nhau bởi dấu phẩy hoặc khoảng trắng. 
• * : vô hiệu hóa tất cả các Breakpoint. 
Thí dụ lệnh: 
BD 1,3 
sẽ vô hiệu hóa Breakpoint có số hiệu 1 và 3. 
Kích hoạt lại Breakpoint 
Dùng lệnh: 

BE list | * 

Lệnh BE sẽ kích hoạt lại 1 hoặc 1 dãy các Breakpoint đã được vô hiệu hóa trước đó. 
Thí dụ lệnh: 
BE 3 
sẽ kích hoạt lại Breakpoint 3. 
Danh sách các Breakpoint đã đặt 
Để hiển thị danh sách các Breakpoint đã đặt dùng lệnh BL. 
Xóa Breakpoint 
Dùng lệnh: 

BC list | * 

Thí dụ lệnh: 
BC 1 
sẽ xóa Breakpoint có số hiệu 1, tương tự lệnh: 
BC * 
sẽ xóa tất cả các Breakpoint. 
Memory Breakpoints 

1 Memory Breakpoint dùng các thanh ghi debug trên các CPU từ 386 trở lên để theo dõi sự truy cập vào 1 vị trí bộ nhớ xác định. Dạng Breakpoint này rất hữu dụng để phát hiện khi nào và ở đâu 1 biến trong chương trình bị thay đổi và còn dùng để đặt các Execution Breakpoint trong vùng nhớ chỉ đọc. Bạn chỉ có thể đặt tối đa 4 Memory Breakpoint trong 1 lần bởi vì CPU chỉ có 4 thanh ghi debug. 
Bạn có thể dùng lệnh BPM để đặt Memory Breakpoint: 

BPM[B|W|D] address [R|W|RW|X] [ debug register] [IF expression] 
[DO "command1;command2;"] 

Trong đó: 
• BPM và BPMB : đặt Breakpoint tại 1 Byte bộ nhớ xác định. 
• BPMW : đặt Breakpoint tại 1 Word (2 Byte) bộ nhớ xác định. 
• BPMD : đặt Breakpoint tại 1 DWord (4 Byte) bộ nhớ xác định. 
• R, W và RW : sẽ ngắt khi xảy ra thao tác đọc, viết hoặc cả 2 
Nếu bạn không chỉ rõ, mặc định sẽ là RW. 
• X : ngắt nếu thi hành, mạnh hơn dạng Breakpoint BPX vì bộ nhớ không cần phải sửa đổi. 
• Debug register : chỉ rõ thanh ghi debug sẽ dùng. 
Một lệnh đặt Memory Breakpoint khác hay dùng hơn là lệnh BPR, dùng để đặt Breakpoint cho 1 đoạn bộ nhớ. Cú pháp: 

BPR start_address end_address [R | W | RW | T | TW] [IF expression] 
[DO"command1;command2;"] 

Bất kì khi nào xảy ra thao tác đọc, viết hay cả hai (tùy theo bạn đặt, nếu bạn không chỉ rõ, mặc định sẽ là viết) trong khoảng bộ nhớ từ start_address đến end_start sẽ làm phát sinh 1 Breakpoint. 
Window Message Breakpoints 

Dùng Window Message Breakpoint để chặn 1 hoặc 1 dãy các thông điệp đi đến 1 thủ tục giải quyết thông điệp Window (WinProc). Mặc dù cũng có thể làm được điều này nếu dùng BPX với 1 biểu thức điều kiện nhưng dùng lệnh BMSG thì vẫn dễ hơn: 

BMSG window-handle [L] [ begin-message [ end-message]] [IF expression] 
[DO "command1;command2;"] 

Trong đó: 
• window-handle : giá trị định danh cửa sổ, được trả về khi cửa sổ được tạo thành. Bạn có thể dùng lệnh HWND để lấy danh sách các cửa sổ kèm theo Handle của nó. 
• L : cho biết thông tin về thông điệp Window bắt được chỉ cần in ra trong Command Window mà không cần phải bật cửa sổ SoftICE lên. 
• begin-message : thông điệp Window đơn lẻ hay là thông điệp có số hiệu thấp nhất trong dãy các thông điệp Window muốn theo dõi. Nếu bạn không chỉ rõ dãy thông điệp với 1 end-message, thì chỉ begin-message sẽ gây ra ngắt. Cả 2 begin-message và end-mesage có thể được ghi dưới dạng tên hoặc số hiệu của nó thí dụ WM_QUIT và 12h là tương đương. 
• end-message : thông điệp có số hiệu cao nhất trong dãy các thông điệp Window cần theo dõi. 
Nếu không có thông điệp hoặc dãy các thông điệp nào được chỉ rõ, bất cứ thông điệp nào cũng sẽ gây ra ngắt. 
Bạn có thể dùng lệnh WMSG để lấy danh sách các thông điệp Window mà SoftICE biết. 
Nếu bạn biết tên thông điệp nhưng không biết số hiệu của nó, có thể tìm được số hiệu của nó bằng cách dùng lệnh sau: 

? tên_thông_điệp 
Thí dụ để biết số hiệu của thông điệp WM_TIMER, nhập lệnh: 
? WM_TIMER 
Thử thực hành thí dụ sau: 
Mở Notepad. Sau đó nhập lệnh: 
HWND 

SoftICE sẽ hiển thị danh sách các cửa sổ kèm theo các thông tin khác (thí dụ tên lớp cửa sổ, địa chỉ Window Procedure...). Bạn có thể thấy giá trị Handle của các cửa sổ nằm ở cột đầu tiên. Chúng ta chỉ quan tâm giá trị Handle của cửa sổ Notepad. Ở máy tui giá trị này là 190h (máy bạn có thể khác). Nhớ lấy giá trị này. 

Để chỉ hiển thị các thông tin cửa sổ của riêng Notepad, bạn có thể dùng lệnh: 
HWND Notepad 
Chúng ta đặt 1 Breakpoint để theo dõi tất cả các thông điệp đi đến cửa sổ chính của Notepad: 
BMSG 190 L 
Tham số L sẽ khiến cho SoftICE chỉ in thông tin về thông điệp bắt được trong Code Window mà không cần bật cửa sổ SoftICE lên. 

Rời SoftICE (Ctrl-D), trong Notepad, bạn thao tác gì đó (thí dụ gõ 1, 2 từ, thay đổi kích thước cửa sổ...), sau đó quay lại SoftICE, trong Code Window sẽ hiển thị tất cả thông tin về các thông điệp do Windows gởi đến cửa sổ Notepad mà SoftICE bắt được. 
Để bắt 1 thông điệp riêng biệt, thí dụ WM_SIZE bạn dùng lệnh sau: 
BMSG 190 WM_SIZE 
Trở lại Notepad, bạn thử thay đổi kích thước cửa sổ của nó (thí dụ phóng to hay thu nhỏ cửa sổ Notepad), khi đó Windows sẽ gởi đến cho Notepad 1 thông điệp WM_SIZE, SoftICE sẽ bật lên và bạn sẽ thấy nó dừng ngay trên điểm vào của thủ tục Window giải quyết thông điệp cho cửa sổ chính Notepad. 

0 nhận xét:

Đăng nhận xét

Related Posts Plugin for WordPress, Blogger...
 
Copyright © 2010-2012 CON CUA BIEN. All rights reserved.