この文章ではリバースエンジニアリングで扱ったcarckme.exeの解析を、実際に解説しながら行います。よって前記事であるリバースエンジニアリングを読んでいない場合は、そちらから読むことをお勧めします。ちなみに、解説するにあたってソースコードやパスワード(実際の答え)を書いていますので、もし「まだ俺はcrackをあきらめていないぜ!」と考えている方は読まない方が良いと思います。動作確認はWindowsXPで行っています。
えっと、いきなりですが、上記のZIPファイルがcrackme.exeのソースコードです。ちょっと目を通すと、まずユーザー名が「WizardBible」であることが分かります。
----- crackme.cpp
case WM_COMMAND:
switch (LOWORD(wParam))
{
case IDOK:
// 入力されたデータを取得
(省略)
// ユーザー名評価
if(lstrcmp(szUser, _T("WizardBible")) != 0){
MessageBox(GetActiveWindow(), _T(
"ユーザー名が間違っています"), _T("Error"), MB_OK);
return TRUE;
}
// パスワード評価
JudgePasswd(szPass);
break;
-----
OKボタンが押された時の処理です。コメントで「ユーザー名評価」とされているところでlstrcmp関数が呼ばれており、ここで文字列評価が行われています。「WizardBible」と比べてるので、ユーザー名は「WizardBible」であるということになります。まぁこれはデバッガで追いかけてもすぐに分かります。OllyDbgでは以下のようになっています。
----- crackme.exe 00402856 . 7C 43 JL SHORT crackme.0040289B 00402858 . 68 E4714000 PUSH OFFSET crackme.??_C@_0M@MCHFHAHG@Wi>; /String2 = "WizardBible" 0040285D . 8D5424 10 LEA EDX,DWORD PTR SS:[ESP+10] ; | 00402861 . 52 PUSH EDX ; |String1 00402862 . FF15 08704000 CALL DWORD PTR DS:[<&KERNEL32.lstrcmpA>] ; \lstrcmpA 00402868 . 85C0 TEST EAX,EAX -----
OllyDbgでデバッグする場合、lstrcmpは普通に丸見えなので、簡単に対象文字列を特定することができます。
さて、では問題のパスワードはどうやって評価しているのでしょうか。これはJudgePasswd関数が受け持っています。そしてJudgePasswd関数の先頭では、bDataという暗号文が定義されています。さて、「このわけわからん数値列はいったいなんだ?」と思われるかもしれませんが、これは正常に動作するマシン語を暗号化したデータ列です。つまりこの文字列を正確なパスワードで復号化すると、正常に動作するマシン語が復元されます。ユーザーから入力されたパスワードは引数のszStrKeyに入っています。そして、このパスワードを使って、bDataを復号化します。
----- crackme.cpp
BOOL JudgePasswd(TCHAR *szStrKey)
{
// 暗号文(正確なパスワードが入力されたあとの処理を暗号化したデータ)
BYTE bData[] = {
0x1c, 0x87, 0x4c, 0xa2, 0x17, 0xfa, 0x4f, 0x05, 0x16, 0x3e, 0xd5, 0xd3, 0x05, 0xf0, 0x17, 0xa9,
0x83, 0x54, 0x4b, 0x23, 0x15, 0x50, 0x77, 0x1f, 0x09, 0x1a, 0xe6, 0x6c, 0x7a, 0x20, 0x58, 0xef,
0x0f, 0x47, 0xd2, 0x04, 0x4a, 0x5d, 0x27, 0x7d, 0x22, 0xe2, 0xf9, 0xec, 0x67, 0x27, 0xa8, 0x2b,
0x95, 0x3c, 0x74, 0xfe, 0x60, 0x51, 0xc0, 0x37, 0x20, 0x64, 0x09, 0xe5, 0x40, 0xd4, 0x5b, 0x62,
0x41, 0x6d, 0x06, 0x18, 0x1e, 0x39, 0x58, 0xb8, 0xc2, 0xab, 0x4b, 0x83, 0x4f, 0xde, 0x8a, 0xf7,
0xce, 0xa3, 0x95, 0x16, 0xf4, 0xea, 0xa8, 0x6c, 0x0f, 0x6b, 0xa2, 0x28, 0x2a, 0x31, 0x72, 0x9e,
0x47, 0x38, 0xdc, 0x9f, 0x37, 0x1d, 0x06, 0xb7, 0x55, 0xd8, 0xb3, 0x59, 0xd6, 0xef, 0x39, 0xe9,
0x96, 0xc3, 0xfa, 0x91, 0xce, 0xea, 0xf6, 0x2e, 0xb6, 0x47, 0x86, 0x77, 0xce, 0xb2, 0x22, 0xfe,
0x87, 0x22, 0x36, 0x09, 0x03, 0x3a, 0xf0, 0xd9, 0x07, 0xaa, 0xe3, 0x9b, 0x95, 0x4d, 0xe2, 0x6b,
0x49, 0x6e, 0x3e, 0x0f, 0x2a, 0xe9, 0x98, 0xee, 0x1f, 0x30, 0xa5, 0x2a, 0x2a, 0x64, 0x5a, 0x2f,
0x8f, 0x40, 0x3a, 0xba, 0x1b, 0x73, 0x1b, 0x1a, 0x72, 0xcd, 0xdf, 0xd6, 0xa6, 0xe5, 0x96, 0x44,
0xbf, 0x3d, 0xb3, 0xa9, 0x2b, 0x37, 0x02, 0x8d, 0xd9, 0xe3, 0xf1, 0x8a, 0x3c, 0x00, 0x34, 0x2e,
0x8f, 0x49, 0xf8, 0xf2, 0x92, 0x86, 0x14, 0x3b, 0x04, 0xa7, 0x83, 0x1d, 0x56, 0x8f, 0x2e, 0x06,
0xf9, 0x7c, 0x27, 0x71, 0xac, 0x6a, 0xa1, 0x50, 0x01, 0x5a, 0xa4, 0x0f, 0x95, 0x1e, 0xe4, 0xf4,
0x39, 0xea, 0x0d, 0xb4, 0x02, 0x4b, 0xd7, 0xee, 0x2d, 0x58, 0x20, 0x48, 0x92, 0x36, 0x0b, 0x37,
0xa9, 0x50, 0x64, 0x89, 0xab, 0x2c, 0x8e, 0x44, 0x89, 0xea, 0x65, 0x29, 0x78, 0xbc, 0x0c, 0xf2,
0xfe, 0xb8, 0x96, 0x8a, 0xbd, 0xcf, 0x54, 0xe8, 0x15, 0xd7, 0xce, 0x10, 0x94, 0x53, 0x4f, 0x7e,
0x8e, 0x63, 0xda, 0x90, 0xa0, 0x13, 0xfb, 0x3d, 0xf8, 0xf1, 0xd8, 0xbe, 0x0e, 0x69, 0x24, 0x12,
0xf7, 0xfe, 0xbf, 0xee, 0x0a, 0x82, 0xa5, 0x08, 0xea, 0x90, 0x58, 0xfb, 0xb9, 0x7b, 0xf1, 0x65,
0x6b, 0x83, 0x14, 0x34, 0x6c, 0xdc, 0xe7, 0xe9, 0x03, 0xe5, 0xd7, 0x73, 0x28, 0x61, 0xcb, 0x56,
0x6b, 0x2a, 0xf0, 0xc6, 0x00, 0xf6, 0x3f, 0xf4, 0x11, 0xfd, 0x77, 0x47, 0x6f, 0xc8, 0x46, 0x89,
0x26, 0x8b, 0x0c, 0x93, 0x31, 0xf4, 0x38, 0xbd, 0x07, 0xdf, 0x6b, 0xfa, 0xd3, 0x74, 0x8a, 0xea,
0x62, 0xf8, 0x26, 0xad, 0xbb, 0x8d, 0xe8, 0xed, 0x0a, 0x27, 0xcf, 0x8d, 0x2f, 0x42, 0xfb, 0x9c,
0x8c, 0x11, 0x58, 0xe6, 0x7d, 0x98, 0xa9, 0x50, 0x07, 0x13, 0x2f, 0x29, 0xff, 0x3e, 0x22, 0xc7,
0xbd, 0xb4, 0xe0, 0x52, 0xf3, 0x60, 0x99, 0xa3, 0x87, 0xab, 0xeb, 0x62, 0x6d, 0x3d, 0x78, 0xf4,
0xc2, 0x3c, 0x98, 0x05, 0x2b, 0x01, 0x1f, 0x46, 0x9a, 0x1d, 0xa9, 0x82, 0xf8, 0x91, 0xc5, 0xf2,
0x02, 0x2f, 0x0d, 0x71, 0x8d, 0xf2, 0xb7, 0xd6, 0x34, 0xaa, 0x53, 0x95, 0xc7, 0x03, 0x23, 0x01,
0xd5, 0x87, 0x7c, 0x9b, 0xa9, 0x94, 0xd5, 0x2a, 0x30, 0x9f, 0x34, 0xab, 0xa5, 0xb8, 0x51, 0x22,
0x83, 0x05, 0xac, 0x7f, 0x4e, 0xbe, 0x66, 0x5c, 0x32, 0x86, 0xc8, 0xec, 0x18, 0xdc, 0x82, 0x09,
0xeb, 0x10, 0x8b, 0xbd, 0x15, 0xcf, 0x39, 0xf3, 0xc3, 0x06, 0xbf, 0x83, 0x1d, 0xf0, 0x22, 0x9d,
0xb0, 0x92, 0x06, 0x85, 0x60, 0xe8, 0xcd, 0x9f, 0x3a, 0x32, 0x93, 0x04, 0xf2, 0x83, 0x3f, 0x6e,
0x93, 0x0c, 0x0f, 0xca, 0xbe, 0x42, 0x12, 0x29, 0x77, 0xd8, 0x9f, 0x97, 0xa5, 0xcd, 0xd7, 0xa0
};
// 確保するメモリサイズを64ビット(8バイト)の倍数とする
DWORD dwSize = sizeof(bData) + (8 - ((sizeof(bData) % 8) ? (sizeof(bData) % 8) : 8));
// メモリ確保
PBYTE bExeData = (PBYTE)VirtualAlloc(NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
if(bExeData == NULL){
MessageBox(GetActiveWindow(), _T("メモリ確保に失敗しました"), _T("Error"), MB_OK);
return TRUE;
}
// メモリクリア
ZeroMemory(bExeData, dwSize);
// 確保したメモリ空間へ暗号文を代入
for(int i=0; i < sizeof(bData); i++)
bExeData[i] = bData[i];
// 複合化関数
ReverseData(szStrKey, bExeData, dwSize, false);
DWORD dwMaxNum = 0;
for(int i=0; i < (int)dwSize; i++)
dwMaxNum += bExeData[i];
// 復号化されたデータが正しいかどうかのチェックサム
if(dwMaxNum != 51399){
MessageBox(GetActiveWindow(), _T(
"パスワードが間違っています"), _T("Error"), MB_OK);
goto END_JUDGE;
}
__asm{
call bExeData
};
END_JUDGE:
// メモリ開放
VirtualFree(bExeData, dwSize, MEM_DECOMMIT);
return FALSE;
}
-----
ReverseData関数が実際に復号化を行う処理です。この関数はDES暗号化アルゴリズムに従って復号化を行います。復号化が終わると、そのアドレスへ処理をジャンプさせます。これは「call bExeData」というように一部アセンブラを用いて行っています。しかし、間違ったパスワードが入力されていた場合、当たり前ですが復号化は成功しません。よって、正常に動作するマシン語は復元されていないことになり、その場所へジャンプしたら、当然プログラムが異常終了します。それを避けるために、あらかじめデータのチェックサムを取っておきます。つまり正常に動作するマシン語が復号化されていた場合、それらのチェックサムは51399となるはずなので、もしそれが違っていたならば、「パスワードは間違っている」と判断することにします。ここで利用しているチェックサムは、1バイトずつすべてのデータを加算した値です。最後にメモリを開放して終了となります。
つまりパスワードを知るためには、まずDES暗号化アルゴリズムを利用していることを特定する必要があります。これはデバッガで追っていけば分かります。分からなければそこでアウトですが、分かる人ならすぐに特定できます。そして暗号文自体もそのままのカタチでスタックに積まれることになるので、デバッガで調べて取得することができます。さて、大抵の暗号化アルゴリズムは、暗号文から平文を逆算して求めることはできないと証明されていますので、ここからは総当りで求めるしかありません。DESアルゴリズムを再現して、総当りで解析していきます。といってもDESは、総当りには結構もろいですので、数分もあれば完了します(多分)。これで見事パスワード「OtmPpLvQ」をゲットということになり、解析完了です。
修正(2005/03/05):いくらDESといえども、数分じゃ解けません。すみません、完全な間違いです。でもこのcrackmeに限れば、文字のみキーとして使用しているのが明白なので、通常のDESを解析するよりもはるかに短時間で解析可能です。といっても、その短時間がいったいどれくらいなのか具体的には分かりませんが、現在の一般的なPC(メモリ256、CPU1GHzくらい)で十分解析できるレベルだと思います。
このcrackme.exeを解析するには「DES暗号化アルゴリズムを利用していることを特定できるか?」という部分が最大のポイントになると思います。
ということで、ユーザー名「WizardBible」、パスワード「OtmPpLvQ」が正解ということになります。ちなみに動作確認はWindowsXPで行っていますので、他の環境ではもしかしたら動かないかもしれません。でも多分動くよね(笑)。