В последнее время наблюдается рост коммерческих приложений в Linux. Таким образом, возникает потребность в реинженеринге защитных механизмов в новых условиях. Крекеры, пришедшие с Windows не находят удобных инструментов, да и «родные» не знают о многих из них.

В данном обзоре я постараюсь восполнить информацию об инструментах крекера в Linux. Статья не претендует на полноту, эксклюзивность и ориентирована на новичков. (поиск юзал, такой темы не нашел)

Анализаторы файлов

Прежде чем ломать программу, необходимо проанализировать ее. Для этих целей служат следующие программы:

file - Показывает информацию о файле: тип, архитектуру, факт использования разделяемых библиотек, была ли удалена символьная информация командой strip.

nm - Выводит таблицу внешних символов. Показывает имена переменных, функций, метки. (Это справедливо только для файлов, не обработанных командой strip)

size - Выводит размеры всех секций программы (при указании флага -А).

strings - Выводит все текстовые строки, содержащиеся в файле. Бывает очень полезна при поиске регистрационных кодов, хранящихся в открытом виде. (на практике все еще попадается такая слабая защита).

ldd - Показывает зависимости программы от динамических библиотек. Программистам пользы больше, чем крекерам.

readelf - Исследует файл. Выводит намного больше информации, чем команда file. Показывает тип файла, архитектуру, точку входа и другие не менее важные для крекера данные. Просматривает содержимое секций ELF-файла.

Дизассемблеры

Objdump - Больше, чем просто дизассемблер. Показывает заголовки программы, секции файла (флаг -х), дизассемблирует файл (флаг -D), показывает содержимое секций в шестнадцатеричном виде (флаг -s), и т.д.

Замечание. При дизассемблировании файла, лучше скидывать листинг в файл: objdump -D > ./file, чтобы хоть как-то уменьшить вероятность вывиха обеих глаз.

Dissy - «Обертка» для утилит nm, readelf и objdump. (из-за этого файлы без символьной информации не анализируются)

Имеет графический интерфейс, работать намного приятнее, чем с objdump. Главное окно разделено на две части, в верхней – имена функций, в нижней – их дизассемблерный листинг. Программа показывает переходы, осуществляет навигацию по ним и по вызовам процедур.

Lida (Linux Interactive DisAssembler) - Довольно интересный дизассемблер, включающий в себя модули поиска по строкам, криптоанализ, возможность ставить закладки и пр.

LDasm (Linux Disassembler) - Еще одна оболочка для objdump/binutils, написанная на Perl/Tk. По словам автора, "to imitate the look'n'feel of W32Dasm" Так что не мешает ознакомиться. К сожалению, не обновлялся с декабря 2002 года.

Bastard - Дизассемблер под Linux&FreeBSD, понимаетELF/PE/bin-форматы.

Шестнадцатеричные редакторы

Отобразить в шестнадцатеричном виде файлы могут утилиты objdump, hexdump, od.

KHexEdit - Входит в среду KDE. Имеет графический интерфейс.

Bless - Написанный на моно шестнадцатеричный редактор. Поддерживает вкладки.

Biew - Консольный редактор. Позволяет просматривать и редактировать файлы в текстовом, шестнадцатеричном, ассемблерном виде.

HTE - Также консольный редактор, но функционально на голову выше прочих. Дизассемблирует файлы, поддерживает перекрестные ссылки, указывает имена функций и пр.

В Linux достаточно много шестнадцатеричных редакторов, я указал лишь самые интересные (на мой взгляд).

Дамперы

В случае, когда программа запакована, необходимо снять дамп памяти с запущенного процесса.

Я нашел только два достойных дампера.

PD (by ilo) - Опубликованный в журнале Phrack. Мне так и не удалось получить запускаемый дамп с помощью этой программы.

Process Dumper (pd) - Программа довольно неплохо снимает дамп с запущенных процессов. Запуск:

pd -p pid > dump

Далее нужно обработать файл напильником. Например, в KHexEdit. Удаляем символьный мусор до заголовка. Таким образом мне получилось сделать запускающийся дамп с программой, запакованной UPX.

Отладчики

gdb и все, все, все (графические оболочки) - Довольно мощный отладчик, но при работе можно вывихнуть руки (А без рук и без глаз какой же вы крекер?). Работать с ним довольно сложно, но можно. Вердикт: для гуру.

EDB - Сравнительно недавно появился отладчик, напоминающий OllyDbg, только для Linux. Причем он написан с нуля, а не является оберткой для других утилит. Окно разделено на 4 части: дизассемблер, стек, дамп памяти со вкладками, содержание регистров. В работе этот отладчик очень удобен и интуитивно понятен. Программа позволяет ставить точки прерывания, искать строки, переходы к регистрам, и имеет очень много других полезных функций.

Linice - Неофициальный порт Softice под Linux. При установке требует древнее ядро и квалифицированного шамана с бубном. (Даже не стал париться)

Также не помешает исследовать виртуальную файловую систему /proc для взлома программ.

LINKS:

PD by ilo: http://www.reversing.org

Process Dumper: http://www.trapkit.de/research/forensic/pd/

Dissy: http://www.ipd.bth.se/ska/sim_home/dissy.html

EDB: http://www.codef00.com

Linice: www.linice.com

HTE: www.hte.sourceforge.net

LDasm: http://www.feedface.com/projects/ldasm.html

Lida: http://lida.sourceforge.net/

Bastard: http://bastard.sourceforge.net/

Другие утилиты входят в поставку стандартного дистрибутива.