ReverseCraft
Info
Seria ReverseCraft niestety nie będzie już kontynuowana (wyjaśnienie), ale nagrywam/publikuje teraz inne serie videotutoriali (również o sprawach niskopoziomowych, w tym np. kurs assembly) w trochę innej formie. Są dostępne na moim kanale na Youtube. Zachęcam do rzucenia okiem :)

Wszystkie epsy ReverseCraft są również dostępne via Youtube: http://www.youtube.com/user/GynvaelColdwind (playlisty ReverseCraft (PL) oraz ReverseCraft Asm (PL).
Video Details
screen z reversecraft 4 ReverseCraft #4 - Narzędzia i analiza

Czas trwania:
35 minut (opublikowano 2009-08-01)

Opis:
Czwarty odcinek kursu wstępnie prezentuje narzędzia używane podczas sesji RE, oraz pokazuje przebieg samej analizy na przykładzie "łamania" prostej aplikacji typu crackme.

Linki do video:

Materiały:

Informacje uzupełniające:

Pojawiło się sporo pytań odnośnie zadania domowego, a konkretniej - czy program patchujący powinien patchować rozpakowany czy spakowany plik. Odpowiadając na pytanie: wystarczy rozpakowaną wersję. Natomiast ambitne i zaawansowane osoby zachęcam do spatchowania wersji spakowanej (jest w zasadzie kilka różnych sposobów żeby to zrobić.

Bajty 90 90 90 które wstawiam w hexedytorze odpowiadają trzem instrukcjom NOP (czyli opcode NOP to 0x90). Instrukcja NOP, czyli No OPeration, to jedna z kilku instrukcji które nie powodują żadnej zmiany w środowisku (rejestrach, flagach, etc), czyli można ją stosować to 'usunięcia' działania innych instrukcji - po prostu zamiast nadpisanych instrukcji zostanie wykonane nic (zgodnie z dokumentacją: NOP - Performs No Operation). Tak na prawdę instrukcja NOP jest aliasem dla instrukcji XCHG EAX, EAX, czyli zamiany zawartości rejestru EAX ze sobą samym, co oczywiście nie zmienia nic.
Instrukcja NOP i jej opcode - 90 - to jedna z podstawowych rzeczy o których musi pamiętać każdy reverser :). Innymi opcode'ami wartymi zapamiętania są C3 (ret), CC (int3, czyli software breakpoint), oraz EB FE (jmp $, czyli nieskończona pętla).

Link do artykułu o entropii (o którym wspominałem w videoarcie) znajduje się w sekcji Inne Linki poniżej.

Funkcje WinAPI o których wspominałem w odcinku to:

Tak na prawdę dwie wyżej wymienione funkcje i tak sprowadzają się do SendMessage i WM_GETTEXT.


Użyte narzędzia:

Inne linki:
Video Tutorials RSS
ReverseCraft:
Legal stuff
ReverseCraft project (c) 2009 gynvael.coldwind//vx
Video tutoriale dostępne są na licencji Creative Commons BY-NC-ND

cat