逆向工程
你玩遊戲麼?單機遊戲,你是否使用過遊戲補丁、修改器?
逆向工程,又稱逆向技術,是一種產品設計技術再現過程,即對一項目標產品進行逆向分析及研究,從而演繹並得出該產品的處理流程、組織結構、功能特性及技術規格等設計要素,以製作出功能相近,但又不完全一樣的產品。逆向工程源於商業及軍事領域中的硬體分析。其主要目的是在不能輕易獲得必要的生產信息的情況下,直接從成品分析,推導出產品的設計原理。
而軟體逆向工程,隨著計算機技術在各個領域的廣泛應用,特別是軟體開發技術的迅猛發展,基於某個軟體,以反彙編閱讀源碼的方式去推斷其數據結構、體系結構和程序設計信息成為軟體逆向工程技術關注的主要對象。軟體逆向技術的目的是用來研究和學習先進的技術,特別是當手裡沒有合適的文檔資料,而你又很需要實現某個軟體的功能的時候。也正因為這樣,很多軟體為了壟斷技術,在軟體安裝之前,要求用戶同意不去逆向研究。
而,這是重點:逆向工程的實施過程是多領域、多學科的協同過程。
我們拿它來講解
首先,我聲明一點,本文一切僅為技術探討,並不包含任何攻擊性、負面性侵犯。我酷愛俄羅斯方塊,而其中火拼俄羅斯更為火爆。記得當年不日不夜的練習俄羅斯方塊,試圖在3V3競技中一展宏圖。卻沒有料到高手甚多,秒我乃拈花摘葉,隨手即來。
此刻,如何是好?
假如,我有一個,傳說中的神兵,是不是可以逆轉這樣狼狽的局面呢?嗯,有趣,甚是有趣。那麼,我們就開始造兵器——打造一款,傳說中火拼俄羅斯方塊輔助如何?
首先,要打造一個輔助,你必須介入程序,怎麼介入?
遠程注入DLL!
DLL的遠程注入技術是目前Win32病毒廣泛使用的一種技術。使用這種技術的病毒體通常位於一個DLL中,在系統啟動的時候,一個EXE程序會將這個DLL加載至某些系統進程(如Explorer.exe)中運行。
這樣一來,普通的進程管理器就很難發現這種病毒了,而且即使發現了也很難清除,因為只要病毒寄生的進程不終止運行,那麼這個DLL就不會在內存中卸載。
用戶也就無法在資源管理器中刪除這個DLL文件,真可謂一箭雙鵰哉。記得2003年QQ尾巴病毒肆虐的時候,就已經有些尾巴病毒的變種在使用這種技術了。你需要了解以下幾個API函數:
OpenProcess - 用於打開要寄生的目標進程。VirtualAllocEx/VirtualFreeEx - 用於在目標進程中分配/釋放內存空間WriteProcessMemory - 用於在目標進程中寫入要加載的DLL名稱。CreateRemoteThread - 遠程加載DLL的核心內容,用於控制目標進程調用API函數。LoadLibrary - 目標進程通過調用此函數來加載病毒DLL。在此我只給出了簡要的函數說明,關於函數的詳細功能和介紹請參閱MSDN。還有,至於代碼,本文不貼代碼,只講技術,有興趣可以自行谷歌。
如此以來,就可以將自己寫的DLL,注入到火拼俄羅斯方塊這個程序裡,並且讓他運行起來。
DLL裡實現什麼?
DLL裡需要實現的就是一套基於人工智慧的玩火拼俄羅斯的機器人。我們假設已經有一款超高智能的LIB已經被我們引入。那麼,DLL還需要就是實現模擬控制的一些方法。還需要什麼?還需要當前方塊的樣子,下一個方塊的樣子,當前自己擺放的樣子,甚至還可能需要知道對手擺放的樣子,自己獲得了哪些道具。
這些數據,怎麼來?
圖像識別,將當前窗口截圖,然後開始根據X Y的坐標進行分析,通過圖像識別的方法,獲得當前方塊樣子,自己擺放的樣子,對手的樣子。
這樣做好麼?
這是比較直觀的方案,但是每次都要掃描,進行圖像比較,然後獲得數據,你會直觀的覺得,那會快麼?效率高麼?假定有了這些數據,你還要做什麼?當然就是操作了,移動方塊,變形方塊,下落方塊和使用道具了。這又如何做呢?簡單,模擬滑鼠鍵盤按鍵,然後操作就好了。
聽起來,這一套,似乎是不錯的方案,不是麼?NO,這樣做出來,頂多算一個兵器,要稱之為神兵,估計還是有一點點距離的!那麼,神兵的話,我們該如何打造?
分析內存,從內從中找到當前方塊,自己擺放的樣子,對手的樣子。分析程序,獲得開發者實現操作函數,並且調用這些函數。於是?聽起來很深奧的樣子,能辦到麼?
逆向工具
在這裡,我只為大家普及工具,就不一一演示,我只做簡單的介紹和說明。
靜態分析工具 IDA,交互式反彙編器專業版(Interactive Disassembler Professional),人們常稱其為IDA Pro,或簡稱為IDA,是總部位於比利時列日市(Liège)的Hex-Rayd公司的一款產品。開發IDA的是一位編程天才,名叫Ilfak Guilfanov。十年前誕生時,IDA還是一個基於控制臺的MS-DOS應用程式,這一點很重要,因為它有助於我們理解IDA用戶界面的本質。除其他內容外,IDA的非Windows和非GUI版本仍然繼續採用源於最初DOS版本的控制臺形式的界面。
動態調試工具有OD(OllyDBG)和windbg。 調試應用層程序兩個調試器都可以,OD因為主要面向逆向,窗口布局更為合理直觀且插件眾多,所以一般情況下都首選OD,windbg沒那麼方便,大部分操作通過命令來進行,但它也有它的優勢,各種命令(內置命令、元命令和擴展命令)提供了強大的控制和分析能力,所以windbg有時也會用到。如果要調試內核程序或模塊那OD就無能為力了,windbg可以說是唯一的選擇,以前還有個 softice,但 softice已經停止更新和支持,現在已經沒什麼了用了。
偵殼工具 PEid,但實際結果還是工具加上自己的分析。脫殼,儘量手動。二進位編輯工具UltraEdit、Hex Workshop以及WinHex,比較工具 Beyond Compare。網絡包抓包分析工具Wireshark和Iris。文件和註冊表監視工具Process Monitor。最後,虛擬機,VM不二。
開始逆向
有了工具,我們就可以開始對火拼俄羅斯進行逆向分析了,逆向是一個複雜而繁瑣的過程。會經歷無數的嘗試,代碼分析,邏輯分析。如果是分析遊戲,如果您是遊戲開發者,或許思路更為廣泛,可以明白一些開發者的正常思維。
那麼,這個遊戲,我們入手點在那?
用OD附加俄羅斯方塊,找到一個關鍵點,這個關鍵點就是,遊戲初始化。
從正常的開發角度來想,在初始化的時候,一般都會清空數據。無論是從網絡還是本地,都會分配方塊的樣式。然後從這裡入手,我就很快的找到了幾個內存地址。從這些地址中,可以得到當前方塊的樣式,並且可以預知下一個方塊的樣式,並且得到了當前擺放的遊戲池中的樣式。然後,緊接著,就找尋控制移動的地方。很快,就從按鍵得到一些信息,找到了。
其中,所有下落後的方塊,我們可以在OD中看到他的內存樣式,其中表示紅色的,就是被改變的數據。什麼數據被改變呢?就是確定下落後的方塊,數字代表了方塊的顏色,也可以說是方塊的樣式。內存中的分布如圖可見。
然後,通過注入DLL到進程,做出了一個插件。圖片中演示了插件工作的樣式。
其中,已經預知了下幾個方塊的樣式,並且得到了遊戲棋盤的數據,AUTO就是自動開始遊戲。測試了效果還不錯。
結束了嗎?
其實逆向的還有很多很多高深的奧秘。我也只是一個初級者。現在大多數的程序,都加入了一些反調。並且為自己的程序加入了一些殼。簡單說說,世界比較知名的高強度殼就是VMProtect,Themida ,SE(Safengine)等等。其中,TW(Themida Winlicense)當時搞得我頭大,他的反調很是有趣。而,對於遊戲來說,很多遊戲都加入了驅動級的保護,比如騰訊的TP(TenProtect),韓國公司的HS(HackShield),還有NEXON的NGS(Nexon Game Security) ,完美的PP等等等。
現在安全越來越被大家重視,而公司安全逆向組一般都會做一些病毒樣本分析,也會做一些公司產品的防護。而這是一個博大精深的世界,裡面非常的有趣,也富有挑戰。所以,一文的簡單介紹,希望能把你吸引進入,這個神奇的界域。
本文作者:Garfield,一個逆向領域的初學者,現任職於點融技術Social團隊。
本文首發於點融黑幫(微信號:DianrongMafia),這是一個網際網路技術類微信號,匯集了各路創業大牛。