Karpoff Spanish Tutor

Programa:

Manual sobre protecciones Rainbow Sentinel LM


 

VICTIMA: Protecciones Sentinel LM (Delphi 5 Enterprise Trial)
PROTECCION: Demasiadas para listarlas ahora...
Descripcion: Entorno de programación para Windows
Dificultad: AVANZADO
DOWNLOAD: http://www.borland.com/
Herramientas: SoftIce 3+, IDA Pro, IID King, RegMon, FileMon, Hacker´s View, Algún compilador para Windows
CRACKER: ViPER   FECHA: 10/10/2000

 

 introduccion

he configurado este documento partiendo de una serie de notas que he ido acumulando mientras me empleaba a fondo con la trial de delphi 5, que precisamente estaba protegida con este sistema. este documento no es mas que una explicación del sistema usado por rainbow sentinel para evitar el uso ilegal del software, incluyendo un ejemplo práctico sobre como atacar las deficiencias de sentinel. este documento es aplicable a rainbow sentinel lm (license manager) v2.0. no estoy muy seguro de que sea aplicable a otras variantes de este producto. sin mas preámbulos demos paso al primer apartado de este manual.

 

 al atake

¿qué es y cómo funciona sentinel lm?

 

rainbow sentinel lm es una pequeña "herramienta" que añade a nuestros programas un completo sistema de protección basado en archivos de licencias, periodos de evaluación y otros mecanismos para evitar un uso indeseado del software a la hora de distribuirlo (como el uso durante largos periodos de tiempo).

este "tutorial" es un conjunto de técnicas para crackear programas con este sistema, doy por sentado que todo aquel que lee esto tiene unos conocimientos medios sobre ingeniería inversa, por lo que advierto que no voy a detenerme a explicar como se pone un breackpoint o que es la encriptación.

las siglas lm quieren decir license manager, que traducido significa administrador de licencias. las licencias no son otra cosa que un archivo o clave que contiene información cifrada; esta información es procesada por un programa o librería encargada de descifrar e interpretar los datos, para determinar si el programa debe o no ejecutarse y con qué privilegios.

el proceso anteriormente citado no es ejecutado por un solo programa, sentinel implica muchísimos archivos en el proceso de ejecución del programa protegido, a continuación vamos a ver una tabla con cada uno de ellos y la función que cumple, para desglosar mas adelante su funcionamiento.

programa.exe  es el programa en cuestión, que durante su inicialización llama a una función dentro caitf32.dll que pone en marcha la protección. según el producto protegido cambia de nombre (el caso que estudiamos es delphi32.exe).
caitf32.dll  librería que exporta la función clientactivatora (entre otras) que recopila información sobre el sistema y lanza la nag mediante el programa activator.exe (este programa se llama siempre igual).
activator.exe recopila información del archivo .rac (bitmaps, iconos, etc...) y muesta la nag.
archivos de licencias se localizan en directorios de sistema o en el propio direcorio del programa. en ocasiones son modificados, creados o eliminados para indicar cierta información sobre el periodo de evaluación.
archivos temporales se crean de forma esporádica y en mi modesta opinión solo sirven para distraer la atención del cracker.
entradas del registro también guardan valiosa información sobre el estado del periodo de evaluación y suelen usar nombre poco comunes para hacer dudar al cracker.

estos son, a grandes rasgos, los diversos módulos de la protección sentinel lm. paso a describir como interactuan estos archivos entre sí y con que finalidad.

flujo de ejecución

empezamos ejecutando el programa y recibimos una bonita nag, frente a la que muchos crackers (me incluyo yo entre ellos) no dudan ni un segundo en atacar con métodos como breackpoints en showwindow y createwindowa. lo cierto es que este método carece de efectividad dado que sentinel lm usa un compleja maraña de programas y librerías para mostrar la simple ventana que vemos, empezemos a desglosar un poco esto...

si desensamblamos delphi32.exe con ida (atencion adeptos del w32dasm, esta sencilla herramienta no nos dará toda la información necesaria, así que olvidaos de w32dasm y comenzad a practicar con ida pro), no encontramos ninguna información referente a este diálogo que aparece, y las importaciones no muestran nada fuera de lo normal (ninguna dll distinta a las típicas: user32, kernel32, etc...) algo es evidente, el código referente al diálogo inicial (llamémoslo nag a partir de ahora) está ubicado fuera del ejecutable delphi32.dll, pero la(s) funcion(es) a las que llaman no están referenciadas en su tabla de importaciones, lo que denota que se cargan en tiempo de ejecución mediante la api de windows.

tenemos un primer punto de ataque, la importación loadlibrarya. ida nos muestra que está referenciada desde seis puntos del código y tras examianarlos minuciosamente encontramos alrededor de uno de ellos una cadena mas que curiosa:

"clientactivatora"

... bien, esto parece estar basado en una api que el programador debe invocar desde su programa para asegurarse el sueldo. y para conocer una api no hay nada mejor que ver su kit de desarrollo. tras descargar el kit de evaluación de rainbow sentinel lm obtenemos la siguiente información:

typedef struct
		_ca_activator_infoa { 
   dword size; 
   dword wndhandle; 
   long spawnandwait; 
   long enabletrybutton; 
   long daysleft; 
   long executionsleft; 
   long minutesleft; 
   long disablelicinstall; 
   char configfile[max_path_len]; 
} ca_activator_infoa, far *pca_activator_infoa; 

los apartados que nos interesan de esta estructura son:

enabletrybutton: activa o desactiva el botón "try"
daysleft: dias restantes del periodo de evaluación
configfile: archivo de configuración que contiene las imágenes y datos referentes a la nag.

la primera conclusión que podemos sacar es que todos los parámetros sobre la nag se almacenan en un archivo de configuración de extensión .rac (d5.rac, en nuestro caso). y también podemos sacar en conclusión que el número de días de evaluación lo decide delphi y no algún archivo de licencias encriptado que tardaríamos años en descifrar. un prueba de esto es la siguiente:

- vuelve al lugar donde encontraste la llamada a loadlibrarya que llama a clientactivatora
- ve a la dirección desde la que es llamado este trozo de código.
- observa que se le pasa un solo valor en eax, que es la dirección de memoria en la que se encuentra la estructura ya completada con los datos pertinentes y lista para usar.
- depura ese código con softice y observa detenidamente la información contenida en la dirección que contiene eax, si te fijas bien, verás el número de dias que le quedan a tu evaluación (en hexadecimal, claro) algunos bytes mas atras del archivo de configuración.
- en mi caso este valor es 3c (60 en decimal, nº de días que le restan a mi periodo de evaluación), pues cámbialo por 80 y deja correr el programa... ...felicidades, puede evaluar este programa durante 128 días! si conseguimos que siempre que delphi carge la información contenida en la estructura sea la correcta nuestra bonita nag nos obsequiará siempre con muchos días de evaluación.

pero tenemos otro escollo, si pulsamos "try" delphi32.exe continua su ejecución y hace mas comprobaciones sobre el estado de las licencias y periodos de evaluación (joder, con lo facil que estaba siendo todo!). aquí llega la parte realmente problemática de la protección: el programa se enfrasca en un enorme bucle en el que se hacen comprobaciones matemáticas sobre un determinado valor y se van configurando variables de forma que el programa llega a la diversas conclusiones sobre la perversidad de su usuario ;)

tras mucho estudiar este bucle, he llegado a la conclusión de que el programa original se va cargando en memoria en sucesivas partes de este bucle, y asignándole así un punto de entrada en tiempo de ejecución. modificar este bucle es posible, pero demasiado costoso en mi opinión, teniendo en cuenta que hay otros trucos que casi pueden denominarse como "genéricos".

modificaciones en el sistema

rainbow sentinel guarda en múltiples localizaciones de nuestro sistema importantes datos sobre el estado del perido de evaluación, que se respaldan unos a otros, de manera que si borramos una clave de registro será inutil dado que hay otra que guarda la misma información y da al programa razones para seguir diciendonos que somos unos bastardos...

solo hay una forma de erradicar esta lacra de nuestro hd, y es usando dos poderosas herramientas: filemon y regmon.

el uso de estas herramientas es muy sencillo, y solo necesitareis unos consejos para arrancar sentinel de raiz de vuestro ordenador:

- las entradas de registro que usa suelen ser muy parecidas a las que usa windows, desconfia de todas ;)
- desconfia especialmente de las que contienen valores numéricos aparentemente inútiles para la ejecución y configuración del programa.
- confirma tus sospechas en el listado de cadenas de ida
- los archivos suelen tener atributos de "oculto" y "readonly", no lo olvides.
- no descartes los archivos dll y comprueba si su cabezera realmente es la de un archivo pe de windows, si no tienen la palabra mz al principio, de librería solo tienen la extensión.
- cualquier archivo que carezca de espacios y su información parezca estar comprimida es altamente sospechoso.

ahora puedes encontrarlos por tu cuenta o ver los resultados obtenidos por mi (estos son los usados por delphi 5, no estoy seguro de que en otros programas sean los mismos...):

entradas de registro:

hklm\software\rainbow technologies\
hklm\software\ntpad
hklm\software\clsystem
hklm\software\description

archivos:

c:\windows\system\0001.tmp
c:\windows\system\sysprs7.dll
c:\windows\system\sysprs7.tgz
c:\windows\system\lsprst7.dll
c:\windows\system\lsprst7.tgz
c:\windows\system\t0000001.tmp
c:\windows\system\clauth1.dll
c:\windows\system\clauth2.dll
c:\windows\system\ssprs.dll
c:\windows\system\ssprs.tgz
c:\archivos de programa\borland\delphi5\bin\0001.tmp
c:\archivos de programa\borland\delphi5\bin\servdat.slm

este es principal punto debil de sentinel, la facilidad con la que se elimina de nuestro sistema y da via libre a un "nuevo" periodo de evaluación.

"infectando"

ahora llega el momento de plantearnos los posible puntos de ataque:

- parchear el programa para que se ejecute aunque el periodo de evaluación haya sido excedido: excesivamente complicado, teniendo en cuenta la complicada arquitectura interna de del programa y el hecho de que las dll´s que acompañan al programa también hacen comprobaciones al inicio de la aplicación y a lo largo de esta (si, efectivamente, para comprobarlo elimina alguna de las llaves del registro mientras delphi está en ejecución y espera durante unos minutos...)

- sustituir activator.exe por otro programa que (evidentemente) no tenga en cuenta los periodos de evaluación y elimine rastros del sistema para dejar el sistema "como a sentinel le gusta": totalemente inútil debido a que delphi mantiene abiertos parte de los archivos referentes al sistema de protección mientras se ejecuta activator, lo que deniega a nuestra aplicación borrarlos, ya que otra aplicación los está usando.

- hacer algunos retoques a caitf32.dll: también es inútil debido a que esta librería cumple mas que nada funciones "de cara al usuario". los procesos realmente complicados los hace (o mas bien los repite) el programa que estemos crackeando.

- revertir la criptografía del sistema de licencias: sin comentarios.

- desviar el entrypoint de delphi32.exe hacia un pequeño recorte que ejecute un programa "asesino" que limpie el sistema de todas las entradas de registro y archivos "molestos"; así como hacer que este recorte espere a la terminación total de nuestro programa asesino para devolver el control al programa original: genial!, una solución sencilla de llevar a cabo y que asegura la ejecución del programa con casi un 95% de efectividad.

veamos que condiciones debe cumplir nuestra aplicación asesina:

- se deben eliminar todas las referencias de delphi5 en el sistema
- debe esperar a que windows finalize las tareas que se le han encomendado, ya que ni una entrada de registro ni un archivo es borrado en el mismo momento en que llamamos a un regdeletekey o deletefile. para estos menesteres serán mas que suficientes unos 3 segundos.

para deleite de los detallistas, vamos a hacer nuestro programa precisamente con delphi 5 (es como hacer el arma con la que vas a suicidarte...) aquí se encuentra el código:

var
reg : tregistry;
sysp : pchar;
delp : string;
counter : byte;

begin

form1.show;
application.processmessages;

//borrar entradas del registro
reg := tregistry.create;
reg.rootkey := hkey_local_machine;
reg.deletekey('software\rainbow technologies');
reg.deletekey('software\ntpad');
reg.deletekey('software\clsystem');
reg.deletekey('software\description');
reg.closekey;
reg.free;

//eliminar archivos de \system
getsystemdirectory(sysp, 100);
deletefile(sysp + '\' + '0001.tmp');
deletefile(sysp + '\' + 'sysprs7.dll');
deletefile(sysp + '\' + 'sysprs7.tgz');
deletefile(sysp + '\' + 'lsprst7.dll');
deletefile(sysp + '\' + 'lsprst7.tgz');
deletefile(sysp + '\' + 't0000001.tmp');
deletefile(sysp + '\' + 'clauth1.dll');
deletefile(sysp + '\' + 'clauth2.dll');
deletefile(sysp + '\' + 'ssprs.dll');
deletefile(sysp + '\' + 'ssprs.tgz');

//eliminar archivos de la carpeta de delphi32.exe
delp := extractfilepath(application.exename);
deletefile(delp + '0001.tmp');
deletefile(delp + 'servdat.slm');

//esperar 3 segundos hasta que se borren todos los archivos y entradas
counter := 1;
while counter <= 6 do
begin
 sleep(500);
 inc(counter);
 progressbar1.stepby(1);
end;

end;

		

el código es tremendamente sencillo. sólo se necesita insertarlo en el evento formcreate de una ventana y añadir a esta un control progressbar.

ahora llega la parte mas engorrosa de todo este tinglado, el hacer que nuestro programa se ejecute al iniciar delphi32.exe, que este último espere a la terminación del primero, y que prosiga su ejecución. esto lo vamos a hacer con un recorte de código que sigue el siguiente esquema:

- el programa asesino se inicia y eliminia archivos y entradas del regsitro.
- espera durante 3'5 segundos a que nuestro programa se inicialize y termine sus tareas
- finaliza la ejecución de nuestro programa, se liberan recursos y se devuelve el código a delphi32.exe

el procedimiento para hacer este recorte se ve dificultado por un factor adicional: las dos funciones de la api que necesitamos, shell32:shellexecutea (para ejecutar la aplicación asesina) y kernel:sleep (para "dormir" el programa durante 3'5 segundos) no se encuentran en la tabla de importaciones de delphi32.exe.

para remediar este problema usaremos un programa llamado iidking, que permite añadir a un programa varias funciones de una sola dll. también permite añadir a la sección creada espacio adicional para nuestro recorte de código. sin mas miramientos, añadimos la función shell32:shellexecutea y unos 0x300 bytes para nuestro recorte.

ahora vamos a ver el código que debemos añadir a la sección creada por iidking (que adopta precisamente el nombre de este programa):

.004f9160: 6a00         push 000 
.004f9162: 6a00         push 000 
.004f9164: 6a00         push 000 
.004f9166: 6800914f00   push 0004f9100 <- nombre del programa asesino (crack.exe)
.004f916b: 680a914f00   push 0004f910a <- nombre de la acción a realizar (open) 
.004f9170: 6a00         push 000 
.004f9172: ff15a8904f00 call d,[0004f90a8] <- llamada a shellexecutea 
.004f9178: 680f914f00   push 0004f910f <- nombre de la librería kernel32.dll
.004f917d: ff1590144900 call d,[000491490] <- llamada a getmodulehandlea
.004f9183: 681c914f00   push 0004f911c <- nombre de la función (sleep)
.004f9188: 50           push eax <- handle del módulo kernel32.dll
.004f9189: ff1594144900 call d,[000491494] <- llamada a getprocaddress
.004f918f: 68ac0d0000   push 000000dac <- número de milisegundos a esperar 
.004f9194: ffd0         call eax <- llamada a kernel:sleep()
.004f9196: 68802a4900   push 000492a80 <- punto de entrada original de delphi
.004f919b: c3           retn
		 

notas sobre el recorte:

- sé que esta manera de llevar a cabo este procedimiento se puede hacer de formas mas rápidas y fáciles, pero creedme, esta es de las pocas que funcionan. snippet creator permite añadir varias importaciones al ejecutable y así quitarse de encima el engorro de llamar a getmodulehandle y getprocaddress, pero sentinel no acepta un modificación tan brutal del programa y muestra un error a la hora de iniciar la verdadera aplicación.

- no debes olvidar introducir antes que este código las cadenas necesarias separadas entre ellas por un byte 00, para luego referenciarlas desde los lugares oportunos del código; estas cadenas son:

crack.exe, open, kernel32.dll, sleep

- es evidente que para que este recote se ejecute hay que desviar el entrypoint del programa hacia la primera instrucción de este recorte. el editor pe de procdump es idóneo para esta tarea, teniendo en cuenta que

entrypoint = rva del snippet - imagebase.

- las direcciones usadas para llamar a getmodulehandle y getprocaddress se pueden encontrar desensamblando el programa con w32dasm y buscando una llamada cualquiera a estas dos funciones.

- las llamadas a la api usadas son muy sencillas y no merecen explicación, recomiendo usar la ayuda de la api de win32 que encontrarás en cualquier compilador de microsoft.

eliminando la nag

pienso que si has entendido el tutorial hasta aquí este apartado no es necesario. de todas formas resumo una forma rápida y cómoda de hacerlo.

0.- desensambla caitf32.dll
1.- busca dentro del listado de nombres del ida pro la función j_createprocessa.
2.- haz doble click y ve a la dirección en la que se llama a esta función.
3.- retorcede hasta el principio de la subrutina que tienes ante tus ojos y salta a la dirección desde la que es llamada
4.- modifica el call de esa dirección por un mov eax, 00002716

ahora en vez de llamar a la subrutina que muestra la nag pondrá en eax el valor que devolvería este si pulsásemos el boton try y proseguirá sin estorbar mas con ninguna nag. (el valor 2716 ha sido sacado de la documentación incluida con el kit de evaluación de sentinel).

anotaciones finales

otro aspecto de este sistema, es que contiene también en su número de licencia encriptado la fecha límite de ejecución de esta trial, eso quiere decir que no se puede ejecutar después de junio del 2002. sobre este tema tengo tres cosas que decir:

1.- estas licencias suelen tener largos periodos de evaluación, para garantizar que todos los usuarios tengan el producto a su disposición antes de que aparezca otra versión, por lo que antes de que esta versión deje de ser operativa borland tendrá ya un delphi 6 o algo así en el mercado.
2.- lo cierto es que no tengo muy claro que será de mi vida dentro de 2 años, y tengo cosas mas importantes de las que preocuparme que asegurarme un entorno de desarrollo visual para mi futuro ;).
3.- no he conseguido evitar esta "protección", aunque tampoco lo ha intentado demasiado :p pienso que no debe ser muy difícil, pero debido al enorme bucle en el que se enfrasca delphi32.exe, debe ser como mínimo "complicadillo".

bueno, pues hasta aquí llega mi primer tutorial sobre un sistema de protección comercial. he leido otros tutoriales sobre rainbow sentinel lm, pero todos se enfocaban a métodos que no daban ningun tipo de seguridad frente a posibles contratiempos o que simplemente no explicaban como ni por qué se realizaban ciertas operaciones. también he encontrado algunos que garantizan la ejecución ilimitada en la máquina del que lo crackea, pero fuera de esta el crack es totalmente inútil. yo tengo la seguridad de que el lector de este manual será capaz de crackear de manera segura y estable cualquier programa "acorazado" con sentinel lm 2.0.

sin mas comentarios me despido del lector y agradezco el tiempo invertido en leer mi manual. como es normal en mis tutoriales, admito cualquier crítica mediante la dirección habitual.

página oficial del grupo k-for: http://pagina.de/kfor
mi dirección de e-mail: viper167@telepolis.com

 

karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y programacion. email "colabora con tus proyectos"
www.000webhost.com