• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Asegúr@IT III - Técnicas de protección de Software y Cracking
 

Asegúr@IT III - Técnicas de protección de Software y Cracking

on

  • 6,440 views

La disciplina de cracking software tiene mucho que ver con la protección de software. En esta sesión Mike Gastesi, de S21Sec, cuenta cuales son algunas de las técnicas utilizadas para la ...

La disciplina de cracking software tiene mucho que ver con la protección de software. En esta sesión Mike Gastesi, de S21Sec, cuenta cuales son algunas de las técnicas utilizadas para la decompilación y crackeo de software y al final dará algunas recomendaciones para proteger el software contra este tipo de técnicas.

Statistics

Views

Total Views
6,440
Views on SlideShare
3,908
Embed Views
2,532

Actions

Likes
3
Downloads
0
Comments
0

18 Embeds 2,532

http://amperis.blogspot.com 925
http://www.elladodelmal.com 906
http://elladodelmal.blogspot.com 303
http://futurotecnicoinformatico.blogspot.com 108
http://www.dragonjar.org 104
http://amperis.blogspot.com.es 61
http://amperis.blogspot.mx 57
http://futurotecnicoinformatico.blogspot.com.es 27
http://amperis.blogspot.com.ar 14
http://futurotecnicoinformatico.blogspot.mx 8
http://static.slideshare.net 6
http://www.slideshare.net 5
http://futurotecnicoinformatico.blogspot.com.ar 3
http://translate.googleusercontent.com 1
http://amperis.blogspot.ae 1
http://amperis.blogspot.co.at 1
http://www.google.com.mx 1
http://amperis.blogspot.ru 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Asegúr@IT III - Técnicas de protección de Software y Cracking Asegúr@IT III - Técnicas de protección de Software y Cracking Presentation Transcript

    • *[Cracking & protección de software]
        • Mikel Gastesi
        • Asegúr@IT III
        • 25/09/2008 Bilbao
    • AGENDA
      • Introducción
      • Evolución de la protección de software
      • Herramientas - ¿Qué tenemos?
      • Distintos análisis
      • Problemas durante el análisis
      • Packing / Unpacking
      • Algunos consejos
      Pág.
    • INTRODUCCIÓN
      • ¿Qué es? ¿Qué no es?
      • ¿Por qué es importante?
        • Entender el software
        • Analizar malware
        • Mejorar las protecciones
      • Al lío...
      Pág.
    • EVOLUCIÓN DE LA PROTECCIÓN DE SOFTWARE
      • El programador pone un obstáculo
      • Alguien se lo salta
      • El programador pone otro obstáculo
      • Alguien se lo salta
      • El programador pone otro obstáculo
      • Alguien se lo salta
      • ...
      Pág.
    • ¿POR QUÉ TENEMOS QUE PENSAR? Pág.
    • HERRAMIENTAS - ¿QUÉ TENEMOS?
      • Ojos
      • Cerebro
      • Paciencia
      • Identificador de packers
        • Rdgsoft packer detector, PeId
      • Depurador
        • OllyDbg + plug-ins + Scripts
      • Desensamblador
        • IDA + hex rays
      • Monitors
        • Filemon, Regmon, Kam --> Análisis en vivo (Honkey Donkey)‏
      • Desde lenguajes de alto nivel
        • Pefile, pydbg...
      • Varios
        • ImpRec, Lord PE, Resource Hacker, decompiladores ...
      Pág.
    • ANÁLISIS
      • Dos opciones:
        • Análisis estático
          • PRO:
            • Análisis completo más factible
            • Evitamos detección
            • Pseudo C
          • CONTRA:
            • Más lento/tedioso
        • Análisis dinámico
          • PRO:
            • Controlamos la ejecución del programa y detenemos la ejecución donde nos convenga.
            • Vemos los datos “reales” en memoria
          • CONTRA:
            • Infección, caducidad
      Pág.
    • ANÁLISIS DINÁMICO
      • Dos opciones:
        • Ring0 (SoftICE, Syser, WinDbg)‏
          • Tenemos más poder
            • Análisis de drivers
            • Malware
            • Packers ring0
        • Ring3 (OllyDbg)‏
          • Espacio de usuario
            • Herramientas más amigables
            • Lo que no necesite de depurador ring0
      Pág.
    • PROBLEMAS DURANTE EL ANÁLISIS
      • Cifrado de los strings/datos
      • Las APIs se cargan con técnicas víricas
      • Los BreakPoint son detectados
      • Los Hardware Breakpoint son detectados/borrados
      • Los Memory Breakpoint son borrados
      • Técnicas anti-debug:
        • IsDebuggerPresent
        • Nombre del proceso padre
        • ...
      • Legibilidad del código
        • Lenguaje de programación
        • Optimizaciones
        • Ofuscación
      Pág.
    • MÁS PROBLEMAS
      • TLS
        • Creado para inicialización de valores de hilos...
        • Se ejecuta antes que el EP
        • ¿ Cargado en OllyDbg = ejecutado ?
          • System breakpoint
      • Programas multithread
        • El programa se ramifica y ejecuta “en paralelo”
          • Detener la ejecución al crear cada hilo
            • CreateThreadA
            • Iniciarlo como suspended
      • Programas multiproceso
        • El proceso crea otros procesos
          • Detener la ejecución al crear el proceso.
            • CreateProcess
            • EBFE + attach
      Pág.
    • PACKING / UNPACKING
      • ¿Cómo funcionan?
        • Se modifica el punto de entrada
        • Se cifra la sección de código
        • La rutina inicial descifra el código y lo pone en memoria.
        • Algunos cifran el fichero completo.
      • ¿Como atacar?
        • Detener la ejecución cuando lo pone en memoria (OEP)‏
        • Volcar el proceso al disco duro
        • Reconstruir datos destrozados
          • IAT
          • Stolen Bytes
      Pág.
    • ALGUNOS CONSEJOS
      • Pensar en cómo va a ser atacada.
      • Tener cuidado al plasmar la idea de la comprobación.
      • No dar información innecesaria.
      • Separar la comprobación y la reacción a ella.
      • No insertar funcionalidad que no sea necesaria (demos)‏
      • Si se solicita contraseña, no solo comprobarla, además utilizarla
      • Atacar al reverser, no a sus aplicaciones
        • Protección lógicamente compleja
        • Multiproceso y multihilo puede ser muy doloroso
      Pág.
    • *[ Muchas gracias ] [email_address] T.902 222 521