دروس كسر البرامج Cracking

Admin عدد المساهمات : 3267 تاريخ التسجيل : 17/11/2007

شرح دروس "الكــــــــــــــسر"؛CRACKING للبرامج المحمية بكلمات السر والتي تطلب الرقم التسلسلي أو المفتاح. وبإختصار فعلم الكسر هو عملية قراءة متأنية للبرنامج بصيغته الآلية الأصلية ،وتعديله حتى نتمكن من استعماله . دروس كسر البرامج Cracking Bigeyes

الطريقة سوف تكون بالمرحلية والتدرج من السهل إلى الصعب نوعا ما.
أود أن أذكركم أن كسر البرامج ليس ممنوعا في حد ذاته، وإنما كسر برامج مسوقة ومحمية بقوانين وضعية هو الممنوع، لأن ذلك ينقص من أرباح أصحابها.....

مدخـــــــــل ل عـــــــــــــــــام:

الأدواة اللازمة:

لكي تكسر البرامج لا بد لك من برامج خاصة، و هذه قائمة لنوعية البرامج بإختلاف خواصها وأهميتها وكذلك فاعليتها:

0) عقل نيَـــــــــر:.......

1)المفكـــــك" أو ما يسمى بالأعجميات "désassembleur; desassembly":
وتعريفه، أنه يمكن من كشف الـإشارة أو الكودcode الأصلي للبرنامج بلغة الـassembleur;assembly ،وبذلك نتعرف على كيفية عمل البرنامج ، وما يجب كسره،وفي أي مكان يجب الكسر والتغيير، حتى يشتغل بدون حاجز.
وهذا لعمري وسيلة لابد منها.من هذه البرامج نجد مثلا:
"Windasm,IDA,... "

2)المنفد أو بالأعجمية débuggeur;debogger::ويمكن من تحليل البرنامج عند تنفيذه وتشغيله، والإطلاع على قيمة المسجلات
registres;registries ،والعمليات التي يقوم بها البرنامج. وهو ما قد نحتاجه للحصول على الرقم التسلسلي مثلا.من هذه البرامج نجد مثلا:
"Ollydbg, Softice,...".

3)مخرج (كاتب) في النظام السداسي،و عجمته؛ ُ"Editeur Hexadécimal; Hexadecimal Editor":
ويقوم بإظهار محتوى البرنامج في النظام السداسي و نضام الـ آ س ك ي؛ ASCII .ويستعمل لإحداث تغيير في لغة البرنامج لكسره.من أمثلة ذلك نجد:
HexDecCharEditor, Hex WorkShop, WinHex, Hiew, ....

4) محلل؛ Analyseur;Analyser:
يمكن من معرفة اللغة الأصلية التي كتب بها البرنامج لأول مرة،والتي عن طريقها تم ضغطه compression ،وكذلك ترميزه crypté;crypted .
مثال:
StudPe, Peid,...

5)المشــــــفر Patcheur;Patcher:
يقوم بمقارنة الملف الأصل والمنكسر ،ومن تم ينجز الشفرة Patch.
مثال:
Graphical-PatchMaker, CodeFusion, WinPatchEngine.

6) الـــممدد Unpackeur;Unpacker:
وظيفته بفك الضغط أو الترميز آليا. وكل نوع من الضغط يتطلب ممدد أو مفكك معين.
مثال:
UPX, AsPackDie.

Admin عدد المساهمات : 3267 تاريخ التسجيل : 17/11/2007

الدرس الثاني "2": مدخـــل للكسر وأدواته
لكي نبدئ ، يجب معرفة ما معنى الكاسر "الكراك؛ crack "؟؟ .بإختصار، الكسر هو تغيير بعض القيم
]Octets المنطقية أو التعليمات في برنامج ما نسميه " البرنامج الأصلي" لكي يتسنى لنا استغلاله كما نريد، كأن نشغل قرص مجانا أو نشغل برنامج من دون الرقم التسلسلي Serial number
ماذا يتطلب الكسر من أدوات عملية:؟

1- برنامج للتفكيك (مهم)كـــ WinDasm9 ؛وهو آخر إصدار ------->حمل من هنا

http://www.megaupload.com/?d=40526B1N

2- مخرج في النظام السداسي (مهم) كـــ Hexadecimal editor ------->حمل من هنا:

http://www.megaupload.com/?d=407GJM69

3- مشفر أو" باتشور" Patcher ;Patcheur ، إذا أردت توزيع كواسرك للأصدقاء.
4-عقل نير وذكي بعض الشيئ،.... (مهم). دروس كسر البرامج Cracking Biggrin

5- الصبر والتأني(مهم). دروس كسر البرامج Cracking Biggrin

كيفية استعمال الأدوات الرئيسة "1 و 2"
أ) WinDasm :في البداية سوف نتطرق لنمط التفكيك فقط Desassembling mode
تستعمل هذه الأداة المهــــتمة جدا للكشف عن تعليمات الملفات ذات الصيغ: *.exe , *.dll
والآن قم بفتح ملف يحمل إحدى الصيغتان المذكورتان، ولاحظ....سوف ترى نصا محررا بلغة الحاسب الأصلية تسمى لغة الأسمبلور ويرمز لما هكذا ASM،...

تنبيه: WinDasm يرفض فتح الملفات الموجودة في مكان معقد أو بعيد،....لذلك إذا حدث وأن رفض فتح ملف فحاول تقريبه إلى مكان أقرب من الـــقرص "س" C:\
وهذه صورة واجهة البرنامج بعد تحميله وتشغيله:

دروس كسر البرامج Cracking Image1_wasm

ولنعرض وظيفة كل زر في القائمة الرئيسية:

دروس كسر البرامج Cracking Image1aa_wasm

1° يفتح ملف للتفكيك
2° يحفظ صفحات البرنامج المفكك ، مما يساعد على اعادة فتحه بسرعة اكبر،لذلك استعمل تعليمة
"Project" à"Open Project File...".
3° للبحث عن جمل أو كلمات
4° يمكننا من نسخ " Copy" سطر، ولكن يجب الضغط على يسار السطروالحصول على نقطة حمراء اللون ؛ استعملوا الزر MAJ لتحديد عدة سطور مرة واحدة.
5° اذهب مباشرة الى نقطة بداية الترميز "الكود"؛هناك قبل البداية معلومات لا نحتاجها،....
7° اذهب إلىلصفحة معينة؛ رقم الصفحة يمكن رؤيته في أسفل نافذة البرنامج يسارا
8°إذهب إلى الــ offset التي تريد
9° يقفز بنا إلى المكان المحدد بتعليمة jmp.
10° يسمح لنا بالعودة والرجوع بعد إنجاز القفز المبين في التعليمة رقم 9،
11° يسمح لنا بالدخول في تعليمة المنادات أو الإستدعاء " CALL
°12 يسمح لنا بالخروج من تعليمة الإستدعاء السابقة
13° يبحث ويعرض قائمة الـ APIs للملف المفكك؛وهي عبارة عن دوال تطبيقية تساعدنا على فهم البرنامج.
14° يعرض ويبحث عن الوظائف المرسلة Exported functions
15يمكننا من رؤية معطيات الملف المفكك في صيغة الـنظام السداسي أو الأسكي hexa & ascii
16° يسمح برؤية معطيات مقطع الـ File code منشورة
17° يمكننا من الحصول على عناصر القوائم؛ مثل ( "copier", "coller", "nouveau"...).
18° يمكننا من العثورعلى محادثات ومخاطبات البرنامج.
19° هذا الزر مهم جدا؛ ويسمح عن طريقه برؤية مراجع المعلومات الحرفية أو ما عجمته؛
Strings Data References
وهو ما يعني إظهار نصوص نوافد المخاطبات للبرنامج او الملف المفكك، مثل:
Ivalid code, error registation,…
20° لطباعة الصفحات؛مما يساعد على دراسة البرامج بكثير من الدقة والإطمئنان...

ب)HexDecCarEditorh

هو أداة تمكننا من تغيير قيم المعطيات لأي برامج أو ملف. إذا فبرنامج الـوينداسم WinDasm
يسمح بحديد مكان المعطيات التي يجب تغييرها لكسر البرنامج، وأما HexDecCharEditorفهو لتنفيذ التغيير المراد.
وهذه صورة البرنامج ندفتحه
دروس كسر البرامج Cracking Hex1

قم بفتح برنامج معين (واحرص على أن تنسخه قبل تغيير أي شيئ....)، وسوف يظهر لك هكذا

دروس كسر البرامج Cracking Hex2

الجهة اليمنى يظهر لنا المعلومات بصيغة النص واليسرى تظهر ما يكافئ ذلك بلغة الآلة ؛نظام سداسي او ثنائي،...[

قم بالضغط على الزر ابحث و عوض، و سيظهر لك هكذا

دروس كسر البرامج Cracking Hex3

وهو ما يمكننا من البحث على قيمة أي خانة ثم تعويضها كما نريد....وهذا هو المراد من هذا الدرس

Admin عدد المساهمات : 3267 تاريخ التسجيل : 17/11/2007

الدرس الثالت "3": الـكسر بطريقة "النشر الــميت"
مقدمة: في هذا الدرس سوف نتعلم طريقة الكسر بـ"النشر الــميت؛ أو الساكن "، ومعناه تفحص البرنامج وهو في حالة عدم إشتغال (ساكن؛ميت)، فيكون كالميت بين يدي غاسله (بين يدي كـــاسره..). ذلك يكون بإستعمال أحد برامج التفكيك، وهو عندنا "Win32dasm9 " .

الأدواة المستعملة: المفكك Win32Dasm9 ، و HexDecCharEditor .
البرنامج الضحية: CrackMe1.exe ، و ِِحجمه: Ko 8 . حـــمــل من هنا:
http://www.megaupload.com/?d=30U88ELS
درجة الصعوبة: سهل جدا !!.
الخطوات:
1) نقوم بفتح البرنامج الضحية CrackMe1.exe لنرى كيف يعمل وما يحدثنا به (لن أعلمكم كيف تفتحون برنامج وتنفيده، أليس كذلك ؛ حسنا...؛.إذا اضغط على نافذة البرنامج مرة أو مرتين...). أول نافذة للبرنامج الضحية موضحة في الصورة التالية:

وهي تخبرنا أن بالبرنامج حماية يجب البحث عنها وكسرها لإظهار رسالة تهنئة، وإلا....فالتوبيخ من نصيبنا...
عندما نضغط في النافذة الأولى على الزر " ok " تظهر لنا النافذة التالية:

دروس كسر البرامج Cracking Crackm1_messg2

دروس كسر البرامج Cracking Crackm1_messg2

[size=12]وهي طبعا للتوبيخ لأننا لم نستطع كسره....إستفزاز...أيها القراصنــــة...وا عجباه .

2) نشغل مفككنا Win32Dasm9 ، ثم نفتح البرنامج الضحية داخله؛ وذلك بالضغط على زر
Open File to Desassemble ، الممثل في القائمة الرئيسة هكذا: دروس كسر البرامج Cracking Buton1

( انصحكم دائما بجعل الملف المراد فتحه في المفكك في مكان قــــــريب من القرص الصلب c:\ .).

ربما تتسائل: ما هذه الأرقام والرموز؟؟... ،في الحقيقة إنه هيكل البرنامج الضحية مكتوب بلغة الآلة ، أو لغة الأسونبلر Assemler ، و استعرابه هو "التركيب" (اللغة الأم التي يفهمها الحاسب و يعمل بها؛ وإن شئت فسمها اللغة التركيبية للحاسب....)، فكل ما يتلقاه الحاسب من أوامر و برمجيات يفهمها بلغته الأم هذه، وفي الحقيقة هي لغة سهلة وميسرة كلغة الأطفال... .

أول شيئ نفعله هو حفظ هذا المشروع ، وذلك بالضغط على الزر رقم 2 "Save disassembly textfile" في القائمة الرئيسة لـــWin32Dasm .
نقوم الآن بالضغط على الزر Goto Code Start وهو الخانة رقم 5 دروس كسر البرامج Cracking Buton5

(كما بيناه في الدرس السابق) ، وذلك بغرض الذهاب مباشرة إلى نقطة الدخول الرئيسة للبرنامج.

***الآن نبدأ العمل و التفحص:
أول ما يجب التفكير به هو المحادثات التي كلمنا بها البرنامج الضحية في النافذتين أعلاه ، ....ما رأيكم بالبحث على كلماته التي هي أوامر تعطى له لتنفيدها؟؟....حسنا..... نضغط على زر مفتاح مهم جدا في القائمة الرئيسة لـ win32Dasm_9 وهو الزر رقم 19 دروس كسر البرامج Cracking Buton19

( String Data References ؛ ) ، تظهر لنا هذه النافذة؛ كما في الصورة:

[/size]

[size=12]أمعن النظر. أليس هذه عبارات من الجمل الموجودة في نافذتي البرنامج الضحية؟؟؟..نعم إنها كذلك. فهذا الزر الأخير يمكننا إذا من إظهار حوارات البرنامج؛ وهو شيئ مهم إن أردنا معرفة كيف يعمل البرنامج و كيف ينتقل من حال إلى حال،.....

نقوم بالضغط مرات متتالية ومراقبة إنفعالات البرنامج داخل شاشة الـــ Win32Dasm_9 ، سوف تلاحظ -إن كنت صاحب نظر كما بالصورة الأتية:

فمجرد الضغط على جملة من الجمل يذهب بك إلى سطر معين. فكأنك ألقيت القبض على متهم لتحقق معه، وبعد إستجوابه يبدئ بالبوح فورا بدون تهديد أو تخويف ، ...إنه بالفعل برنامج بليد وخائن، بل إنه ضعيف جدا ....وهذا راجع لمهاراتك وطرق إستجوابك...

هنا المؤشر عين لنا السطر باللون الأزرق الفاتح ؛الرقم يسارا هو ما نسميه رقم الرسالة (الذي أعطاه لك المتهم الذي استجوبته..) Addres ، ومحتوى الرسالة هو"أمر بالتنفيد" push 004021c8 ؛(معناه: حرك أو ضع ما في الرسالة 004021c8)، يا سلام كل شيئ بالترميز....المهم push كلمة انجليزية كما تعلمون ومعناه إدفع وأنا إخترت ألا أترجم حرفيا ، ولكن أترجم بالمفهوم في كلام العرب (فأرجو أن يكون إستعرابي للكلمة واضحا.... ).
ربما يكون البعض بدئ فهم الحكاية؟... نغلق نافذة String Data References ،و ننتقل نحو الأعلى من هذا السطر ، سوف تلاحظ جمل الإخفاق والشتائم التي يظهرها البرنامج الضحية، نصعد قليلا إلى هذا المكان:

[/size] دروس كسر البرامج Cracking Windasm_3

وهنا بيت القصيد: فالرسالة تقول أن هنا: " مرجع بـــــــــقــفــز (مشروط) أو (غير مشروط) إلى العنوان 00401016(U)؛وهذا هو الترميز "كود" في النظام السداي " Hexadecimal" .
و ما دام الأمر هو قفز ، فهيا بنا نقفز وبسرعة إلى العنوان المسمى، لأجل ذلك نقوم بالضغط على الزر رقم 8 للمفكك ( Goto Code Location ) ، ندخل بالكتابة رقم عنوان الرسالة المراد الوصول إليها -كما بالصورة-، ثم نأكد بـok .

دروس كسر البرامج Cracking Windasm_4

[size=12]نصل إلى السطر 00401016 - لاحظ أنه يتلون بالأخضر - . الرسالة تأكد لنا أن الأمر "أمر بالقفز: jmp" إلى رقم العنوان 00401032 . إذا كان السطر شريطا أخضر فلاحظ أن الزر رقم 9 يشتغل ويجهز بالزرق، إذا لم يكن كذلك فقم بتحديد السطر الموجد به تعليمة القفز بالضغط عليه مرتين. ثم انقر الزر رقم 9 " ُExecute Jump" لنقوم بعملية القفز والوصول إلى السطر الذي وجهنا إليه؛ لو أردنا استدراك و رجوع الى سطر تعليمة الـــ jmp فيكفي الضغط على الزر رقم 10 "Return From Last Jump". والآن لاحظ أين وصلنا .... إنه السطر الذي قبل جملتي الإخفاق:
" !!Fatal Error " ، و " Ahhh! You can't...". أتمنى أن يكون بصيص من الضوء بدأ يتضح لديكم...
اضغط على الزر رقم 10 "Return From Last Jump" للعودة مرة ثانية إلى مكان القفز. ثم لاحظ أسفل السطر...

[/size] دروس كسر البرامج Cracking Windasm_5

[size=12]الأمر قد إتضح، وملخصه: أن البرنامج الضحية حين تنفيده يخبرك في النافدة الأولى بدوره، وبعد ذلك بمجرد أن تضغط على الزر ok ينتقل إلى إعطائك رسالة الإخفاق مباشرة. وهذا يكون عن طريق أمر بالقفز مباشرة إلى السطر 00401032 ، دون أن يمر برسالة التهنئة الموضحة في الدائرة المؤشر عليها بالسهم -الصورة أعلاه...
فما العمل إذا لتجنب رسائل الإخفاق هذه؟؟؟....
حسنــا... ، الجواب هو إزالة القــــــــفزة (لكي نمر برسالة التهنئة دون رسائل الإخفاق)، لأجل ذلك يكفي أن نغير ونكسر تعليمة jmp تعليمة أخرى -شرط أن تكون ضمن لغة الحاسب الأم التي يفهمها- ، ولتكن تعليمة "لا تقم بأي عملية؛ nop =no operation" أو غيرهــــا ،....لكن تكفينا هذه لحد الساعة . وإن شاء الله سوف أعلمكم التعليمات الممكنة و شيئ من لغة الحاسوب التركيبية اللازم معرفتها...."فمن عرف لغة قوم أمن شرهم..."، ونحن نتعلمها لنأمن كسرهم . كيف ذلك؟... لاحظ معي سطر القفزة:
إن رقم العنوان هو 00401016 ، والأمر المنفذ هو jmp، لكن قيمة هذا الرقم الحـــــقــيقـــة عند الحاسب هي EB " في النظام السداسي" وهي إذا تمثل jmp. فعندما تقول للحاسب " jmp "فيحسبهـــــاعنده بقيمة EB . كما أن EB هي من الـــــقـــفـزات الــقـــصيرة . وهذا ما يجب تبديله في النظام السداسي.
وأما الرقم 1A بالجانب فيمثل عدد الـوحدات" octets" المقفوزة (دائما في النظام السداسي) وهو رقم بعددين . [/size]

Admin عدد المساهمات : 3267 تاريخ التسجيل : 17/11/2007

) لتغيير jmp = EB إلى 90= nop نستعمل المخرج في النظام السداسي وليكن مثلا " HexDecCharEditor " الذي حملتموه سابقا. قم بفتح البرنامج الضحية واحفظه بإسم مغاير (مثلا Crackme11.exe ) ولا تنسى الإمتداد (*.exe)، سوف تمثل أمامك الصورة التالية:

دروس كسر البرامج Cracking Hexaedit1

للبحث عن A1 EB ، أنصحكم أن تأخذوا أرقام ما قبله وما بعده وذلك لإحتمال وجود العديد من مواضيعه المتكررة ‘ أي83F807EB1A6A40 ،لذلك اتبع الخطوات الموضحة في الصورة ثم أكد بالإيجاب :

اضغط على الزر المبين (للتعويض)، ثم عوض كما هو مبين (انتبه ؛احذف ما قبل EB1A وما بعده ):

دروس كسر البرامج Cracking Hexedit3

عندما تأكد بالخطوة 3 كما في الصورة أعلاه، النتيجة تظهر هكذا:
دروس كسر البرامج Cracking Hexedit4

سوف تتغير قيمة EB1A كما هو مطلوب إلى 9090 ، هكذا:
قم بحفظ الملف (بإسم مخالف للأصل ؛حتى لا يضيع لك البرنامج الضحية) ثم اغلق HexDecCharEditor .

الآن قم بتنفيذ وتشغيل البرنامج الذي قمت بتغييره ( Crackme11.exe) ، سوف تظهر لك في النهاية نافدة النجاح ، هكذا:

دروس كسر البرامج Cracking Hexedit5

مــــــبــــــــــروك لقـــد نـــــجحت في كـــــسر البرنامج الضحي