21:00 >yuushi_q< では、時間が来ましたので始めますか。
21:00 <IPUSIRON> 宜しくお願いします
21:00 <minke> よろしくです。
21:00 <FCSAY> よろしくお願いします
21:02 <test__> よろしくおねがいします
21:02 >yuushi_q< 本日必要なソフトはOllyDbgとeagle0wlさんのcrackmeです。皆さんありますか？
21:03 <Pude2k> はい
21:03 <minke> 大丈夫です。
21:04 <FCSAY> OKです
21:05 <IPUSIRON> 今DLしてきました。OKです
21:05 >yuushi_q< 今回はeagle0wlさんのcrackme #02aを使います。
21:06 *** defolos_ has joined channel #rce
21:06 <defolos_> 縺薙ｓ縺ｰ繧薙・
21:06 *** New Mode for #rce by Pude2k: +o defolos_
21:06 <Pude2k> こんばんは
21:06 <FCSAY> こんばんわ
21:06 >yuushi_q< こんばんわ
21:07 <minke> こんばんは
21:08 *** defolos has joined channel #rce
21:08 <defolos> こんばんはー
21:08 *** defolos_ has left channel #rce (縺輔ｈ縺・↑繧・
21:09 *** New Mode for #rce by FCSAY: +o defolos
21:11 >yuushi_q< まずは、crackme02a.exeを普通に起動しましょう。
21:12 >yuushi_q< 適当にいじって前回との違いを探してください。
21:13 *** defolos has left IRC("さようなら")
21:13 >yuushi_q< 見た目は色が違うだけで、動作の違いは見受けられませんね。
21:14 >yuushi_q< では、一回プログラムを終了させて、前回と同様の手順で解析していきましょう。
21:14 *** defolos has joined channel #rce
21:14 *** New Mode for #rce by Pude2k: +o defolos
21:15 >yuushi_q< まず、「crackme02a.exe」をOllyDbgで開きます。
21:15 >yuushi_q< 皆さんここまでＯＫですか？
21:16 <defolos> はい
21:16 <Pude2k> はい
21:16 <test__> はい
21:16 <IPUSIRON> 開いたところまでOKです
21:16 <FCSAY> 大丈夫です
21:16 <minke> OKです
21:17 >yuushi_q< 画面左上の逆アセンブルリストの上で右クリックして「検索→ラベル一覧」を選択して下さい。
21:17 >yuushi_q< すると、ラベルネーム（命令リスト）が表示されるので、その中からGetWindowTextAを選択して下さい。
21:17 >yuushi_q< 次にGetWindowTextA上で右クリック「全ての参照をブレークポイントにセット」を選択して下さい。
21:17 >yuushi_q< すると、GetWindowTextA にブレークポイントがセットされるはずです。
21:17 >yuushi_q< ブレ−クポイントがセットされたところのアドレスラベルは赤くなります。
21:17 >yuushi_q< F9を押して、プログラムを実行してみましょう。
21:18 >yuushi_q< ウインドウがでましたか？
21:18 <IPUSIRON> 出ました
21:19 <minke> はい
21:19 <Pude2k> はい
21:19 <FCSAY> 出ました
21:21 >yuushi_q< defolosさん、test__さん大丈夫ですか？
21:21 <defolos> あ、今回私は無視して進めてくださいませ
21:22 <defolos> Windows環境でないので、今回は聴講だけにいたします
21:22 <test__> はい
21:25 >yuushi_q< >>defolosさん　http://security2600.sakura.ne.jp/up/img/795.txtを見てください。
21:25 >yuushi_q< 今回の逆アセンブリリストです。
21:25 <defolos> ありがとうございます
21:26 >yuushi_q< では、続けます。
21:26 >yuushi_q< crackme#02a ウィンドウ上のパス入力欄に適当なパスワードを入れて登録ボタンを押します。
21:26 <test__> へんなのがでた
21:28 >yuushi_q< 皆さんも変なのでますか？
21:28 <minke> どこにブレークポイントかけたかとか分かるのか。
21:28 <FCSAY> 出ました
21:28 <Pude2k> でます
21:28 <IPUSIRON> 変なエラーダイアログでました。
21:29 >yuushi_q< これでeagle0wlさんは予言者だとわかりますね。
21:29 <minke> 笑
21:29 >yuushi_q< もちろん、そんなわけありません。何かトリックがあるはずです。
21:30 >yuushi_q< ここで今回のプログラムの流れを推測して見ましょう。
21:31 >yuushi_q< ダイアログボックスの表示の登録を押す
21:31 >yuushi_q<                 ↓
21:31 >yuushi_q< BPちぇっく（BPがあればメッセージを表示）
21:31 >yuushi_q<                 ↓
21:31 >yuushi_q<           GetWindowText
21:31 >yuushi_q<                 ↓
21:31 >yuushi_q<                 .
21:31 >yuushi_q<                 .
21:31 >yuushi_q<                 .
21:31 >yuushi_q< BPをチェックを先にするせいでGetWindowTextにたどり着く前にメッセージが表示され終了してしまいます。
21:32 >yuushi_q< もちろん、この段階では推測なので正しくないかもしれません。
21:33 >yuushi_q< そこで、今回のメインテーマはブレークポイントとは何ぞやということです。
21:34 >yuushi_q< OllyDbgに戻り、巻き戻しボタンみたいなボタンを押して、再スタートさせます。Ctrl+F2でも代用できます。
21:34 >yuushi_q< このコマンドは結構便利なので覚えときましょう。
21:35 >yuushi_q< ここまでＯＫですか？
21:35 <Pude2k> はい。
21:35 <FCSAY> 大丈夫です
21:35 <defolos> はい
21:35 <IPUSIRON> はい
21:35 <test__> はい
21:36 <minke> はい
21:36 >yuushi_q< 先ほど、メッセージボックスが表示されたので、そこにブレークポイントをセットすれば、ブレークできると考えられます。
21:38 >yuushi_q< メッセージボックスはMessageBoxという関数によって呼び出されるので、そこに、先ほどと同様ブレークポイントを仕掛けます。
21:39 >yuushi_q< ただし、実際にはMessageBoxAというものがそれにあたります。
21:40 >yuushi_q< F9を押し、先ほどと同様に適当なパスワードをいれて、登録ボタンを押します。
21:41 >yuushi_q< 皆さん、ブレークしましたか？
21:41 <FCSAY> しました
21:41 <Pude2k> はい
21:41 <minke> はい
21:41 <defolos> OKです
21:42 <IPUSIRON> はい
21:42 <test__> はい
21:43 >yuushi_q< 0040122Cで止まりますね。
21:44 >yuushi_q< この前にＢＰチェックが行われているはずです。
21:46 >yuushi_q< ところどころにアドレスの横に> ^ $がありますね。
21:50 >yuushi_q< >はジャンプされうること、^はジャンプすること、$は関数？を示すようです。
21:50 >yuushi_q< 間違ってたらすみません。
21:51 <minke> あ、「>^$」とつながった文字列ではないのですね。
21:51 <test__> 上に＾ありました　＾ＥＢＡ７とか
21:51 <minke> 単独の文字にそれぞれ意味がある、と。
21:51 <minke> 理解しました。
21:51 >yuushi_q< そうです。わかりにくくてすみません。
21:52 <minke> いえいえ^^
21:53 <minke> ^ が逆さまになったものもありますが、これはどういった意味なのでしょう？
21:53 >yuushi_q< それを踏まえてブレークしたところの上を見てみましょう。
21:53 <test__> はい
21:55 >yuushi_q< 004011E4にjmp命令があります。jmp命令は指定アドレスに強制ジャンプします。
21:56 >yuushi_q< つまり、004011E4とブレーク場所までにある4つの>は少なくとも、どれか一つは通ることになります。
21:57 >yuushi_q< ここまでの説明は大丈夫ですか？
21:57 <Pude2k> はい。
21:57 <test__> はい
21:57 <FCSAY> OKです
21:58 <minke> さっきの質問ですが、今のところ無視してよさそうならスルーしちゃってかまいません。
21:58 <defolos> すみません。少なくともひとつ通る　という理由が少しわからないのですが
21:59 >yuushi_q< ^の逆さまは条件付ジャンプのようです。
21:59 <minke> なるほど、ありがとうございます。
22:00 <IPUSIRON> 自分も、「どれか一つは通ることになる」という意味がよくわかりませんでした
22:02 <IPUSIRON> 4つの入口＞のどこかは通過しないと、ブレイク場所にたどり着かないという意味でしょうか
22:02 <test__> ジャンプさせてメインのルーチンへということですかねぇ
22:03 <IPUSIRON> JMPは強制ジャンプだから、4つの入口を通過しないと、ブレイク場所0040122Cには到達しないということで解釈しましたが大丈夫かな？
22:03 <minke> >の意味は、「> がついた場所へのジャンプ」がどこかにあるということで良いのかしら。
22:04 >yuushi_q< 004011E4の上はjmp命令な本来プログラムは上から下に進みますが、jmp命令があるせいで004011E4には到達しないためです。
22:05 <test__> たしかに
22:05 <defolos> あ、なるほど
22:06 <test__> ジャンプ命令がなかったら正解にたどりついちゃいますね、
22:06 <test__> もしくはエラー
22:06 <test__> ん？　なんか変なこといいました。スルーお願いします・・
22:07 <defolos> 004011E4でかなり前に戻されるので、004011E4から下のどこかしらの＞に飛ばされないとブレークポイントにたどり着かない
22:07 <defolos> というわけですか
22:09 >yuushi_q< いえ、どこからでもいいので最低4つのうちのどれか一つへジャンプです。
22:10 <defolos> なんとなく理解できた気がします＾＾；
22:10 >yuushi_q< 説明が悪いですね。あとで分かりやすくまとめときます。特殊な状況だと例外もありますが今回は無視します。
22:11 <minke> defolosさんの説明で合ってる？
22:11 <test__> たとえば　ＳＴＡＲＴ→不正解→正解→ＥＮＤ　　というＰＧＭで
22:12 <test__> ジャンプしなかったらＥＮＤにいけない　ということ？
22:12 *** noname0 has joined channel #rce
22:14 <Pude2k> こんばんは
22:14 *** New Mode for #rce by Pude2k: +o noname0
22:14 <FCSAY> こんばんわ
22:14 <test__> こんばんは
22:14 <minke> こんばんは。
22:14 <noname0> こんばんは（irc良くわからないのですみません）
22:14 >yuushi_q< こんばんは
22:14 <defolos> こんばんはー
22:14 <noname0> 今わかりました。続きどうぞm(__)m
22:15 >yuushi_q< 004011E9からブレークポイントまではプログラムとして孤立しています。（jmp命令のせいで前と繋がってない）
22:16 >yuushi_q< これは大丈夫ですか？
22:16 <defolos> はい
22:16 <minke> あ、一つ気づいたことがあるんですが
22:17 <Pude2k> はい
22:17 <minke> さっき言ってた ^ とその逆さまの記号についてなんですけど
22:17 <minke> 条件付ジャンプか無条件ジャンプかではなく
22:18 <minke> 前に飛ぶか後ろに飛ぶかのような気がするんですけども。
22:18 <Pude2k> ほんとだ、ジャンプする方向ですね^^
22:18 <test__> へぇ
22:18 <defolos> おー。なるほど
22:18 <minke> 違ったらごめんなさい＞＜
22:19 >yuushi_q< 本当だ！　その通りのようです。
22:20 <minke> おー、これでだいぶ読めるようになってきた気がする（笑
22:21 >yuushi_q< Ｃや他の言語でも他とは孤立している処理があります。それは何でしょう？
22:21 <test__> ヒント！ください
22:21 <defolos> 関数？
22:21 <minke> 関数？
22:21 <test__> ああ
22:22 <test__> 初期宣言？
22:22 >yuushi_q< その通り、関数です。
22:22 <defolos> なるほろ
22:22 <test__> そうだったんだぁ
22:25 >yuushi_q< よって004011E9からの処理は少なくとも関数の可能性が非常に高いです。
22:25 <defolos> ほほー。なるほど
22:27 <Pude2k> あのー、
22:27 <Pude2k> ちょっといいですか？
22:27 >yuushi_q< ＯＫです。
22:28 <Pude2k> 自分は401049から40127Fまでがウィンドウプロシージャではないかと思ったんですが。
22:29 <Pude2k> そう思った理由は、
22:30 <Pude2k> その後の命令でRETではなくジャンプ命令で4011DAにとばしてるから。
22:30 <Pude2k> どうでしょうか・・・。
22:31 <Pude2k> あー、ごめんなさい
22:31 <Pude2k> 勘違いだったみたいです
22:31 <Pude2k> 気にしないください。
22:34 <Pude2k> やっぱり、訂正：4010A5から40127Fまで でウィンドウプロシージャ・・・？って気がします。（そのままスルーしちゃってくださいｗ
22:35 >yuushi_q< ウインドウプロシージャの開始場所はあっています。終わりは004010A2です。今回実はウインドウプロシージャから解析をしようかとも思っていたのですが、時間があまりましたらこちらの方法もやりましょう。
22:36 >yuushi_q< あっ、開始は401049でした。
22:36 <Pude2k> ごめんなさい^^;あまりわかってないのに口出ししてしまって・・・。
22:36 <Pude2k> あっ、ほんとだ、そうですね^^
22:37 <test__> callwindowproAってかいてある
22:38 >yuushi_q< 話をもどして、実際に関数か確認してみましょう。>をクリックして右クリック->移動->Jxx 元へxxxxx を4つみてみましょう。
22:40 >yuushi_q< 004011E9以外はかなり近い場所、つまり関数内を指しています。
22:41 <minke> ふむふむ。
22:43 >yuushi_q< 逆に004011E9はなんか、jmpとかcmpとかいろいろある場所に着きます。ここではBPチェックはしてないようなので、BPチェックは004011E9からにはきめ打ちします。
22:43 >yuushi_q< ここまでよろしいでしょうか？
22:43 <Pude2k> はい
22:43 <defolos> はい
22:44 <FCSAY> OKです
22:44 <minke> 「ここではBPチェックはしてないようなので」ってのは何か根拠あります？
22:45 <minke> 自分にとっては全然明らかじゃないもので(^^;
22:46 <minke> あ、ここでは=004011E9以降では、か。
22:46 <minke> 読み間違えてました。すみません・・。
22:47 <minke> 続きどうぞ。
22:47 >yuushi_q< いえいえ、はっきり言って根拠はないですね^ ^。この方法は一般的なアプローチです。もしＢＰチェックの場所を間違ってたら、修正すればいいという考えが根底にあります。
22:48 <minke> なるほど。
22:49 >yuushi_q< これじゃあ、スマートじゃないですね。「俺はカッコ良く、一発であてたい」という方に向けて別な方法をやりましょう。
22:50 >yuushi_q< もう一度再スタートさせましょう。
22:51 >yuushi_q< 401000が黒くなっています。ここがプログラムの開始地点です。
22:52 >yuushi_q< ここまでよろしいでしょうか？
22:52 <defolos> はい
22:52 <Pude2k> はい
22:52 <minke> はい
22:52 <FCSAY> OKです
22:53 <test__> はい
22:53 >yuushi_q< さて、いろいろ関数が見えますが、ここで重要なのが、CallWindowProcAです。
22:56 >yuushi_q< あっ、間違えました。　DialogBoxParamAです。
22:58 >yuushi_q< ダイアログを作る関数です。見るところは、DlgProcです。ここにはウインドウプロシージャのアドレス入っています。
22:58 >yuushi_q< ここまでよろしいですか？　
22:58 <defolos> はい
22:59 <Pude2k> はい
23:00 <FCSAY> OKです
23:00 <test__> はい
23:00 <minke> はい
23:00 <IPUSIRON> OKです
23:00 >yuushi_q< 皆さんウインドウプロシージャがどんなものか大丈夫ですか？
23:01 <defolos> あやふやですが、なんとなくわかります
23:01 <test__> おなじく
23:01 <Pude2k> 自分も何となくわかります。
23:01 <minke> あんまり分かってないので、簡単に解説して頂けると助かります。
23:02 <test__> おなじく
23:02 <FCSAY> おなじく、解説して頂けると助かります
23:04 >yuushi_q< ウインドウプロシージャはメッセージを取得する関数です。
23:05 >yuushi_q< 「マウスを移動した」、「クリックした」、「キーボードを押した」などの出来
23:05 >yuushi_q< 事をイベントと呼びます。
23:07 >yuushi_q< イベントが起きるとそれに対応したメッセージが発生します。そのメッセージを処理するのがウインドウプロシージャになります。
23:08 >yuushi_q< これで、よろしいですか？
23:09 <minke> はい。
23:09 <FCSAY> OKです
23:11 >yuushi_q< では、今回取得すべきイベントは何でしょう？　答えはあなたがやったことにありますよね。
23:13 <minke> 登録ボタンを押した？
23:13 <Pude2k> 「登録ボタンを押す」という行為ですか？
23:13 >yuushi_q< その通りです。
23:14 >yuushi_q< 現に、登録ボタンを押した後、すぐにブレークしましたよね。
23:17 >yuushi_q< では実際に「登録ボタンを押す」というイベントをさがしてみましょう。
23:19 >yuushi_q< 401049にウインドウプロシージャの先頭アドレスがあるのでそこからみます。
23:21 >yuushi_q< WinProc(HWND hWnd,UINT Message,WPARAM wParam,LPARAM, lParam);
23:21 >yuushi_q< ue 
23:22 >yuushi_q< 上が、ウインドウプロシージャの関数の宣言例です。
23:23 >yuushi_q< 重要なのは、後ろ二つdesu.wParam
23:23 >yuushi_q< mata
23:24 >yuushi_q< また、途中で送信してしまいました、すみません。
23:25 >yuushi_q< 一般的にボタンを押すと、wParamにはWM_COMMAND(0x111)、lParamにはボタンのID
23:25 >yuushi_q< です。
23:26 >yuushi_q< ボタンIDは作者がある程度、勝手につけることができる数字です。
23:27 >yuushi_q< ここまで、OKですか？
23:27 <defolos> はい
23:27 <FCSAY> OKです
23:27 <IPUSIRON> はい
23:27 <Pude2k> はい
23:28 <minke> はい
23:28 <test__> はい
23:30 >yuushi_q< 表示->ウインドウをクリックして下さい。そこの登録と書いてあるところのIDがボタンのIDになります。
23:32 >yuushi_q< IDは0x3E8になります。一見、中途半端な数に見えますが、10進数に直すと数字の意味がわかりますね。
23:33 <test__> 1000？
23:35 >yuushi_q< そうです。1000です。このように16<->10進数の変換で見えてくるものもあります。
23:37 >yuushi_q< 元に戻って、3E8を注意して探すと、00401063にCMP DWORD PTR SS:[EBP+10],3E8という物凄くあやしいものがみつかりますね。
23:40 >yuushi_q< [EBP+10]はlParamのことです。スタックについて、解説する時間がないんで、省略します。詳しくはdefolosさんのExploiting実習の資料とログで！
23:40 <defolos> 了解＾＾；
23:41 <test__> はい
23:42 <minke> OKです。
23:44 >yuushi_q< ボタンを押したとき、lParam==3E8なので、次のJNZはジャンプしません。その次のジャンプ先のアドレスを見てみると……
23:44 <minke> さっきのとこですね。
23:46 >yuushi_q< そういうわけでさっきのところで、BPチェックの開始は間違ってませんね。
23:46 >yuushi_q< ここまでよろしいですか？
23:46 <defolos> はい
23:46 <FCSAY> OKです
23:47 <minke> はい
23:47 <test__> はい
23:48 <IPUSIRON> JNZの次というのはJMPのところみればよいのでしょうか
23:48 >yuushi_q< 続きをやりたいところですが、まもなく明日になってしまいます。まだ先は長いので、次回に回しましょう。
23:49 <test__> アセンブラはところどころジャンプしてむずかしいですね
23:49 >yuushi_q< >>IPUSIRONさん　そうです。0040106Cのジャンプです。
23:51 <IPUSIRON> 今日はこれで終わりですか？
23:52 >yuushi_q< そうですね。まだ自分はここに残っているので、聞きたいことがある人は残って、自由解散にしましょう。
23:52 <Pude2k> ありがとうございましたー。
23:53 <defolos> 了解。ありがとうございました
23:53 <minke> 了解です。
23:53 <noname0> お疲れ様でした
23:53 <minke> お疲れ様でしたー。
23:53 <FCSAY> ありがとうございました
23:53 <minke> 次回はいつごろになりそうですか？
23:53 >yuushi_q< どういたしまして。
23:54 >yuushi_q< 今月中にしましょう。あまり長くなると忘れるんで。
23:54 <defolos> はい