Как я решал одну маленькую задачку

В последнее время мне довольно часто приходится заниматься ]]>реверс инжинирингом]]> и создавать свои аналоги зареверсенных функций, либо писать модули, которые будут взаимодействовать с модулями приложений, интерфейсы которых не описаны. В процессе работы частенько возникает задача найти алгоритм шифрования в программе и получить информацию о его типе (DES, AES, ГОСТ и т.д.), режиме его работы (ECB, CBC, CTR и т.д.), используемых ключах, ну и возможных ошибках и слабостях его конкретной реализации. Об одном таком случае я решил рассказать в данной заметке.

Сразу оговорюсь, что на картинках многие переменные были любезно переименованы мной уже в процессе работы. Изначально названия переменных и функций не несли никакой информации.

Обычно функция, реализующая алгоритм шифрования не похожа на обыкновенные функции программы. Анализируя очередной кусок кода, я натолкнулся на весьма странную последовательность операций:

Какие-то сплошные mov-ы, xor-ы и так далее. Обычно я в таких случаях запускаю любимый декомпилятор HexRays, который и в этот раз меня не подвел, и выдал что-то более-менее осмысленное:

Сразу в глаза бросаются криптографические константы 128, 192, 256. Ключи шифрования симметричных алгоритмов чаще всего имеют именно такую длину. Продолжая дальнейший анализ функции натыкаемся на конструкцию swich/case.

В качестве значений case используются числа 10, 12, 14. Это уже интересно. Кто читал мою статью про AES-256 наверняка вспомнит эти три замечательных числа в процедуре KeyExpansion. Дальнейшее сравнение псевдокода этой процедуры из стандарта AES и данной функции не оставляет сомнений, что это именно процедура развертывания ключа. Теперь глядя на параметры данной функции легко установить, где хранится ключ шифрования, и что алгоритм шифрования AES-128. Так получилось, что в попавшемся мне образце в начале работы программы происходит выработка сеансовых ключей, а позднее, когда доходит дело до алгоритма шифрования, он оперирует уже раундовыми ключами.
Половина задачи решена. Дальнейший реверсинг натыкает меня на функцию шифрования. На вход она принимает аж целых 5 параметров, взглянув на которые сразу определяю, что режим работы алгоритма точно не ECB, так как одним из параметров выступает массив, по длине равный длине блока (128 бит) – вектор инициализации. Опять при помощи декомпилера взглянем на cишный листинг:

Присмотревшись, легко определяем что режим шифрования CBC (AesBlockEncrypt это я впоследствии переименовал).
Вот собственно и все. Через пару часов, аналог функции был написан на C#.
Напоследок хотелось бы дать пару советов тем, кто столкнулся с аналогичной задачей:
1. Пользуйтесь декомпилятором. Иногда реально помогает разобраться в запутанном коде.
2. Обращайте внимание на константы. В любом алгоритме есть отличающие его от собратьев признаки. Например, в ГОСТ 32 раунда и в каждом раунде циклический сдвиг на 11, длина блока 64, длина ключа 256. В алгоритмах хэш-функций обычно используются целые наборы раундовых констант, да и число раундов также дает дополнительную информацию.
Вот так в паре строк уместилось несколько часов работы Если что-то непонятно или есть советы и пожелания, пиши на почту!
Думаю кому-нибудь пригодится мой опыт

Evgenij
evgenij.minsk@gmail.com