3189

11.Какое значение окажется в регистре SI по адресу 11 А? По­

чему?

12.Что выполняет команда rep movsb, расположенная по адре­

су 121?

13. Куда выполняется переход с адреса 123? Почему? Произвести дешифровку и исследование зашифрованного кода

программы. Для дешифровки кода воспользоваться возможностью написания скриптов в IDA Pro. Для написания скрипта, дешифрую­ щего код, воспользоваться командой FILE -> IDC Command.

14.В чем заключается алгоритм дешифровки? Записать и про­ комментировать его словесно. Для ответа на этот вопрос проанали­ зировать алгоритм дешифровки, исследованный вами ранее.

15.Написать скрипт, дешифрующий код программы с адреса 16 по 115. Для этого воспользоваться следующими командами языка скриптов IDA, выполняемых в цикле, - PatchByte([CezMenm, Смеще­ ние], Значение); - заменить значение, находя щееся по адресу [Сег­ мент, Смещение] на значение.

Byte ([Сегмент, Смещение]) - получить значение по адресу [Сегмент, Смещение].

Л - XOR.

FОЩНачальноеусловие, конечное условие, изменение).

Для определения счетчика цикла используйте, например, ко­ манду auto а;

Скрипт дешифровки может быть записан, например, следую­ щим образом:

auto а;

for (а-0х16;а<11б;а++) PatchByte([0,a],Byte([0,a])A0x66).

16.Исследовать расшифрованный фрагмент кода. В чем за­ ключаются его функции, какие действия он выполняет?

17.Подытожить анализ программы. Что представляет собой данная программа, что она реализует, каким образом защищена?

Контрольные вопросы

1.Что понимают под дизассемблированием?

2.Охарактеризуйте разницу между автономными и интерактив­ ными дизассемблерами? К какому из этих типов относится дизас­ семблер IDA Pro?

3.Против исследования автономными или интерактивными дизассемблерами более трудно защитить программный продукт? Почему?

4.Перечислите способы защиты, которые были использованы для защиты исследуемой в практической работе программы.

енного для отображение книги. Действие такой защиты распростра­ няется на всю книгу.

Защита информации в архивах

Парольная защита архивов является одной из наиболее часто используемых защит при передаче конфиденциальных документов по открытому каналу. Большинство современных архиваторов по­ зволяют защитить свое содержание от несанкционированной распа­ ковки. Однако используемые в различных архиваторах методы раз­ личаются по степени стойкости к взлому используемых в них алго­ ритмов шифрования.

Известны различные методы атаки на архивные пароли. Одни методы атакуют собственно алгоритм шифрования, используемый

вархиве, другие - человеческий фактор.

1.Атака полным (прямым) перебором - самый трудоемкий ме­ тод, но позволяет вскрыть все архивы. Атака осуществляется на ос­ новании заданной длины пароля и набора символов, которые пере­ бираются. Скорость атаки зависит от алгоритма проверки пароля.

2.Атака по словарю - атака на человеческий фактор. Алгоритм нахождения пароля, основанный на предположении что пароль пред­ ставляет собой некоторое осмысленное слово, либо выражение како­ го-либо языка. По сравнению с методом прямого перебора скорость взлома значительно возрастает, поскольку любой язык мира содер­ жит много меньше слов, чем возможно. Для применения этой атаки необходим словарь.

3.Атака посредством изменения одного байта в программе - самый простейший метод взлома. Может использоваться в случаях отсутствия продуманной защиты архивного шифрования.

4.Атака, основанная на правшах. В данном случае осуществ­ ляется полный перебор паролей, но состоящих из заданного набора символов. Эти наборы символов указываются экспертом.

5.Атака по открытому тексту. Данный метод позволяет лег­ ко вскрыть пароль архива, если известна часть открытого текста ар­ хива. Например, если архивируется программа, написанная на языке

C++, то однозначно в ней присутствует такой открытый текст, как # include.

Метод атаки по открытому тексту может быть применен к сле­ дующим архиваторам: ARJ (необходимо знать открытую последова­ тельность символов длиной не менее длины пароля), ZIP (надо знать по крайней мере 13 символов открытого текста), RAR 1.5 (надо знать 3-4 байта открытого текста).

Для защиты от подобного взлома пользователь должен выби­ рать архиватор со стойким к данному взлому алгоритмом шифрова­ ния (например, RAR последних версий).

Алгоритмы шифрования архиваторов

Архиватор ARJ использует очень слабый алгоритм шифрова­ ния - систему Вернама. В архивированном тексте присутствует не­ которая неслучайная информация - например, таблица Хаффмана и некоторая другая служебная информация. Поэтому, точно зная или предсказав с некоторой вероятностью значение этих служебных пе­ ременных, можно с той же вероятностью определить и соответст­ вующие символы пароля. Использование слабых алгоритмов часто приводит к успеху атаки по открытому тексту. В случае архиватора ARJ, если злоумышленнику известен хотя бы один файл из зашифро­ ванного архива, или известен непрерывный участок открытого текста длиной, большей либо равной длине пароля, он с легкостью опреде­ лит пароль архива и извлечет оттуда все остальные файлы. Дешиф­ рование по методу Вернама позволяет достичь скорости перебора более 5106 паролей в секунду на машине класса Pentium IV.

Система шифрования RAR-архивов (версии 1,5х) хотя и являет­ ся лучшей, чем у ARJ, все же позволяет вести перебор с достаточно высокой скоростью.

Система шифрования RAR-архивов версии выше 2.0 является пока лучшей из всех архиваторов. Знание открытого текста никак не поможет злоумышленнику при вскрытии пароля (данные архивы не атакуются по открытому тексту). Скорость перебора паролей архива­ торов RAR последних версий чрезвычайно мала (не более 5-6 паро­ лей в секунду на машинах класса PIV-2000). Перечисленные свойст­

ва делают архиваторы RAR последних версий наиболее предпочти­ тельными для формирования закрытых архивов.

Порядок выполнения практической работы

1. Защита документов в Microsoft Word

1.Исследовать все типы защит в Microsoft Word - защиту от за­ писи, от исправлений и защиту на открытие документа. Изучить функции данных защит.

2.Сформировать в Word произвольный документ и поставить на него защиту от записи. В качестве пароля выбрать легкочитаемую последовательность символов на английском языке. Сохраните дан­ ный документ на диске и выйдите из Word.

3.Откройте сохраненный файл в редакторе кода либо в режиме View FAR, либо NC. Найдите в исходном коде сохраненного доку­ мента введенный вами пароль. Действительно ли он хранится в до­ кументе в прямом виде?

4.Запустить программу аудита паролей Advanced Office ХР Password Recovery и выяснить введенный пароль. Перебирает ли компьютер пароли в этом случае? Почему? Следует отметить, что ограничения, заложенные в демоверсии программы, не позволяют выводить на экран пароли длиной более 4 символов.

5.Защитить документ от записи исправлений и попытаться вы­ яснить пароль с помощью программы Advanced Office ХР Password Recovery. Осуществляется ли перебор в этом случае? Почему?

6. Поставить защиту на открытие документа (4 символа) и вскрыть его с помощью Advanced Office ХР Password Recovery. Осуществляется ли перебор в этом случае? Какова скорость перебора паролей1? Поэкспериментировать с различными наборами символов. Если вы не обладаете никакими априорными знаниями о пароле, то какой набор символов необходимо использовать? Сколько времени занял перебор паролей из 4 символов (при переборе всех печатаемых символов пароля)2?

7. Дать рекомендации по защите документов Office. Какую за­ щиту необходимо ставить? Какой пароль выбирать?