<![CDATA[Latest posts for the topic "Sử dụng chuỗi ngoài bộ nhớ"]]> /hvaonline/posts/list/36.html JForum - http://www.jforum.net Sử dụng chuỗi ngoài bộ nhớ http://www.mediafire.com/?i0d82hlmuuly649 Em đã tìm kiếm chuỗi bad boy trong Olly và IDA nhưng không thấy, kể cả ở memory. Sau khi load nó vào HIEW thì em tìm thấy được chuỗi này:
Sau khi quan sát một hồi thì em nhận thấy phía trước địa chỉ chứa chuỗi này không có dấu chấm (ở trong HIEW). Theo như em suy nghĩ thì địa chỉ này nằm ngoài memory (em đoán vậy thôi). Mọi người có thể chỉ rõ cho em cách chương trình truy cập đến chuỗi này, cách để đặt Memory Breakpoint lên nó trong Olly và cách để crack chương trình này được không ạ? Dò lên phía trên đoạn địa chỉ chứa chuỗi này em thấy các real serial nhưng đó là do em hoàn toàn đoán mò mà thôi.]]>
/hvaonline/posts/list/39790.html#245069 /hvaonline/posts/list/39790.html#245069 GMT
Sử dụng chuỗi ngoài bộ nhớ /hvaonline/posts/list/39790.html#245144 /hvaonline/posts/list/39790.html#245144 GMT Sử dụng chuỗi ngoài bộ nhớ http://forum.tuts4you.com/topic/11277-overlays-extra-data/ ]]> /hvaonline/posts/list/39790.html#245251 /hvaonline/posts/list/39790.html#245251 GMT Sử dụng chuỗi ngoài bộ nhớ

xwhitelight wrote:
Có phải topic này ko anh secmask? : http://forum.tuts4you.com/topic/11277-overlays-extra-data/  
đúng nó rồi đấy. đại loại nó thêm data vào cuối file PE mà không chỉ sửa gì PE header cả nên phần data này sẽ không được load lên trong IDA hay Olly, nó load manual bằng cách đọc image, tìm ra offset bắt đầu overlay data bằng một chuỗi đặc biệt nào đó, hoặc tính thông qua thông tin có được từ PE header.]]>
/hvaonline/posts/list/39790.html#245264 /hvaonline/posts/list/39790.html#245264 GMT
Sử dụng chuỗi ngoài bộ nhớ

secmask wrote:

xwhitelight wrote:
Có phải topic này ko anh secmask? : http://forum.tuts4you.com/topic/11277-overlays-extra-data/  
đúng nó rồi đấy. đại loại nó thêm data vào cuối file PE mà không chỉ sửa gì PE header cả nên phần data này sẽ không được load lên trong IDA hay Olly, nó load manual bằng cách đọc image, tìm ra offset bắt đầu overlay data bằng một chuỗi đặc biệt nào đó, hoặc tính thông qua thông tin có được từ PE header. 
Chuỗi đặc biệt là chuỗi như thế nào ạ? +_+ Em thấy một câu lệnh PUSH text dùng tham số là địa chỉ của chuỗi, mà chuỗi overlay lại không có địa chỉ thì làm sao để tham chiếu nó ạ? Ở topic anh chỉ có nói là đọc nó từ image vật lý của file, em cũng chả hiểu. =(( ]]>
/hvaonline/posts/list/39790.html#245464 /hvaonline/posts/list/39790.html#245464 GMT
Sử dụng chuỗi ngoài bộ nhớ

xwhitelight wrote:

secmask wrote:

xwhitelight wrote:
Có phải topic này ko anh secmask? : http://forum.tuts4you.com/topic/11277-overlays-extra-data/  
đúng nó rồi đấy. đại loại nó thêm data vào cuối file PE mà không chỉ sửa gì PE header cả nên phần data này sẽ không được load lên trong IDA hay Olly, nó load manual bằng cách đọc image, tìm ra offset bắt đầu overlay data bằng một chuỗi đặc biệt nào đó, hoặc tính thông qua thông tin có được từ PE header. 
Chuỗi đặc biệt là chuỗi như thế nào ạ? +_+ Em thấy một câu lệnh PUSH text dùng tham số là địa chỉ của chuỗi, mà chuỗi overlay lại không có địa chỉ thì làm sao để tham chiếu nó ạ? Ở topic anh chỉ có nói là đọc nó từ image vật lý của file, em cũng chả hiểu. =((  
Ví dụ như cái Overlay data đó được đặt bắt đầu bằng một chuỗi như "THIS_IS_START_OF_OVERLAY" , thì crackme nó sẽ tiến hành tìm kiếm trên image xem chuỗi này nằm ở vị trí nào để lấy data đính kèm ra. Do overlay data không thuộc một section nào trong PE header cả nên nó sẽ không được map lên memory khi chuơng trình tuơng ứng load. Thay vào đó, chuơng trình sẽ coi phần overlay data là data file (chỉ là biến thể thay vì dùng một file data tách rời hoàn toàn), seek đến đúng vị trí là có thể đọc được data này, giống như đọc file thông thường thôi.]]>
/hvaonline/posts/list/39790.html#245465 /hvaonline/posts/list/39790.html#245465 GMT
Sử dụng chuỗi ngoài bộ nhớ /hvaonline/posts/list/39790.html#246143 /hvaonline/posts/list/39790.html#246143 GMT Sử dụng chuỗi ngoài bộ nhớ

xwhitelight wrote:
Nó dùng hàm gì để đọc file và tìm kiếm vậy ạ? (em ko rành lập trình) :">  
FindFirstFile FindNextFile CreateFile .... http://msdn.microsoft.com/en-us/library/aa364428%28v=vs.85%29.aspx Mình có tìm hiểu chút ít về API và lập trình với API. ]]>
/hvaonline/posts/list/39790.html#246545 /hvaonline/posts/list/39790.html#246545 GMT
Sử dụng chuỗi ngoài bộ nhớ

xwhitelight wrote:
Nó dùng hàm gì để đọc file và tìm kiếm vậy ạ? (em ko rành lập trình) :">  
mèn, ko biết lập trình mà RCE sao được ? Việc lấy overlay data ra, cách làm như việc trích lấy một chuỗi trong file text ra vậy thôi. Đầu tiên là dùng một hàm tìm String trong String vd với C: Code:
char *strstr(const char *s1, const char *s2)
Xong rồi get ra n byte từ điểm tìm ra str2, sau đó loại bỏ chuỗi "đặc biệt" trên. ]]>
/hvaonline/posts/list/39790.html#246555 /hvaonline/posts/list/39790.html#246555 GMT
Sử dụng chuỗi ngoài bộ nhớ

xnohat wrote:

xwhitelight wrote:
Nó dùng hàm gì để đọc file và tìm kiếm vậy ạ? (em ko rành lập trình) :">  
mèn, ko biết lập trình mà RCE sao được ? Việc lấy overlay data ra, cách làm như việc trích lấy một chuỗi trong file text ra vậy thôi. Đầu tiên là dùng một hàm tìm String trong String vd với C: Code:
char *strstr(const char *s1, const char *s2)
Xong rồi get ra n byte từ điểm tìm ra str2, sau đó loại bỏ chuỗi "đặc biệt" trên.  
Khi tên file bị rename thì làm ntn để biết đc tên mới sau đó dùng hàm đọc file vậy anh?]]>
/hvaonline/posts/list/39790.html#249502 /hvaonline/posts/list/39790.html#249502 GMT