banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering Làm sao để exe file không gọi một thư viện dll?  XML
  [Question]   Làm sao để exe file không gọi một thư viện dll? 04/07/2012 15:24:10 (+0700) | #31 | 266128
n2tforever
Member

[Minus]    0    [Plus]
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
[Profile] [PM]

TQN wrote:
Có đi đâu, đi đằng nào đi nữa thì kernel32 và ntdll.dll cũng phải được Win load lên. Không có các API của nó thì chạy bằng cái gì. 

dùng native API có được không anh?
[Up] [Print Copy]
  [Question]   Làm sao để exe file không gọi một thư viện dll? 04/07/2012 18:45:31 (+0700) | #32 | 266140
[Avatar]
computerline
Member

[Minus]    0    [Plus]
Joined: 30/03/2007 13:46:50
Messages: 144
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Native thì cũng là các API trong ntdll và kernel32 export ra mà ra thôi smilie Nói chung thì cuối cùng cũng chỉ có cách ẩn đi các thư viện thôi, chứ không có cách nào mà làm cho nó không gọi thư viện được hết ^^
Không có nghề gì trong xã hội là thấp hèn cả - chỉ có nhân cách mới phân biệt thấp cao
[Up] [Print Copy]
  [Question]   Làm sao để exe file không gọi một thư viện dll? 04/07/2012 18:55:17 (+0700) | #33 | 266141
n2tforever
Member

[Minus]    0    [Plus]
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
[Profile] [PM]

computerline wrote:
Native thì cũng là các API trong ntdll và kernel32 export ra mà ra thôi smilie Nói chung thì cuối cùng cũng chỉ có cách ẩn đi các thư viện thôi, chứ không có cách nào mà làm cho nó không gọi thư viện được hết ^^  

ntdll và kernel32 là các thư viện trong usermode ý mình là gọi trực tiếp các hàm export của ntoskrnl.exe thông qua ngắt 2E hoặc sysenter cơ
[Up] [Print Copy]
  [Question]   Làm sao để exe file không gọi một thư viện dll? 04/07/2012 19:46:16 (+0700) | #34 | 266145
[Avatar]
computerline
Member

[Minus]    0    [Plus]
Joined: 30/03/2007 13:46:50
Messages: 144
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Thank bạn n2tforever, mình không nghĩ đến việc dùng ntoskrnl.exe là khả thi, vì theo mình được biết thì ntoskrnl đâu export ra địa chỉ nào đâu, mà việc gọi qua sysenter thì như là bị hệ điều hành nó cấm rồi hay sao đó mà ! Nhưng qua gợi ý của bạn và tìm hiểu một số thông tin thì mình tìm được một số nguồn tài liệu này, có lẽ sẽ có ích cho ai đó smilie

http://alter.org.ua/docs/nt_kernel/procaddr/
http://alter.org.ua/soft/nt_kernel/crossnt/
http://netcode.cz/img/83/nativeapi.html
http://zenwinx.sourceforge.net/doxy-doc/html/index.html
http://hex.pp.ua/nt-native-applications-shell-eng.php

Đặc biệt trong http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ có một loạt các tài liệu về Forensics và Reverse Engineering cũng có giá trị, bạn nào muốn tải có thể dùng cache của google để truy ra link tải về cache:http://files.keiranbolton.me/down/66.14.166.45/whitepapers/
Không có nghề gì trong xã hội là thấp hèn cả - chỉ có nhân cách mới phân biệt thấp cao
[Up] [Print Copy]
  [Question]   Làm sao để exe file không gọi một thư viện dll? 05/07/2012 01:42:00 (+0700) | #35 | 266160
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]

computerline wrote:
Thank bạn n2tforever, mình không nghĩ đến việc dùng ntoskrnl.exe là khả thi, vì theo mình được biết thì ntoskrnl đâu export ra địa chỉ nào đâu, mà việc gọi qua sysenter thì như là bị hệ điều hành nó cấm rồi hay sao đó mà ! Nhưng qua gợi ý của bạn và tìm hiểu một số thông tin thì mình tìm được một số nguồn tài liệu này, có lẽ sẽ có ích cho ai đó smilie

http://alter.org.ua/docs/nt_kernel/procaddr/
http://alter.org.ua/soft/nt_kernel/crossnt/
http://netcode.cz/img/83/nativeapi.html
http://zenwinx.sourceforge.net/doxy-doc/html/index.html
http://hex.pp.ua/nt-native-applications-shell-eng.php

Đặc biệt trong http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ có một loạt các tài liệu về Forensics và Reverse Engineering cũng có giá trị, bạn nào muốn tải có thể dùng cache của google để truy ra link tải về cache:http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ 


Chào bạn,

Về vấn đề này mình cũng từng có 1 topic nhắc đến, bạn tham khảo xem smilie

/hvaonline/posts/list/39127.html
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Question]   Làm sao để exe file không gọi một thư viện dll? 05/07/2012 08:29:55 (+0700) | #36 | 266180
[Avatar]
computerline
Member

[Minus]    0    [Plus]
Joined: 30/03/2007 13:46:50
Messages: 144
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]

.lht. wrote:

computerline wrote:
Thank bạn n2tforever, mình không nghĩ đến việc dùng ntoskrnl.exe là khả thi, vì theo mình được biết thì ntoskrnl đâu export ra địa chỉ nào đâu, mà việc gọi qua sysenter thì như là bị hệ điều hành nó cấm rồi hay sao đó mà ! Nhưng qua gợi ý của bạn và tìm hiểu một số thông tin thì mình tìm được một số nguồn tài liệu này, có lẽ sẽ có ích cho ai đó smilie

http://alter.org.ua/docs/nt_kernel/procaddr/
http://alter.org.ua/soft/nt_kernel/crossnt/
http://netcode.cz/img/83/nativeapi.html
http://zenwinx.sourceforge.net/doxy-doc/html/index.html
http://hex.pp.ua/nt-native-applications-shell-eng.php

Đặc biệt trong http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ có một loạt các tài liệu về Forensics và Reverse Engineering cũng có giá trị, bạn nào muốn tải có thể dùng cache của google để truy ra link tải về cache:http://files.keiranbolton.me/down/66.14.166.45/whitepapers/ 


Chào bạn,

Về vấn đề này mình cũng từng có 1 topic nhắc đến, bạn tham khảo xem smilie

/hvaonline/posts/list/39127.html 


Thanks bạn, từ phần code của bạn mình tham khảo thêm được rất nhiều smilie
Không có nghề gì trong xã hội là thấp hèn cả - chỉ có nhân cách mới phân biệt thấp cao
[Up] [Print Copy]
  [Question]   Làm sao để exe file không gọi một thư viện dll? 20/09/2012 22:47:39 (+0700) | #37 | 269576
Zombie
HVA Friend

Joined: 13/12/2002 03:27:34
Messages: 77
Offline
[Profile] [PM]

longtran295 wrote:
Mình lại hỏi về vấn đề này: làm thế nào để chương trình chính bỏ gọi một file dll - file dll này riêng, không phải của máy và không phát sinh lối khi bỏ gọi. Một hướng khác là chỉnh sửa file dll cho nó không thực hiện thao tác gì - gọi xong trả về chương trình chính luôn, thì làm cách nào?

Mình ko chuyên IT nên các bạn phân tích rõ dùm mình nhé. 

Cjác cái câu hỏi này liên wan đến online checking .
Main Process gọi / connect đến server để call 1 method ( or tương tự ) và lấy kết wả trả về để check license ?
Về logic có thể ngắt ngang khúc call đó và patch return result theo ý mình . Còn of course code thực tế thì ... làm mới biết
[Up] [Print Copy]
  [Question]   Làm sao để exe file không gọi một thư viện dll? 22/08/2013 13:42:10 (+0700) | #38 | 278221
dahiphop
Member

[Minus]    0    [Plus]
Joined: 21/06/2009 17:25:09
Messages: 9
Offline
[Profile] [PM]

longtran295 wrote:
Mình lại hỏi về vấn đề này: làm thế nào để chương trình chính bỏ gọi một file dll - file dll này riêng, không phải của máy và không phát sinh lối khi bỏ gọi. Một hướng khác là chỉnh sửa file dll cho nó không thực hiện thao tác gì - gọi xong trả về chương trình chính luôn, thì làm cách nào?

Mình ko chuyên IT nên các bạn phân tích rõ dùm mình nhé. 


Loại bỏ module thì cũng dùng ollydbg thui bạn. Khó chỗ là nó có cái gì load theo không đó bạn(HShied,Game Guard liên quan tới game tí smilie). Không thì bạn unload module bằng chương trình process khác đó
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|