|
|
hm... Bạn thử dùng:
1. Process Explorer
2. AutoRun
Trên www.sysinternals.com xem có gì lạ không ? Còn không biết thì cứ post result lên đây
|
|
|
OllyDbg
Author:
Oleh Yuschuk
Version:
1.10
File URL:
http://ollydbg.de/download.htm
Description:
OllyDbg is a single-process, multi-thread code-level debugger for 32-bit programs running under Windows 95, Windows 98, Windows NT and Windows 2000. It allows you to debug and patch executable files in PE (Portable Executable) format. "Code-level" here means that you work directly with low-level bits, bytes and processor commands. OllyDbg uses only documented Win32 API calls, so the chances are good that you will be able to use it on the next derivatives of 32-bit Windows operating systems.
===
PEiD
Author:
Jibz, Qwerton, snaker, xineohP
Version:
0.94
File URL:
http://peid.has.it/
News:
* Too much is new to remember.
* MFS, Task Viewer and Disassembler windows maximizable.
* New smaller and lighter disassembler core CADT.
* New KANAL 2.88 with much more detections.
* Added loads of new signatures. Thanks to all the external signature collections online.
* String References integrated into disassembler.
* Fixed documented and undocumented crashes.
* Fixed some general bugs.
Description:
PEiD detects most common packers, cryptors and compilers for PE files. It can currently detect more than 430 different signatures in PE files.
===
IDA Pro
Author:
DataRescue
Version:
5.0
File URL:
http://www.datarescue.com/idabase/index.htm
Description:
IDA Pro is a Windows or Linux hosted multi-processor disassembler and debugger that offers so many features it is hard to describe them all.
Score: 7.0, votes: 7
|
|
|
yah, chỉ có điều dùng 7zip nhiều khi không customize được và không flexible bằng chương trình có source code
|
|
|
uh, Hoàng cũng thấy 1 nghịch lý là, sẵn sàng bỏ tiền ra mua hardware cực tốc nhưng lại không muốn mua phần mềm . Chỉ có cái vỏ mà không có ruột, làm sao chạy...
Hình như topic này hơi lạc chủ đề . Hoàng nhắc lại là phần mềm FireLion uSetup trên là Open Source và Miễn Phí .
Một số bạn như Bigball_hacker trên đây không biết đã đọc hết toàn bộ nội dung trên website chưa hay chỉ mới nhìn thấy "Tài khoản ngân hàng" thì tắt ?
|
|
|
Không phải Visual Basic C++, mà là Visual C++
Visual Basic và Visual C++ tuy cùng nằm trong bộ Visual Studio nhưng là 2 ngôn ngữ khác nhau.
|
|
|
Vậy là ổ đĩa G của bạn đã bị hide rồi.
Bạn download TweakUI ở đây:
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
Rồi vào phần Drives, xem ổ G: có bị uncheck không. Nếu có thì check vô rồi nhấn OK.
Hình demo:
|
|
|
Hình thức donate là 1 hình thức có từ rất lâu rồi. Có những project phục vụ cộng đồng, open source và nếu người dùng hài lòng họ vẫn có thể gởi tặng 1 ít cho tác giả để phục vụ cho việc nghiên cứu và phát triển.
Nếu bạn chú ý sẽ thấy hình thức này có rất nhiều. Trên website SourceForge (http://www.sf.net), bạn sẽ thấy có rất nhiều project như vậy. Đây là 1 chuyện rất bình thường.
Hình như các bạn (hoặc đa số người VN) nghe đến "trả tiền" phần mềm là... dội thì phải .
|
|
|
Vickizw wrote:
Cái này cũng giống như soft install setup maker phải không ạ
Có thể tạo file setup từ một chương trình nguồn có sẵn
uh, nó là 1 chương trình để tạo file setup từ những file có sẵn. Nói một cách khác là đóng gói chương trình để mang đi cài đặt hay phân phối đó mà...
|
|
|
Dùng VC++ mở lên rồi paste vô
|
|
|
hm... Hình như không ai xài InnoSetup thì phải
|
|
|
_ FireLion uSetup là bộ chương trình tạo setup hỗ trợ Unicode được viết bằng ngôn ngữ Borland Delphi. FireLion uSetup dựa trên công cụ setup nổi tiếng InnoSetup phiên bản 5.1.6 của Jordan Russell http://www.jrsoftware.org). Tôi đã đề nghị thêm tính năng Unicode cho InnoSetup cho tác giả đã từ rất lâu (vài... năm trước ) nhưng không nhận được bất cứ phản hồi nào.
_ Trước đây, tôi đã từng vài lần hỗ trợ Unicode cho InnoSetup nhưng đã rất lâu cũng như các version mới sau này phải chỉnh lại từ đầu. Vì vậy source cũ đã không còn nữa. Sau một đêm chỉnh lại InnoSetup để hỗ trợ Unicode cho phù hợp với project đang thực hiện của mình. Tôi quyết định release mã nguồn để những ai có nhu cầu có thể sử dụng chương trình hoặc xem xét mã nguồn của tôi tránh mất thời gian mà tôi đã bỏ ra.
Tham khảo chi tiết tại: http://www.fire-lion.com/software/uSetup/FireLionuSetup.html
|
|
|
Cũng còn ads... hehehe
|
|
|
còn 1 cách nữa là monitor vùng nhớ đó và không cho B ghi đè lên Hễ B ghi lên thì... mình ghi lại
Hàm ReadProcessMemory và WriteProcessMemory hình như yêu cầu có quyền administrator mới sử dụng được
chỉ đúng với Admin Process. Với những process chạy cùng account thì vẫn có thể.
Do đây là hàm debug nên có một số ứng dụng B có thể sử dụng hàm IsDebug của NT để chống debug . Không biết có cách nào vượt qua.
Mấy cái này phải tham khảo các lão REA rồi :p. Thế sao không hook vào IsDebug để nó trả về là... mọi việc vẫn bình yên
|
|
|
ptalksoft wrote:
theo tôi hiểu ý bạn .. là 2 phần mềm bị đụng nhau tiếng anh gọi là bị INTERFACE CONFLICTTION . bạn có thể xài CLASSID , WINDOW FRAME ID basic là: #3..... và thứ ba nữa là xài check forum ID PRoCESS in task ..
3 thứ đó là hạn chế tránh sự đụng chạm nhau giữa cái này và cái kia
Hoàng không hiểu bạn muốn nói gì ?
light.phoenix wrote:
A & B cùng truy xuất chung một ô nhớ, do đó cần có cơ chế điều khiển tương tranh. Trong trường hợp cả hai chương trình đều do bạn viết, cơ chế này được thực hiện qua các kĩ thuật inter-processes synchronization (dùng semaphore, mutex...). Theo mình hiểu thì LQV0604 muốn A là một dạng tool trainer, còn B là một game nào đó, cho nên điều khiển B hạn chế truy cập vào vùng nhớ chung sẽ gặp khó khăn.
B truy cập vùng nhớ không nhất thiết phải thực hiện qua hàm Read/WriteProcessMemory: vì đây là vùng nhớ ngay chính trong process, có thể là biến local trong stack, biến static, global hay heap..., có thể truy cập trực tiếp bằng con trỏ.
Giải pháp của các trainer hiện tại đa số không quan tâm tới tranh chấp khi truy cập, khi cần patch process memory sẽ gọi trực tiếp hàm Write.
Theo như LQV0604 thì chương trình A của mình, B của người ta
Và B là 1 network application.
|
|
|
LQV0604 wrote:
Mình không muốn suspend chương trình B tại vì B là chương trình ứng dụng mạng . Khi mình suspend sẽ gây lỗi chương trình chạy sai .
Còn cách hook vào API readprocessmemory và writeprocessmemory thì không được vì nó khá phức tạp và thứ 2 : do mình truy xuất vào memory của B mà B không chỉ dùng readprocessmemory hoặc writeprocessmemory để ghi lên bộ nhớ của nó ( nó có thể dùng các hàm khác để làm ) cho nên hook vào 2 hàm này không có tác dụng gì nhiều . Bạn có thể giới thiệu những cách khác để từ A mình có thể truy xuất vào vùng nhớ của B mà không gây ảnh hưởng đến hoạt động của B .
Thanks LVH đã góp ý
Pó tay. Thường thì tốc độ ghi dữ liệu cũng không nhiều nên chuyện tranh chấp ghi cùng lúc giữa A & B cũng rất khó xảy ra.
|
|
|
Hoàng nghĩ ta có thể tạm thời suspend cái process lại để ghi. Sau đó Resume để tránh tình trạng xung đột.
Ngoài ra, theo Hoàng nghĩ còn 1 cách nữa nhưng phức tạp hơn. Là hook vào ReadProcessMemory và WriteProcessMemory. Nếu chương trình B sử dụng 2 hàm này thì không cho truy xuất. Đến khi chương trình của mình ghi xong thì cho phép lại.
|
|
|
Theo Hoàng nghĩ thì cách lợi dụng lỗi của ứng dụng/dịch vụ để chèn shellcode vào không được gọi là inject code. Vì rõ ràng mình đâu có... inject vô ứng dụng mà bắt ứng dụng thực thi đoạn shell code của mình. Nhưng... hiểu thế nào thì hiểu, tuỳ quan điểm mỗi người
|
|
|
compile ASM sử dụng MASM
GCC = GNU C Compiler
|
|
|
conmale wrote:
LeVuHoang wrote:
hackernohat wrote:
ngoalong wrote:
Trước kia có 1 thread của anh Eyesdog bàn luận rất sôi nổi về việc inject một process vào 1 system process như explorer.exe Có ai còn lưu các bài viết trong topic đó không nhỉ?
Không trúng rồi bạn ạ, Inject code vô Process người ta gọi là Exploit Buffer Overflow tức là tìm cách chèn một Shellcode ( một dạng mã lậnh dùng để chiếm quyền quản trị đc5 dịch ra dạng ASM) vào phần bộ nhớ của nó,rồi sau đó chỉnh con trỏ trỏ vô phần bộ nhớ chứa shellcode ,thế là thông qua một program chạy với quyền Admin ( ví dụ: Explorer.exe ) ta đã chiếm đc quyền admin và chạy lệnh quản trị trên hệ thống.
Inject code vào process đâu gọi là "Exploit Buffer Overflow" ?
Có thể inject code mà không cần buffer overflow được mà ? Theo cách của bạn là được sử dụng để chạy shell code dưới một chương trình bị lỗi khác để chiếm quyền admin. Ngoài ra còn có thể inject code để chương trình của mình hook vào các chương trình khác. Bạn có thể xem thêm về CreateRemoteThread và API Hook
Hì hì, có thể hackernohat chỉ nghĩ rằng inject code thường để phục vụ cho bof chăng? Quả thật việc inject code để tạo bof thường được nhắc đến hơn là để "hook" vào chương trình khác vì mục đích nào đó ).
bof là gì vậy anh ?
|
|
|
hackernohat wrote:
ngoalong wrote:
Trước kia có 1 thread của anh Eyesdog bàn luận rất sôi nổi về việc inject một process vào 1 system process như explorer.exe Có ai còn lưu các bài viết trong topic đó không nhỉ?
Không trúng rồi bạn ạ, Inject code vô Process người ta gọi là Exploit Buffer Overflow tức là tìm cách chèn một Shellcode ( một dạng mã lậnh dùng để chiếm quyền quản trị đc5 dịch ra dạng ASM) vào phần bộ nhớ của nó,rồi sau đó chỉnh con trỏ trỏ vô phần bộ nhớ chứa shellcode ,thế là thông qua một program chạy với quyền Admin ( ví dụ: Explorer.exe ) ta đã chiếm đc quyền admin và chạy lệnh quản trị trên hệ thống.
Inject code vào process đâu gọi là "Exploit Buffer Overflow" ?
Có thể inject code mà không cần buffer overflow được mà ? Theo cách của bạn là được sử dụng để chạy shell code dưới một chương trình bị lỗi khác để chiếm quyền admin. Ngoài ra còn có thể inject code để chương trình của mình hook vào các chương trình khác. Bạn có thể xem thêm về CreateRemoteThread và API Hook
|
|
|
Bài này có lâu rồi và anh Diêu cũng dịch lâu rồi. Theo lý thuyết thì Windows có lỗ hổng là không check xem nguồn gởi thông điệp là từ đâu. Nhưng hình như thực tế Microsoft đã chặn lỗ hổng này ?
|
|
|
ThangCuEm wrote:
Cái này cũng xưa rồi, và chính MS cũng không công nhận nó là bug, chỉ công nhận nó là một vấn đề thuộc về design của Win OS. Mà hình như nó chỉ được nêu ra trên lý thuyết, chứ thực tế thì không thấy.
hình như là như vậy thật, đã có ai thử chưa zạ... ; )
|
|
|
Bạn có thể tham khảo UPX (http://upx.sf.net) - công cụ dùng để compress file .exe
Khi chạy, loader của UPX sẽ chạy trước và load chương trình gốc lên bộ nhớ.
|
|
|
cái đó là do bạn vào trang web có trong danh sách cấm (blacklist) của DWK - Chương trình ngăn chặn web không lành mạnh
|
|