banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: satashi  XML
Profile for satashi Messages posted by satashi [ number of posts not being displayed on this page: 0 ]
 
Hình như bạn không rõ bạn đang làm gì thì phải smilie

TQN wrote:
Cậu này tự cao quá, cần khiêm tốn một chút, ba cái trò search reference strings đó chỉ áp dụng cho newbie thôi cậu ạ.
Cậu chưa gặp trường hợp app nó cố tình fake cậu bằng cách tạo procedure giả, đưa ra mấy cái string đó để đánh lừa cracker à.
Trong ct đó, tui giả sữ có 1 hàm #, nhiệm vụ nó vd như CreateThread hay MapFileAndChecksum, CRC,MD5,SHA check... để check section, address của function cậu vừa patch thì sao ? Trong khi cậu chỉ chăm chăm patch 1 chổ, thậm chí còn không hiểu API làm cái gì, cứ JZ,JNZ là patch à.
Thôi nói dông dài, cậu cố gắng giải thích giùm tui nó get text ra sao, check key ra sao đi ? 

Ờ quên vả lại ai ko bắt đầu từ newbie ! Cho nên cách của newbie chưa chắt là tệ đâu bạn ạ
Còn đề nghị của bạn mình sẽ cố gắng tìm ra trong một ngày gần nhất !
Thân !

TQN wrote:
Cậu này tự cao quá, cần khiêm tốn một chút, ba cái trò search reference strings đó chỉ áp dụng cho newbie thôi cậu ạ.
Cậu chưa gặp trường hợp app nó cố tình fake cậu bằng cách tạo procedure giả, đưa ra mấy cái string đó để đánh lừa cracker à.
Trong ct đó, tui giả sữ có 1 hàm #, nhiệm vụ nó vd như CreateThread hay MapFileAndChecksum, CRC,MD5,SHA check... để check section, address của function cậu vừa patch thì sao ? Trong khi cậu chỉ chăm chăm patch 1 chổ, thậm chí còn không hiểu API làm cái gì, cứ JZ,JNZ là patch à.
 

1.Ối trời ! mình ko có ý tự cao nhưng bạn cũng đừng quá coi mình chả biết gì smilie

2.Quả thật mình chưa gặp trường hợp nào như thế ( nếu có thì cho mình coi thử để thu phục nó luôn coi)

3.Còn mấy cái bạn nói đó hả (mình chỉ tác động cờ Zero thôi,hoặc sửa giá trị thanh ghi để check trước). Cho nên đố thằng nào mò ra. Vả lại sau khi sửa mình vẫn theo dõi hết sức cẩn thận từng hành đông của nó ! Cho nên soft ko có cơ hội chọt mình đâu. smilie

TQN wrote:
Vậy là cậu không hiểu gì cả, cứ bp đại, patch đại, miễn là ct đó nó run đúng theo ý muốn của cậu thôi à. Nếu có chổ # nó check, phát hiện bị patch/crack, nó del file của cậu, format hardisk của cậu thì sao ?!

Để crack/patch được 1 app thì một newbie chỉ cần 1 tới 2 tuần với OllyDbg và vài tutor là patch được, nhưng các cậu chỉ làm như một cái máy. Chỉ biết bp rồi patch mà không hiểu gì cả.

Tìm đọc trong MSDN hay Win32.hlp xem hàm GetKeyState làm cái gì ? Cố gắng tìm xem app trên check key chổ nào, check toàn vẹn app chổ nào, làm việc ra sao, phân tích cho kỹ, test đi test lại nhiều lần rồi mới release.

Bản thân tui thì không dám đụng tới cái release của mấy cậu đâu.

 

Bạn sai rồi, mình patch theo một cách hết sức có logic. Quá trình check Key của nó bị khó thấy, nhưng quá trình so sánh của nó thì rất tường minh (push địa chỉ chuỗi ...registered... và ...unegistered...).Cho nên sẽ ko có hiện tượng như bạn nói đâu ! +

patch + find real serial đã vào tận trong máu tôi rồi. Hõm nay chỉ thử tay nghề với một số phần mềm thôi ! (thật hơi thất vọng smilie ).

Còn vào MSDN hả ! ối trời ơi ! Vua làm biếng đây nè ! Chừng nào chưa thật cần thiết mình ko đọc ba cái đống chử đó đâu !

smilie

LeVuHoang wrote:
pó giò. GetKeyState là để lấy nội dung textbox hả :-| 

Pác đừng cười. "Tuyệt chiêu API" em ngụ ý là cái API mà từ đó sự thật về real serial từ từ hiện ra (trace tới ý mà) !

TQN wrote:
Lỡ hỏi rồi hỏi tiếp, vậy hàm API GetKeyState làm cái gì vậy bạn, input paramter là gì, return cái gì ?
Trong app mà cậu "thu phục" kia, nó gọi GetKeyState như thế nào để lấy text vậy ?
Mong được trả lời tường tận ! 


He he ! Bạn đụng tới chỗ đau của mình rồi. Chả biết Hàm này làm gì (nghĩ đại khái là ... cái gì đó). Còn cái app kia bị break tại call cái hàm đó rồi trace từ từ rồi ra thôi ! Nói thật, mình vẫn chưa tìm ra real serial mà chỉ patch jump và kill cái CRC Check thôi ! smilie

TQN wrote:
Vậy thì cuối cùng nó dùng "tuyệt chiêu API" gì vậy ? 


Ha Ha ! Đó là USER32.GetKeyState . Quá trình tìm ra nó rất đơn giản ( Set bp hết rồi loại bỏ từ từ ! vậy thôi ) smilie
Ha Ha Ha ! Cuối cùng sau một trận quyết đấu sinh tử + nhờ sự giúp sức của các bạn, em đã thu phục được con SpaceMonger 2.1 này rồi(đây là chủng loại hiếm gặp). Thank very much !!! smilie

TQN wrote:
Tìm Point-H để đặt breakpoint. 


smilie Hỏng hiểu gì ráo !!!

LeVuHoang wrote:
Bạn dùng GetWindowText hoặc SendMessage thử xem. 


Đều ko được. Có cái SendMessageW bị break khi set bp tại nó nhưng em nghĩ ko phải nó đâu vì khi chọn cửa sổ chương trình thì bị break ngay ; còn search all intermodular calls và set bp tại mấy cái đó thì chẳng có cái nào break cả !
Gặp mình, xóa đại nó là xong !!!
- smilie Phần mềm em đang thu phục tung ra một tuyệt chiêu hơi lạ, ko dùng GetDlgItemTextA(W) hay đại loại một cái nào đó mà em biết để đọc nội dung textbox. Ai biết chỉ giùm trong win có hàm nào đại loại như thế ko (GDI32.dll, kernel32.dll, user32.dll,...). Thnx nhiều !

congminh923 wrote:
Cuối cùng mình phát hiện ra là file serverx.exe chui vào các file exe khác. Nó là virus Win32.Serverx.PE. Mình quét đi quét lại, nó chết hết rồi nhưng khi khởi động lại máy nó sống lại! smilie
Nó dùng process hijacking nên không trị được, nó chui vào các file của BitDefender nên mỉnh không thể diệt và cũng không thể end process của BitDefender được.

Có ai cứu tui không? smilie  


Dùng pskill.exe thử coi ,(nhớ download tại microsoft), hỏng được thì pó tay !
Mình nghĩ nó cũng đã chui vào mấy file exe hệ thống luôn rồi ( Cái này chỉ có cách cài lại win thôi) smilie

congminh923 wrote:
Chào mọi người, hôm nay mình lên mạng, tự nhiên thấy tốc độ chậm lạ thường. Mình nghi ngở nên mới mở TCPView ra. Xem xong thấy có process iexplore.exe đang liên tục SYN_SENT đến host-41.233.55.76.tedata.net (41.233.55.76). Mình dùng BitDefender quét hết ổ C rồi mà không phát hiện ra trojan, virus,...
Em vào thư mục của iexplore.exe, end process rồi xoá nó đi. Không ngờ nó lại tự tạo một file khác cũng tên iexplore.exe.
smilie
Làm sao biết được file nào đang inject vào iexplore.exe đây? Mọi người giúp em với. smilie  


Lúc bạn xóa nên xóa cả trong dllcache nữa #
Theo mình dùng Process Explorer kill hết các process lạ(kể cả ko liên quan gì tới iexplore).
Sau đó dùng resource hacker xem cấu trúc resource của nó xem có gì lạ ko (có thể bị gắn 1 exe vào đó)
Nếu ko sau thì xem lại các chương trình khởi động cùng win xem !
Nếu ko có bạn thử dùng Opera hay FireFox(mình thích Opera hơn) mà duyệt web !
Nếu cũng ko được smilie Cài lại win đi thôi (cái này mình dùng hoài, vì ko dùng anti-virus mà !)
Hi vọng giúp được cái gì đó ! smilie
Sau khi Unpack một phần mềm bị pack(upx,aspack..) thì dùng resource hacker không thể đọc được những resource của nó. Hỏi nguyên nhân và các phục hồi ? Thank !
Gặp ASProtect 2.x, em cần phải soạn Olly Script smilie .Nhưng chả biết gì cả !!
Không biết hàm nào trong OllyScript di chuyển dword ptr ss:[esp] vào biến a ?
Thank smilie
-Đây là tut do em dầy công ngâm cứu, nó giới thiệu với các bạn về re soft ASPack 2.12( hàng chính hãng được pack bằng ASProtect).Hi vọng nó không tệ ! smilie
http://rapidshare.com/files/134701784/ID04082008.rar.html
-Xin chỉ giáo thêm smilie

TQN wrote:
Tutor làm rất được, mới học unpack vậy là khá và cố gắng rồi.
Nếu được, nên phân tích và giải thích tại sao phải làm như vầy, như kia, chứ không người khác cứ đọc và làm theo như cái máy mà không hiểu tại sao phải làm vậy (tui cũng vậy). 


Thank !!
Đây là tuts đầu tiên của em smilie sau mấy tháng trời ngâm cứu unpack(Ko biết luyện được bao nhiêu) smilie

http://rapidshare.com/files/133013828/ID028072008.rar.html

Xin chỉ giáo ! smilie
...
CDQ
...
Em biết hàm CDQ convert 32bit to 64bit, nhưng vẫn chưa rõ. Bác nào cho em một ví dụ thử coi (như EAX=37)

kienmanowar wrote:

satashi wrote:
Vậy thì chương trình bị pack có thể dùng olly để reverse mà không cần pack được không ? tại sao ?[img] 


nhầm unpack chứ không phải pack !

-Em nghỉ có thể đọc được serial của nó mà không cần unpack.Có được ko ?
Vậy thì chương trình bị pack có thể dùng olly để reverse mà không cần pack được không ? tại sao ?[img]
1. Nguyên lí Pack phần mềm ?
- Cụ thể :
+ ASProtect (1.2x->1.3x, 2.x SKE)
+ Armadillo (x.x)
2. Một số thuật ngữ : IAT, Magic Jump, ...
3. Cách tìm OEP của phần mềm bị Pack bởi ASProtect (1.2x->1.3x, 2.x SKE...)
4. Cách tìm OEP có khác nhau không giữa các chương trình bị pack bởi các toolpack khác nhau ?
5. -Thank you for reading-
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|