.:[Ollydbg Tutorials]:. - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thủ thuật reverse engineering

.:[Ollydbg Tutorials]:.

[Question] .:[Ollydbg Tutorials]:.	25/12/2009 15:10:39 (+0700) \| #91 \| 201852

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Chào anh em, kể từ ngày mất laptop bao nhiêu dữ liệu quý hiếm mất sạch, thêm nữa tôi bận lung tung thứ việc nên bộ “OllyDbg tutorial” này đã bị tạm hoãn trong một thời gian khá dài. Tôi nhận được rất nhiều câu hỏi đặt ra liên quan tới bộ tuts này, hầu như xoay quanh việc mong muốn tôi viết tiếp, thú thực là nhiều lúc thấy nản muốn bò béng cho rồi . Đợt này nhân dịp Noel, bã xã mới sinh hạ đại ca và một năm mới sắp đến nên quyết định đặt bút tiếp tục bộ tutor dài kì này. Ngoài mục đích là refresh lại chính mình, quay trở lại nghiên cứu những gì mà tôi đã từng yêu thích cũng nhưng hi vọng rằng sau này đại ca của tôi sẽ có hứng thú với những gì mà tôi đã và đang viết ở đây . Lục lọi và đọc lại 15 bài trước, thấy còn nhiều thiếu sót và có thể chưa đáp ứng được hết những mong muốn, yêu cầu của các bạn, hehe sức người có hạn…tôi biết gì thì viết thế thôi, không dám ôm đồm nhiều thứ.

Ở bài viết thứ 16 này, như tôi đã nói ở trên đó là refresh lại chính mình và là bàn đạp hứng thú để tôi tiếp tục viết tiếp, cho nên tôi sẽ viết rất đơn giản, ngắn gọn và thực hiện demo trên target là Splish.exe mà tôi đã đính kèm trong bài 15. Nếu bạn nào giải quyết được nó rồi (và tôi tin là các bạn làm được) thì có thể bỏ qua bài viết này và chờ đợi những điều mới hơn ở bài 17. N0w let’s g0……

Download here:
http://www.mediafire.com/download.php?qtbz3kgm23y

Best Regards
m4n0w4r

[Question] .:[Ollydbg Tutorials]:.	26/12/2009 18:37:35 (+0700) \| #92 \| 201922

XxFirePhoenixxX
Member

Joined: 08/10/2009 13:12:26
Messages: 2
Offline

Thế là anh kienmanowar đã tiếp tục tut còn dang dở. Cảm ơn anh vì đã cố gắng vì mọi người :-p(nhất là với newbie như em ^^)
Cái splish em xử rồi nhưng cũng down về xem thử phân tích của mình có gì sai sót và học hỏi thử ^^

[Question] .:[Ollydbg Tutorials]:.	29/12/2009 13:10:36 (+0700) \| #93 \| 202085

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Không có gì để giới thiệu nhiều, ở phần 17 này chúng ta sẽ tập trung vào xử lý hai target: một crackme và một Share warez. Có thể nhiều bạn sẽ chê crackme, nhưng thú thực là ngày xưa khi bập bẹ Cracking tôi đâu có dám chơi Soft thật đâu. Tôi đi theo trường phái của đại ca Moon, ban đầu thì cứ crackme mà luyện dần dần mới thử sức trên các phần mềm thật. Đơn giản là vì crackme nhỏ nhẹ, có các level khác nhau, thường là không pack và thuật toán có đủ các thể loại trên trời dưới đất. Còn Soft thật thì nhiều khi xử lý xong cũng có dùng mấy đâu . Vài lời tâm sự thế là đủ rồi …

Download toàn bộ bài viết :

http://www.mediafire.com/download.php?wjdmk5yzmmz

Best Regards
m4n0w4r

[Question] .:[Ollydbg Tutorials]:.	02/01/2010 10:50:53 (+0700) \| #94 \| 202358

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Ở phần 17, tôi có đề cập tới kĩ thuật tìm kiếm đoạn code quan trọng dựa vào Window Messages, cụ thể là sử dụng WM_KEYUP. Để có thể bắt được thông điệp WM_KEYUP thì chúng ta phải nhờ đến một hàm API qua trọng của Windows là TranslateMessage. Chức năng và công dụng của hàm này thế nào thì các bạn tự tìm hiểu nhé. Ở bài viết này, tôi sẽ cùng các bạn thực hành trên target - là một crackme được code bởi lão StzWei (trong CrackLatinos Team thì lão này cũng thuộc dạng tay to smilie

). Về cơ bản kĩ thuật để cập trong bài này cũng không có gì mới, lý thuyết về nó nằm ở phần Conditional Log BreakPoints trong bài 11 và phần Message BreakPoints trong bài 12, chúng ta luyện lại để cho thuần thục hơn mà thôi. Ngoài ra có kèm thêm một target nữa để các bạn tự làm và tự đúc rút kinh nghiệm cho mình, đồng thời nó cũng là chìa khóa để unlock phần 19 kế tiếp lolz …. N0w let’s g0……

Download bài viết tại đây:
http://www.mediafire.com/download.php?wxozigz2q2z

Best Regards
m4n0w4r

[Question] .:[Ollydbg Tutorials]:.	08/01/2010 15:38:59 (+0700) \| #95 \| 202759

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Chào các bạn, trải qua 18 bài viết từ cơ bản về OllyDbg, các thanh ghi và các lệnh Asm thường dùng cho đến các cách đặt Breakpoint, cũng như phương pháp tổng quan trong việc tiếp cận và giải quyết vấn đề, tôi hi vọng các bạn đã phần nào tự mình tích lũy được những kiến thức nền tảng cơ bản nhất để chuyển tiếp sang những kiến thức mới hơn. Sang phần 19 này chúng ta sẽ đi vào một chủ đề mới, đó là : Detect OllyDbg – IsDebuggerPresent. Theo tên của chủ đề thì bài này sẽ tập trung vào giới thiệu và giải thích việc crackme/chương trình sử dụng các cách thức khác nhau nhằm phát hiện ra nó đang bị debug bởi một Debugger nào đó, mà cụ thể ở đây là OllyDbg. Thông qua việc tìm hiểu này, chúng ta sẽ áp dụng những biện pháp/kĩ thuật từ manual cho tới sử dụng plugin để vượt qua sự kiểm tra đó, giúp cho OllyDbg có thể tiếp tục debug được chương trình mà không bị Terminate.

Bài 19 này tập trung vào cách thức phát hiện OllyDbg phổ biến nhất, đó là sử dụng API: IsDebuggerPresent và phương pháp để bypass. Ta sẽ thực hành với crackme được attach cùng với bài viết này…N0w let’s g0…… smilie

Download bài viết:
http://www.4shared.com/file/191257326/bb4acbe0/OllyDbg_tut19.html

Best Regards
m4n0w4r

[Question] .:[Ollydbg Tutorials]:.	09/01/2010 19:20:45 (+0700) \| #96 \| 202871

Nogame
Member

Joined: 17/04/2007 15:31:10
Messages: 3
Offline

pass có phải là chữ "Z" ko vậy anh Kien, sao em extract ko dc

[Question] .:Ollydbg Tutorials:.	10/01/2010 21:19:19 (+0700) \| #97 \| 202929

hateit
Member

Joined: 09/01/2010 22:10:02
Messages: 8
Offline

Nogame wrote:

pass có phải là chữ "Z" ko vậy anh Kien, sao em extract ko dc

Cũng nhw bạn lúc đầu mình tải tut 19 về , khi extract ra thì đòi hỏi password cho nên mình qua bên trang của bác kienmanowar http://kienmanowar.wordpress.com để xem coi bác có post pass hay không.Nhưng đọc phần comment của tut19 thì bác kienmanowar nói rằng pass la số serial của crackme2 trong tut18 cho nên mình hì hục crack nó mới kiếm được pass là RIDERSOFTHESTORM
Mong tiếp tục nhận loạt tut tiếp theo chứ đọc tut bằng tiếng anh của bác Ricardo khó hiểu quá (do dịch không chuẩn)

[Question] .:[Ollydbg Tutorials]:.	11/01/2010 00:04:10 (+0700) \| #98 \| 202939

Nogame
Member

Joined: 17/04/2007 15:31:10
Messages: 3
Offline

Hóa ra là cái crackme này có bug, chỉ cần nhập 1 chữ số là dc, làm lần đầu tìm ra chữ Z => mừng hụt smilie

. Bây giờ lấy cái pass của hateit lần ngược lại mới biết ra chỗ mấu chốt là ở đây

0040139D |> /8A8F A3214000 /mov cl, byte ptr [edi+4021A3]
004013A3 |. |8A1E |mov bl, byte ptr [esi]
004013A5 |. |84DB |test bl, bl
004013A7 |. |74 08 |je short 004013B1
004013A9 |. |32D9 |xor bl, cl
004013AB |. |881E |mov byte ptr [esi], bl
004013AD |. |46 |inc esi
004013AE |. |47 |inc edi

004013CB |. F3:A6 repe cmps byte ptr es:[edi], byte ptr [esi]
Thế là có thể đọc tut 19 rồi
PS: Chúc anh Kien luôn mạnh khỏe để viết tut cho em đọc , hehe

[Question] .:[Ollydbg Tutorials]:.	11/01/2010 21:17:46 (+0700) \| #99 \| 202983

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Rất cảm ơn các bạn đã quan tâm smilie

. Tuy nhiên góp ý các bạn chút xíu, vì cái crackme này cũng dễ làm cho nên anh em nào giải ra thì đừng public, vì điều đó đồng nghĩa với việc các bạn đang giúp những người khác tự thân vận động để có được cái mình cần!!

Sẽ cố gắng viết tiếp và đăng tải bài sớm nhất có thể đề phục vụ các bạn!!

Regards
kienmanowar

[Question] .:[Ollydbg Tutorials]:.	14/01/2010 15:25:12 (+0700) \| #100 \| 203182

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Chào các bạn, để tiếp tục với chủ đề Anti-OllyDbg, ở phần 20 này tôi sẽ tập trung vào giới thiệu cách các target phát hiện ra Olly thông qua việc kiểm tra tên của process. Trong tuần vừa qua, chắc các bạn đã đọc xong phần 19 - trình bày về cách Anti-Olly bằng API IsDebuggerPresent và những phương pháp để vượt qua cơ chế này. Cũng có thể tới thời điểm này, có nhiều bạn chưa giải được Crackme ở phần 18 để unlock phần 19, rất mong các bạn cố gắng tự lực đừng nên phụ thuộc vào lời giải hoặc các đáp án mà một số bạn đã public.

Download phần 20 :
http://www.mediafire.com/download.php?nyzuoj0ebk1

Best Regards
m4n0w4r

[Question] .:[Ollydbg Tutorials]:.	21/01/2010 11:03:45 (+0700) \| #101 \| 203663

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Release bài 21:

I. Giới thiệu chung

Chào các bạn, một tuần dài đã trôi qua, vợ và con về ngoại cả rồi, còn mỗi một mình tôi ngồi buồn mà chẳng biết làm gì, đành viết lách để giết thời gian vậy. Trong bài 21 này chúng ta sẽ tiếp tục nghiên cứu thêm một số kĩ thuật Anti-Debug khác. Target dùng để minh họa trong bài viết này là buggers3.exe, được chỉnh sửa bởi chính bác Ricardo. Theo như giới thiệu thì crackme này sẽ sử dụng các hàm API khác để detect process name, bao gồm việc phát hiện tên process lẫn tên class của OllyDbg. N0w let’s g0……

Download toàn bộ bài :
http://www.mediafire.com/download.php?njjnjwngxzj

Regards
m4n0w4r

[Question] OllyDbg_tut22	29/01/2010 12:56:06 (+0700) \| #102 \| 204128

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Tiếp tục với chủ đề Anti-Debug, ở phần 22 này chúng ta sẽ tìm hiểu thêm hai “thủ thuật” mới, thường được áp dụng cùng nhau hoặc riêng lẻ. Crackme để chúng ta nghiên cứu trong phần này là Sphynx.exe, của tác giả có nick name là d@b. Mặc định tôi xem như các bạn đã hiểu hết những gì tôi viết ở các phần trước, trong phần này chúng ta sẽ sử dụng bản Olly đã được chỉnh sửa bởi chương trình repair0.6 mà tôi giới thiệu ở bài 21. Trên máy của tôi bản OllyDbg gốc được repair0.6 sửa lại và đặt tên là Ltp10.exe, thêm vào đó plugin HideDebugger được cấu hình như sau :

........

Download toàn bộ bài viết tại đây:
http://www.mediafire.com/download.php?n0jzmzahnmy

Best Regards

m4n0w4r

[Question] .:[Ollydbg Tutorials]:.	24/02/2010 23:56:14 (+0700) \| #103 \| 205483

langmaninternet
Member

Joined: 24/08/2004 15:18:38
Messages: 22
Offline

Mấy cái link rapid ở trang 1, phần tút 1 2 3 4 5 ...
mình ko download được

bạn nào có up lên mediafire hộ được ko, cám ơn các bạn

[Question] .:[Ollydbg Tutorials]:.	25/02/2010 07:08:22 (+0700) \| #104 \| 205489

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Vào thẳng Blog của tôi mà load bài smilie

Regards

[Question] .:[Ollydbg Tutorials]:.	25/02/2010 18:01:08 (+0700) \| #105 \| 205535

handaewoo
Member

Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline

khà khà , đúng thứ mình cần smilie

PS : sao cái box của bác kienmanowar dạo này vắng vẻ thế

Bi Kịch Antivirus Vietnam = BKAV

[Question] .:[Ollydbg Tutorials]:.	25/02/2010 21:33:08 (+0700) \| #106 \| 205548

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Cuộc sống còn có lúc trầm lúc bổng cơ mà :d

Regards

[Question] ko có file crackme, a share cho em được ko ạh	25/02/2010 21:39:40 (+0700) \| #107 \| 205549

langmaninternet
Member

Joined: 24/08/2004 15:18:38
Messages: 22
Offline

kienmanowar wrote:

Vào thẳng Blog của tôi mà load bài

Regards

e có vô rồi nhưng ko có file crackme.exe trên đó hu hu hu hu hu uhu......
anh có thể share file đó ko ạ.

[Question] ko có file crackme, a share cho em được ko ạh	26/02/2010 07:07:41 (+0700) \| #108 \| 205566

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

langmaninternet wrote:

e có vô rồi nhưng ko có file crackme.exe trên đó hu hu hu hu hu uhu......
anh có thể share file đó ko ạ.

Oạch nó là trong tutor nào, mỗi bài viết tôi đều attach toàn bộ target kèm theo rồi.

Regards

[Question] .:[Ollydbg Tutorials]:.	27/02/2010 20:21:12 (+0700) \| #109 \| 205719

kobold
Member

Joined: 17/02/2010 05:21:28
Messages: 4
Offline

Anh Kiên cho em hỏi chút, ở tut 13 của anh đó, mấy cái hình minh họa ở cửa sổ CPU bên ô comment đều hiển thị code giải thích rõ ràng, vậy anh dùng plugin nào cho OllyDbg vậy ah? Anh có thể chỉ cho em hoặc share cho em cái plugin đó được ko?
Ví dụ như này:

Cám ơn anh Kiên !

[Question] .:[Ollydbg Tutorials]:.	28/02/2010 22:09:57 (+0700) \| #110 \| 205784

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

À đâu có phài plugin nào cao siêu đâu em ơi, toàn bộ những gì trong hình là do anh comment vào đấy. Em có thể tham khảo tính năng comment code này của Olly bằng cách nhấn chuột phải tại đoạn code mà muốn comment và chọn tính năng trong menu sổ ra. Còn không thì nhấn phím tắt là ";" smilie

.

Best Regards
kienmanowar

[Question] .:[Ollydbg Tutorials]:.	01/03/2010 05:36:20 (+0700) \| #111 \| 205798

kobold
Member

Joined: 17/02/2010 05:21:28
Messages: 4
Offline

Oh em thấy rồi, thanks anh Kiên nhé! Càng đọc TUT của anh càng mê mẩn, tiếc là em chịu "tìm tòi " hơi muộn smilie

(. Cám ơn anh nhiều smilie

[Question] .:[Ollydbg Tutorials]:.	01/03/2010 09:13:51 (+0700) \| #112 \| 205809

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Ngày xưa môn học mà anh ngại nhất là môn Văn smilie

[Question] .:[Ollydbg Tutorials]:.	02/03/2010 05:33:21 (+0700) \| #113 \| 205875

kobold
Member

Joined: 17/02/2010 05:21:28
Messages: 4
Offline

kienmanowar wrote:

Ngày xưa môn học mà anh ngại nhất là môn Văn .

May hồi xưa anh ngại môn văn chứ ko thì bây giờ ko còn xuất hiện 1 kienmanowar nữa roài smilie

, em hàng ngày đang dọc TUT của anh và theo phương châm của anh đã viết là cứ nhai crackme ngon lành đã. Có Tut em nhai đi nhai lại mấy lần liên , gần như học thuộc các bước làm. Em có 1 ý kiến là anh có thể đưa thêm vài bài tập nhỏ sau mỗi tut để newbie như em tập tành được ko? Hoặc anh có thể gợi ý 1 số phần mềm nhỏ nhẹ mà newbie như em có thể thực hành được ko ?
Chân thành cám ơn anh!

[Question] .:[Ollydbg Tutorials]:.	02/03/2010 15:00:32 (+0700) \| #114 \| 205920

kobold
Member

Joined: 17/02/2010 05:21:28
Messages: 4
Offline

Anh Kiên cho em hỏi chút :
- Sau khi đọc TUT 20 , kết quả anh có chỉ ra 3 cách để bypass cơ chế antin Olly , em đã làm thử 3 cách như anh nói, như sau khi làm xong thì chạy DaXXoR trong Ollydbg đều bị hiển thị pause tại vị trí sau như hình vẽ

Code:

[b]00401ACF   .  F7F9          IDIV ECX                                 ;  dung tai day vi ECX=0[/b]

Em để ý thì lúc này thanh ghi ECX=0 nên bị pause vì lỗi chia cho 0, nên ko thể F9 cho chạy tiếp được.

Em làm đi làm lại nhiều lần đều bị vậy.

- Em hỏi thêm câu nữa là khi thay đổi tên của Ollydbg, chạy Ollydbg thì hiện thị thông báo lỗi ko tìm thấy file OLLYDBG.EXE (điều này hiển nhiên vì mình đã thay đổi tên) nhưng làm vậy có ảnh hưởng gì đến Ollydgb trong quá trình mình làm việc ko?

Nên hiện giờ em vẫn chưa chạy được DaXXoR trong Ollydbg smilie

Cám ơn anh!

[Question] .:[Ollydbg Tutorials]:.	14/04/2010 10:00:33 (+0700) \| #115 \| 208947

hezman87
Member

Joined: 23/02/2008 01:46:38
Messages: 4
Offline

Em dùng Borlan C biên dịch ra file thực thi sau đó mở bằng OllyDbg thì không được. Cho em hỏi có cách nào debug chuong trình mã C của mình bằng OllyDbg ko?

Thanks

[Question] .:[Ollydbg Tutorials]:.	10/07/2010 09:07:28 (+0700) \| #116 \| 215008

dahiphop
Member

Joined: 21/06/2009 17:25:09
Messages: 9
Offline

kobold wrote:

Anh Kiên cho em hỏi chút :
- Sau khi đọc TUT 20 , kết quả anh có chỉ ra 3 cách để bypass cơ chế antin Olly , em đã làm thử 3 cách như anh nói, như sau khi làm xong thì chạy DaXXoR trong Ollydbg đều bị hiển thị pause tại vị trí sau như hình vẽ

Code:
[b]00401ACF   .  F7F9          IDIV ECX                                 ;  dung tai day vi ECX=0[/b]
Em để ý thì lúc này thanh ghi ECX=0 nên bị pause vì lỗi chia cho 0, nên ko thể F9 cho chạy tiếp được.

Em làm đi làm lại nhiều lần đều bị vậy.

- Em hỏi thêm câu nữa là khi thay đổi tên của Ollydbg, chạy Ollydbg thì hiện thị thông báo lỗi ko tìm thấy file OLLYDBG.EXE (điều này hiển nhiên vì mình đã thay đổi tên) nhưng làm vậy có ảnh hưởng gì đến Ollydgb trong quá trình mình làm việc ko?

Nên hiện giờ em vẫn chưa chạy được DaXXoR trong Ollydbg
Cám ơn anh!

-Bạn qua IDIV ECX thì pause là đúng rồi. Lệnh đó có nghĩa EAX div ECX tương đương 1 div 0 mà mình chưa bao giờ nghe 1 div 0 bao giờ(chỉ có 0 div 1 =0, còn 1 div 0 sai). Khi chia ra sẽ ra 2 kết quả, phần dư và phần nguyên, dư thì lưu vào EDX, còn nguyên thì lưu vào EAX
-Chạy ollydbg báo lỗi là do Plugin . Bạn hãy download tool này http://www.mediafire.com/?mtyntdnwm1m. Load Plugin vào và đổi tên cho trùng với tên ollydbg của bạn

[Question] Link die	26/07/2010 07:49:54 (+0700) \| #117 \| 216307

dangvanhoavc
Member

Joined: 28/03/2010 05:15:28
Messages: 4
Location: Ha nam
Offline

Mấy cái link 4share tui down không được, ai có làm ơn cho lại đi, link mediafire càng tốt.
Thank!

[Question] xin pass	26/07/2010 08:48:07 (+0700) \| #118 \| 216310

dangvanhoavc
Member

Joined: 28/03/2010 05:15:28
Messages: 4
Location: Ha nam
Offline

Tui down tut 19 tu wordpress nhung không có pass, bạn làm ơn cho mình xin pass được không?
Thanks!

[Question] .:[Ollydbg Tutorials]:.	26/07/2010 21:42:46 (+0700) \| #119 \| 216379

kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline

Toàn bộ bài viết về OllyDbg có thể download tại blog của tôi : http://kienmanowar.wordpress.com/

Để xem được phần 19 bạn phải giải được crackme trong phần 18, chuỗi serial mà bạn tìm được sẽ là password để giải nén.

Best Regards
kienmanowar

[Question] .:[Ollydbg Tutorials]:.	09/08/2010 10:05:48 (+0700) \| #120 \| 217955

legend_star
Member

Joined: 21/07/2009 11:44:50
Messages: 23
Offline

Bộ tuts của anh kienmanowar rất hay... không biết nói gì hơn! Cảm ơn anh rất nhiều..
PS: Vài lời cảm ơn spam mong mọi người bỏ qua cho!

Go to:

Users currently in here
1 Anonymous