<![CDATA[Latest posts for the topic "Nhờ các cao thủ RE giúp em này"]]> /hvaonline/posts/list/36.html JForum - http://www.jforum.net Nhờ các cao thủ RE giúp em này
Có vẻ như hoạt động không giống với CVE-2010-3333 thông thường vì mình cũng đã thử metasploid với CVE này trước đây để test rồi. Xem thông tin trên wireshark thì chỉ biết nó connect đến billgate2012.xicp.net. Phần còn lại nó chơi https thì mình bó tay, không hiểu nó làm gì tiếp Kiểm tra tasklist sau khi mở file trên thì chỉ thấy có phát sinh iexplore.exe với thông số như sau IEXPLORE.EXE 1736 Console 0 1,588 K WINWORD.EXE 1704 Console 0 8,652 K Phán đoán của mình là nó dùng IEXPLORE.EXE để connect đến server qua https nhưng nó gửi trao đổi những gì thì chịu. Chỉ chắc chắn là máy sếp đã dính em này vì mình có cài wireshark lên máy sếp thử thì thấy các bản tin gửi đến billgate2012 rất đều đặn, chỉ kill IEXPLORE.EXE đi mới hết Mình không chuyên về RE và RCE lắm nên đọc qua hex code của mấy file này chẳng hiểu gì, mà hình như nó mã hoá hay sao đó nên cũng không thu được nhiều thông tin như các ví dụ của bác TQN có trình bày. Vậy nhờ các bác RE cao tay ở đây giúp dùm xem mấy em này bản chất nó làm gì, có cài cắm thêm gì vào máy không để mình hỗ trợ sếp trong việc removal Các file này mình tạm upload tại link: removed. Cảm ơn các ACE nhiều conmale edited: remove link đến malware.]]>
/hvaonline/posts/list/41599.html#258695 /hvaonline/posts/list/41599.html#258695 GMT
Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#258714 /hvaonline/posts/list/41599.html#258714 GMT Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#258788 /hvaonline/posts/list/41599.html#258788 GMT Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#259005 /hvaonline/posts/list/41599.html#259005 GMT Nhờ các cao thủ RE giúp em này 10/43 AV phát hiện được mã độc nhúng trong 2 file này: - https://www.virustotal.com/file/678e4b239d5c0a5d88fc7c1a673eeb1ef2af6851a57f8bc06801a3f07906ae37/analysis/1331878915/ - https://www.virustotal.com/file/3e9389f26f5022854de96ea23d3a7ac6dfda99904f5331ce9adcff89a8b5a02a/analysis/ 2. Dựa trên kết quả search Google theo từ khoá: CVE-2010-3333 (RTF Stack Buffer Overflow Vulnerability) ra được một số phân tích của các cá nhân, hãng AV liên quan exploit này: - http://labs.m86security.com/2011/07/resurrection-of-cve-2010-3333-in-the-wild/ - http://p4r4n0id.com/?p=410 3. Cá nhân mình dùng các tool để xem xét đồng thời so sánh với kết quả phân tích ở 2 link trên cho thấy: - 2 file lưu theo format RTF mặc dù là .DOC; - Có thể file đã bị nhúng shellcode nhưng cách thức nhúng khác với các phân tích ở 2 link trên, shellcode đã được biến đổi thành dạng HEX thay vì binary mã máy trực tiếp; - Nhận dạng chuỗi string làm tràn bộ đệm có thể là dãy: 4c4c4c4c4c4c4c4c4c4c4c4c4c4c......., cũng có thể là 1 chuỗi khác phía trước.
- Thử disassembler đoạn shellcode kết quả có vẻ chưa đúng. Mình test mở file với Office 2003 SP3 chỉ thấy Word crash chứ chưa kích hoạt được shellcode. Cao thủ RCE nào có kinh nghiệp mong giúp một tay. AV phổ biến trong nước như Kaspersky chưa detect được, bạn nào có CMC hay BKAV test thử xem. Hậu quả khôn lường nếu hacker gửi spam tràn lan các file chứa mã độc dạng này mà AV không ngăn chặn được.]]>
/hvaonline/posts/list/41599.html#259022 /hvaonline/posts/list/41599.html#259022 GMT
Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#259025 /hvaonline/posts/list/41599.html#259025 GMT Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#259034 /hvaonline/posts/list/41599.html#259034 GMT Nhờ các cao thủ RE giúp em này Code:
inetnum:        112.112.0.0 - 112.115.255.255
netname:        CHINANET-YN
descr: 	        CHINANET YUNNAN PROVINCE NETWORK
descr: 	        China Telecom
descr: 	        No.31,jingrong street
descr: 	        Beijing 100032
country:        CN
admin-c:        CH93-AP
tech-c:         ZL48-AP
remarks:        service provider
status:         ALLOCATED PORTABLE
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-YN
mnt-routes:     MAINT-CHINANET-YN
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        hm-changed@apnic.net 20090121
source:         APNIC

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         anti-spam@ns.chinanet.cn.net
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
changed:        dingsy@cndata.com 20070416
mnt-by:         MAINT-CHINANET
source:         APNIC

person:         zhiyong liu
nic-hdl:        ZL48-AP
e-mail:         ynipm@126.com
address:        136 beijin roadkunmingchina
phone:          +86-871-8223073
fax-no:         +86-871-8221536
country:        CN
changed:        ynipm@126.com 20070813
mnt-by:         MAINT-CHINANET-YN
source:         APNIC
rdns thì lòi ra một chú ở quảng châu: Code:
Registrant:
    Shanghai Best Oray Information S&T Co., Ltd.
    Shanghai Best Oray Information S&T Co., Ltd.       (yezi@oray.com)
    1st Floor of No. 15 Jian Gong Road Tianhe District
    guangzhou
    guangdong,510665
    CN
    Tel. +86.2061073384-
    Fax. +86.2061073344-


Creation Date: 2011-09-26 11:13:46
Expiration Date: 2012-09-26 11:13:46

Domain servers in listed order:
    NS1.EXHERA.COM,NS2.EXHERA.COM


Administrative Contact:
    Shanghai Best Oray Information S&T Co., Ltd.
    chen yuye        (yezi@oray.com)
    1st Floor of No. 15 Jian Gong Road Tianhe District
    guangzhou
    guangdong,510665
    CN
    Tel. +86.2061073384-
    Fax. +86.2061073344-

Technical Contact:
    Shanghai Best Oray Information S&T Co., Ltd.
    chen yuye        (yezi@oray.com)
    1st Floor of No. 15 Jian Gong Road Tianhe District
    guangzhou
    guangdong,510665
    CN
    Tel. +86.2061073384-
    Fax. +86.2061073344-

Billing Contact:
    Shanghai Best Oray Information S&T Co., Ltd.
    chen yuye        (yezi@oray.com)
    1st Floor of No. 15 Jian Gong Road Tianhe District
    guangzhou
    guangdong,510665
    CN
    Tel. +86.2061073384-
    Fax. +86.2061073344-

Status:ok
He he, ít ra người anh em môi hở răng không lạnh này cũng biết viết mấy chữ tiếng Việt để dụ khị dân An Nam ta :-) . Đang quậy cái mớ hex. Sẽ post thêm chi tiết sau.]]>
/hvaonline/posts/list/41599.html#259039 /hvaonline/posts/list/41599.html#259039 GMT
Nhờ các cao thủ RE giúp em này 3737373737373737}}}} và kể từ đoạn này trở về sau thì mã hex gần như giống nhau. Shellcode entry point ở đây chăng các bác? Cái thứ nhất
Cái thứ hai
]]>
/hvaonline/posts/list/41599.html#259048 /hvaonline/posts/list/41599.html#259048 GMT
Nhờ các cao thủ RE giúp em này 1. Analysis of CVE 2010-3333 Microsoft Office RTF File Stack Buffer Overflow Vulnerability http://0x1byte.blogspot.com/2011/02/cve-2010-3333-microsoft-office-rtf-file.html 2. Metasploit Framework - Microsoft Word RTF pFragments Stack Buffer Overflow (File Format) http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/fileformat/ms10_087_rtf_pfragments_bof.rb ]]> /hvaonline/posts/list/41599.html#259089 /hvaonline/posts/list/41599.html#259089 GMT Nhờ các cao thủ RE giúp em này huydd và anh conmale dùng Windows và Office phiên bản nào kích hoạt được shellcode được vậy? Mình dùng WinXP SP3 và Offfice 2003 SP3 nhưng khi mở file chỉ thấy crash và treo not responding, ko thấy kết nối mạng ra ngoài như conmale capture được.]]> /hvaonline/posts/list/41599.html#259117 /hvaonline/posts/list/41599.html#259117 GMT Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#259134 /hvaonline/posts/list/41599.html#259134 GMT Nhờ các cao thủ RE giúp em này
[/URL] ]]>
/hvaonline/posts/list/41599.html#259146 /hvaonline/posts/list/41599.html#259146 GMT
Nhờ các cao thủ RE giúp em này

miyumi2 wrote:
Bạn huydd và anh conmale dùng Windows và Office phiên bản nào kích hoạt được shellcode được vậy? Mình dùng WinXP SP3 và Offfice 2003 SP3 nhưng khi mở file chỉ thấy crash và treo not responding, ko thấy kết nối mạng ra ngoài như conmale capture được. 
Anh chạy con này trên vmware với XP SP1 và Office 2003 nguyên thuỷ. Dính chấu liền tại chỗ ;). Hình như cái host quỷ ở nước cộng quà nhơn dơn chung qua kia không còn nữa.]]>
/hvaonline/posts/list/41599.html#259148 /hvaonline/posts/list/41599.html#259148 GMT
Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#259153 /hvaonline/posts/list/41599.html#259153 GMT Nhờ các cao thủ RE giúp em này

TQN wrote:
2 n2tforever: đoạn code asm trên chính là hàm memcpy của VC++ RTL, trong mso.dll. Làm sao cậu biết xor với 0x91 ? 
bắt đầu từ đoạn nó overflow em trace tiếp vài dòng là ra anh ạ,thằng này sau khi over nó vẫn return về đúng địa chỉ nhưng đến cái return thứ hai hay ba gì đó là bị ghi đè,sau đó chương trình bị rẽ hướng đến đoạn decode shell Đây là đoạn exploit:
Đây là đoạn decode của nó:
]]>
/hvaonline/posts/list/41599.html#259177 /hvaonline/posts/list/41599.html#259177 GMT
Nhờ các cao thủ RE giúp em này Code:
// đã remove, code shellcode extract ra bi bug. Các code và các file cần thiết ở mediafie.
Sơ bộ nó tìm dll base của 3 dll sau: ntdll, kernel32 và advapi32.dll Parse và tìm address trong 3 dll trên các hàm sau:
Stack[000007E8]:0012FF04 dd offset kernel32_GetTempPathA Stack[000007E8]:0012FF08 dd offset kernel32_SetCurrentDirectoryA Stack[000007E8]:0012FF0C dd offset kernel32_WriteFile Stack[000007E8]:0012FF10 dd offset kernel32_CloseHandle Stack[000007E8]:0012FF14 dd offset kernel32_TerminateProcess Stack[000007E8]:0012FF18 dd offset kernel32_WinExec Stack[000007E8]:0012FF1C dd offset kernel32_CreateFileA Stack[000007E8]:0012FF20 dd offset kernel32_lstrlen Stack[000007E8]:0012FF24 dd offset kernel32_lstrcat Stack[000007E8]:0012FF28 dd offset kernel32_WideCharToMultiByte Stack[000007E8]:0012FF2C dd offset kernel32_CreateFileMappingA Stack[000007E8]:0012FF30 dd offset kernel32_MapViewOfFile Stack[000007E8]:0012FF34 dd offset kernel32_GetFileSize Stack[000007E8]:0012FF38 dd offset kernel32_QueryDosDeviceA Stack[000007E8]:0012FF3C dd offset ntdll_NtQueryVirtualMemory Stack[000007E8]:0012FF40 dd offset advapi32_RegOpenKeyA Stack[000007E8]:0012FF44 dd offset advapi32_RegDeleteKeyA Stack[000007E8]:0012FF48 dd offset advapi32_RegCloseKey Stack[000007E8]:0012FF4C dd offset Kernel32_Base  
Nó dùng chính các hàm API trên để read chính nó lại lên bộ nhớ, giãi mã cái đám không phải shellcode thành code để thực thi tiếp. So ra nó phức tạp hơn shellcode của stl trong file .doc trước nhiều lần. ]]>
/hvaonline/posts/list/41599.html#259250 /hvaonline/posts/list/41599.html#259250 GMT
Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#259256 /hvaonline/posts/list/41599.html#259256 GMT Nhờ các cao thủ RE giúp em này billgate2012.xicp.net  
debug037:00CC0068 szhttpngoisao_netFilesSubject3b9dbb82ty3_jpg_thumb0x105_ db 'http://ngoisao.net/Files/Subject/3b/9d/bb/82/ty3.jpg.thumb0x105.ns.cr140x105.jpg',0 debug037:00CC00B9 db 0BEh ; + debug037:00CC00BA db 0ADh ; ¡ debug037:00CC00BB db 0DEh ; ¦ debug037:00CC00BC szty3_jpg_thumb0x105_ns_cr140x1051_jpg db 'ty3.jpg.thumb0x105.ns.cr140x105[1].jpg',0 debug037:00CC00E3 db 0DEh ; ¦ debug037:00CC00E4 szHTTP1_1200OKContentTypeimagejpegKeepAlivetimeout6 db 'HTTP/1.1 200 OK',0Dh,0Ah debug037:00CC00E4 db 'Content-Type: image/jpeg',0Dh,0Ah debug037:00CC00E4 db 'Keep-Alive: timeout=60',0Dh,0Ah debug037:00CC00E4 db 'Content-Length: 4805',0Dh,0Ah debug037:00CC00E4 db 'ETag: "8ef312ff17fccc1:a24"',0Dh,0Ah debug037:00CC00E4 db 'X-Powered-By: ASP.NET',0Dh,0Ah debug037:00CC00E4 db 0Dh,0Ah  
Sao lại có ngoisao.net trong đây ? Phân tích đầy đủ cái shellcode và đống đi kèm này chắc cũng phải mất chục trang Word + mấy chục cái hình. File exe để debug inject code cuối cùng vào IE là file 3.exe và source 3.cpp. Em dùng C++ Builder để compile. Các bác cứ tập trung vào file 3.exe là sẽ hiểu các kết nối, tạo file, ghi registry của nó. http://www.mediafire.com/download.php?hajsiw2fze8kruc Đặt breakpoint vào các hàm WinExec, CreateProcessA/W, CreateFileA/W, các hàm Registry, và quan trọng là các hàm của WinInet. Quan sát trên stack để xem nó kết nối tới đâu, down cái gì về. Phải công nhận con shellcode này phức tạp thiệt, làm em mất mấy ngày ngồi extract, make exe, RCE. Và em lại thấy có cái mùi của stl trong nước, sống dậy, lợi hại hơn à ? Chết em, "heo mi" ! Mong các bác tiếp tục, giờ em không còn đầu óc làm mấy cái này nữa. Bị một em gái tình cờ gặp hồi đi đám cưới hớp hồn rồi ;) À quên, cậu huydd có máy mó gì trong đó không, shellcode bị một vài lỗi, tui phải workaround khi extract shellcode ra ! File iExplorer.exe và file .doc (.rtf) nguyên thuỷ (tức file gốc, không bị lỗi, không bị chèn shellcode lúc đầu) bị thiếu mất 4 byte sau khi được extract ra. Đoạn code check file size không thoã, phải patch. Bat file thì sinh đủ. 1 đoạn shellcode trong 1 file .rtf, khi run sẽ extract ra 3 file vào %Temp% dir: 1 bat, 1 exe (iExplorer.exe) và 1 rtf (.doc) gốc. Tất cả đều được rút từ file malform .rtf (.doc) ban đầu. Hay, kỹ thuật hay, lần đầu mới gặp. Khi các bạn debug 1.exe hay 2.exe, ở đoạn check file size = hàm GetFileSize, các bạn patch cho nó khỏi jnz. Và lấy trị hFile mà em in ra để modify esi khi trước khi nó GetFileSize. iExplorer.exe trong %Temp% dir sẽ create file profile.dat trong Documents xxxx, execute IE thật trên máy victim, rồi dùng vài hàm của ntdll.dll để inject content của profile.dat vào memory của IE. File 3.exe wrap toàn bộ code inject của profile.dat.]]>
/hvaonline/posts/list/41599.html#259276 /hvaonline/posts/list/41599.html#259276 GMT
Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#259293 /hvaonline/posts/list/41599.html#259293 GMT Nhờ các cao thủ RE giúp em này 3.exe của anh và dùng các tool sau để giả lập, theo dõi: - apateDNS: Giả lập DNS server, nslookup tìm domain gì cũng trả kết quả về được (IP do mình đặt); - Apache: Làm web server giả (billgate2012.xicp.net , hiện giờ query thật sẽ ra 0.0.0.0, chắc có người cố tình set lại), bật SSL cho shellcode kết nối tới bằng giao thức HTTPS; - CaptureBAT: Giám sát và ghi log lại các thao tác tạo, xóa file và registry, hay ở chỗ là các file xóa trong quá trình shellcode chạy sẽ được copy lưu lại 1 bản; - ProcessMonitor (của SysInternals): Theo dõi chi tiết hơn việc gọi các hàm về file, register, network api (lưu ý add filter Process name=3.exe không capture quá nhiều event của các process khác); - Wireshark: Theo dõi các kết nối mạng. Tất nhiên là tất cả phải chạy trong máy ảo. ]]> /hvaonline/posts/list/41599.html#259424 /hvaonline/posts/list/41599.html#259424 GMT Nhờ các cao thủ RE giúp em này Hi TQN Dạo này thấy đồng chí có vẻ căng thẳng vụ BKIS quá nhỉ! :) hôm nào phải trao đổi một chút về BKIS và các vấn đề liên quan cái nhỉ... Lần này mình lại muốn nhờ một chút, đợt trước cậu có đề cập đến việc mất pass thông qua file word liên quan đến STL, mình đang cần thông tin về file word đó (tính độc, các hành vi và một số phân tích của bạn nếu có), do mình không phải chuyên gia như TQN nên cần phân tích hành vi hơn là dòng mã, nếu có nghi ngờ sẽ gửi cho TQN phân tích mã giúp, mình đang muốn kiểm tra STL chính xác là ai... Trân trọng cám ơn trước nếu TQN có thể chia sẻ   Nếu bạn này chịu khó search, thông tin phân tích file .doc đó tui đã post lên từ lâu, từ đầu tiên trong thời gian đấu với stl rồi. stl là ai thì tự bản thân ai cũng biết rồi, khỏi nói, khỏi cần điều tra.]]> /hvaonline/posts/list/41599.html#259501 /hvaonline/posts/list/41599.html#259501 GMT Nhờ các cao thủ RE giúp em này
Và kết thúc ở đây:
Mso.dll sẽ convert từ hex string sang binay data thực sự. Copy từ begin tới end, new file trong FileInsight, paste vào, sau đó chọn tính năng Hex to Ascii để convert toàn bộ hex string đó sang binay data.
Sau khi convert xong, bằng tính năng disassembly của FileInsight, các bạn có thể tìm ra đoạn code excute và giải mã của nó. Các bạn tìm đọc các articles trên Internet để hiểu về các code sẽ được thực thi khi stack bị overflow.
Và quan trọng là đây:
Các bạn để ý: 1. jmp loc_56, rồi call loc_46. Lệnh call này sẽ push address loc_5B vào stack, nhảy tới loc_46. 2. Lệnh pop ebx và dec ebx sẽ gán address 5B - 1 = 5A vào ebx. 3. Tại loc_4E, xor loop sẽ xor từng byte trong block có size 0x4F5, end address = 0x5A + 0x4F5 = 0x54F với xor value là 0x91. 4. Sau khi xor xong, nó sẽ nhảy tới thực thi real code tại loc_5B Trong FileInsight, select từ offset 0x5B tới 0x54F, xor block đó với 0x91, ta sẽ có được code excute thật sự. Cắt bỏ từ 0 tới 0x5A đi, ta không cần đoạn shellcode đó nữa.
Các bạn vào thư mục "My Documents\FileInsight\plugins", tạo thư mục con "Copy To C Array" và lưu đoạn "Pý thần" code này vào file main.py trong thư mục con đó: Code:
#!/usr/bin/env python

if getSelectionLength() != 0:
    selection = getSelection()
else:
    selection = getDocument()


array_text = "unsigned char data[" + str(len(selection)) + "] = {\n"

i = 0
while i < len(selection):
    array_text += "\t"
    for j in range(i, min(len(selection), i+16)):
        array_text += "0x" + "%02X" % ord(selection[j])
        if j < len(selection) - 1:
            array_text += ", "
    array_text += "\n"
    i += 16
array_text += "};\n"

newDocument()
setDocument(array_text)

Execute plugin Copy To C Array đó trong FileInsight, ta sẽ được đoạn C/++ code khai báo toàn bộ binary code của shellcode. Copy nó vào 1 trong các file cpp mà tui đã up. Compile và xong, bật debug lên, debug, nắm đầu nó. File cpp đó các bạn có thể tái sử dụng để debug các đoạn shellcode khác, miễn phí, muốn đề writen by ai đó cũng được, không quan trọng. Phù, xong, cắt, dán, up hình mệt quá. Nếu em có làm sai, phân tích sai, mong các cao nhân chỉ giáo cho lùn nhân em :-( PS: JS, PDF, SWF (Flash), Excel, Doc, PPT, RTF đều có các tool analyze và phân tích shellcode hết rồi. Không biết tới đây, mấy anh chuyển sang dùng loại gì để mail shellcode file cho nạn nhân mà mấy anh nhắm tới đây ha ? Nhớ forward cho em một bản luôn nhen =)) ]]>
/hvaonline/posts/list/41599.html#259567 /hvaonline/posts/list/41599.html#259567 GMT
Nhờ các cao thủ RE giúp em này

TQN wrote:
Bạn huydd đang làm trong lãnh vực nào vậy, xem các topic create và post của bạn, tôi hơi có dấu ? Shellcode này tương đối phức tạp, bạn muốn nắn gân, thử sức anh em phải không ? Sếp bạn là ai, cơ quan nào, tại sao lại có 2 file tiếng Việt này gởi tới đích danh như vậy ? Thời điểm cậu post và up hai con .rtf này lên, tui có nhận được mail này, có liên hệ gì không, muốn thử xem Thằng Cu Anh này có bó tay không phải không ?  
Bác TQN đa nghi quá nhỉ? Chắc với kỹ năng của bác tìm ra huydd làm ở đâu có khó gì vì thông tin về Ip truy nhập hoặc thông tin cá nhân của tôi trên Internet muốn tìm thì chỉ vài phút là ra hết cả anh em vợ con (khéo cả bồ nữa ấy chứ) :) Tôi làm về đào tạo, chuyên môn chính là về mạng nhưng cũng có liên qua đến security chút đỉnh. Các bài viết của bác và các anh trên HVA thường là những ví dụ rất hữu ích cho tôi khi đi dạy. Sếp của tôi trong case này là một giáo sư về viễn thông nhưng lại mù tịt về CNTT hix (vẫn dùng XP với Office 2003 ko patch), cụ sắp về hưu rồi nên lười update công nghệ quá. Làm mất công của anh em nhưng quả thật các bài viết của bác rất hữu ích cho những người muốn nghiên cứu về các kỹ thuật trong RE. Cảm ơn các bác nhiều ]]>
/hvaonline/posts/list/41599.html#259608 /hvaonline/posts/list/41599.html#259608 GMT
Nhờ các cao thủ RE giúp em này
Mong anh hướng dẫn. chưa có chữ "eothon" nào trong đầu cả :( ]]>
/hvaonline/posts/list/41599.html#259645 /hvaonline/posts/list/41599.html#259645 GMT
Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#259649 /hvaonline/posts/list/41599.html#259649 GMT Nhờ các cao thủ RE giúp em này

TQN wrote:
Hì hì, anh conmale xem lại giúp tag code. Code em post lên không có 1 space ở đầu các dòng. 2 quygia: em del các space ở đầu dòng đi. 
Giải pháp tạm thời là anh em khi gửi code trong tag code thì cần xuống dòng ngay dòng đầu tiên sau [code] .]]>
/hvaonline/posts/list/41599.html#259652 /hvaonline/posts/list/41599.html#259652 GMT
Nhờ các cao thủ RE giúp em này /hvaonline/posts/list/41599.html#259659 /hvaonline/posts/list/41599.html#259659 GMT