Các tính năng chính của IDA thì đã được anh Kienmanowar trình bày rõ ràng và hôm nay chúng ta cùng nhau tìm hiểu thêm tính năng Set BreakPoint F2, Step introF7, Step over F8 và Start P
Trang 1Chắc các bạn đã biết IDA đúng là 1 tool tuyệt vời Em đã bị chinh phục hoàn toàn khi
đọc Tut của anh Hacnho vàkienmanowar Việc mà chúng ta nên làm bây giờ là làm sao
từ từ thuần hóa IDA và quen dần với nó Các tính năng chính của IDA thì đã được anh
Kienmanowar trình bày rõ ràng và hôm nay chúng ta cùng nhau tìm hiểu thêm tính năng
Set BreakPoint (F2), Step intro(F7), Step over (F8) và Start Process (F9) Hẳn bạn đã quá quen với các tính năng và phím tắt này trong Olly để phân tích Code nhằm tìm ra
điều gì đó khi Crack Soft Còn hôm nay chúng ta dùng thử trên IDA Target hôm nay
chúng ta thực hành là “Crackme1” được Code bằng delphi.(Target có kèm trong tut) Chạy thử Crackme này code mặt mũi nó ra sao để còn biết đường mà tìm dấu hiệu để Cờ rắc nữa…
Nhập thử Fake Name và Fake Serial vào xem thế nào, chúng ta nhận được 1 thông tin sau :
Ok dậy là đủ, Load Crackme vào IDA
Nhấn Ok để IDA tiến hành Disassembly và ngồi đợi…hehe…sau khi IDA hoàn thành nhiệm vụ thì đến lượt chúng ta Chọn tab “Names“
Nhấn Alt+T hoặc vào Menu Search-> Search Gõ vào “Incorrect”
Và ta tới được đây:
Nhấn đúp chuột ta tới được đây:
Qua đây chúng ta thấy được String này được đặt trong Section Code của chương trình, chúng ta cần tìm đến thủ phạm đã gọi String này khi chúng ta nhập Code sai Nhấp đúp vào địa chỉ 00444554
IDA đưa chúng ta tới được địa chỉ mong muốn
Trang 2
Từ vị trí màu vàng nhìn lên bên trên một chút ta thấy có 1 lệnh Call đang khoe hàng cho chúng ta thấy và biết phải làm gì với nó đó chính là “ call System:: linkproc
LStrCmp(void) “ khỏi giải thích các bạn cũng dư sức hiểu hàm call này có công dụng
gì? Vậy còn chờ gì nữa ko Set 1 Breakpoint tại hàm Call này Nhấn Chuột phải vào hàm Call và chọn như hình (hoặc nhấn F2)
Xong đâu đó nhấn F9 để Run
Nhập Fake Serial:1234567890 nhấn và ta dừng tại điểm Set Breakpoint(Màu tím)
Bạn nhấn F7 để đi vào bên trong hàm Call này (giống Olly)
Haha rõ như ban ngày ko có gì phải bàn cãi Nó đem lưu số fake serial của chúng ta vào EAX và chuỗi Serial mặc định ở EDX sau đó so sánh coi số Fake Serial có bằng số Serial mặc định không nếu ko bằng hiện chuỗi “Incorrec…” để kiểm chứng coi có đúng ko? Sử dụng F8 trace tới
00403CA3 cmp eax, edx
Đưa trỏ chuột tới EAX (như hình dưới) bạn sẽ thấy số Fake Serial mà bạn đã nhập vào:
Đưa trỏ chuột vào EDX và sử dụng nút giữa của chuột cuộn xuống bạn sẽ thấy được đầy
đủ số Serial mặc định của chương trình tạo ra
( số Serial đầy đủ 66511818-630035424 do chương trình Capture nó ko cho chụp hết )
Run thử target và nhập chuỗi serial vừa tìm được em tin chắc các bác sẽ thích
Trang 3
Haha thế là tạm ổn…IDA còn 2 tính năng khá hay đó là Attach to Process, Attach to
Process và Graphs…… Các bạn có thể tự tìm hiểu… Do trình độ văn chương của em
nó có hạn đôi khi diễn đạt ko như mong muốn có gì thì mấy bro bỏ qua cho em…
Hy vọng với tut này giúp bạn được cái gì đó trong quá trình thuần phục IDA để trở thành
1 newbie sống lâu năm như em Hehehehe
Bye hẹn gặp lại trong các tut lần sau
Thanks To: Benina,Kiemanowar, Hacnho, QHQCrker, Merc, TQN, light.phoenix,
iamidiot, takada, haule_nth, trickyboy, thienthanden, stringer … all my friend, and YOU
IDA – Bây giờ hoặc không bao giờ
Hello bà con, nhân dịp HVA format lại box Cracking và các chiến hữu REA sắp thôi nôi Tui đã lâu không có đóng góp gì cho anh em nên làm cái tut này để tặng anh em Cái tut này tui down lâu rồi của Ricardo Narvaja hướng dẫn cơ bản về IDA Uống nước nhớ nguồn, ngày xưa tui chỉ quen dùng các công cụ Wdasm 8.93 và SI 4.0.5 Lúc đó tui có nghe nói đến IDA nhưng không thích dùng với lại máy tui yếu đợi IDA load xong khoảng 5’ với một target 1MB Tui xài IDA là do anh Còm share, lúc đó IDA được release bên TTDOWN bởi TEAM SSG Anh Còm phải hì hục down xong cut ra từng file nhỏ để tui down Nhờ đó tui mới có IDA mà xài Anyway thanx Còm nhiều Hiện tai một cracker sừng sỏ ở VN làm việc nhiều nhất với IDA là anh TQN Tui không dám nhận mình là một cracker, chỉ xin là người dẫn lối đưa đường cho các bạn đam mê đến với Cracking Mạn phép xin các bro cho tui được múa búa trước cửa Lỗ Bang, giảng về XXX trước lão Z và lão Hoàng…
I IDA là gì?
The IDA Pro Disassembler and Debugger is an interactive, programmable, extendible, muti-processor disassembler hosted on the Windows platform.Universally acclaimed
as the best disassembler money can buy, IDA Pro has become the de-facto standard for the analysis of hostile code and is quickly establishing itself as a major tool in the field of vulnerability research
Link download: http://www.datarescue.com/idabase/
Hiện nay tui đang xài bản
DataRescue.IDA.Pro.v4.8.0.847.Advanced.with.Flair.and.SDK với các sig và
plugin có dung lượng khoảng 100MB Bản Full này có thể down tại FTP của Exetools Forum
II Công cụ và target dùng trong tuts này:
Trang 4
- IDA 4.8.0.847,
- Wdasm 8.93 with the final patch,
- OllyDBG 1.10 Final
- MapConV 1.4
- Crackme#2 by CoSH
- Advanced Tracks Eraser 3.0
III Let’s Go!
Có lẽ các bạn cho rằng tui bày vẽ chi, đang xài Olly và Wdasm ngon ơ, tư dưng chuyển sang xài IDA Đúng, nhưng hầu hết các lập trình viên và pro and super pro cracker thì IDA là hành trang không thể thiếu với họ, WDASM không là cái đinh gỉ gì
cả
Các bác load cái target lên bằng OllyDBG và Wdasm cái đã Click vào phần import trong Wdasm và Search Names in All Modules trong Olly:
Dòm vậy có trời mới biết nó import cái hàm nào trong thư viện MFC Bây giờ load lên bằng IDA Chọn Options như thế này:
Wow, giao diện của IDA dòm choáng thiệt! Quá trời tuỳ chọn, quá trời menu Bít đường nào mà mò Ấy ấy đừng nản, nếu sợ ăn bạt tai thì chẳng bao giờ có bạn gái cả IDA cũng thế, từ từ mà tiến
Bây giờ bạn click vào tab Names
Để so sánh ta lấy một thí dụ là hàm DoMessagebox được hiển thị trong IDA và trong Olly nó hiển thị ra sao:
IDA:
Trang 5
imp_?DoMessageBox@CWinApp@@UAEHPBDII@Z 00402010
OllyDBG:
All names, item 4
Address=00402010 target
Section=.rdata
Type=Import
Name=MFC42.#2512
Trong Olly bạn quay trở lại màn hình CPU, Ctrl+G đến địa chỉ 402010:
Trong IDA cũng thế, double click vào dòng
imp_?DoMessageBox@CWinApp@@UAEHPBDII@Z 00402010, bạn sẽ ở đây:
Rõ ràng ở IDA ta thấy các function rất trực quan, các hàm được import từ thư viện nào, trong khi đó ở Olly và Wdasm thì bó tay :d
Bây giờ bạn chuyển qua tab Strings của IDA
Xem toàn bộ tabs strings:
.rsrc:004045AE 00000006 unicode xb
.rdata:004028BE 00000005 C exit
.rdata:00402A1C 00000009 C _setmbcp
.rdata:00402892 00000008 C _onexit
.rdata:004028E0 0000000A C _initterm
.rdata:004028A8 00000006 C _exit
.rdata:00402940 00000011 C _except_handler3
.rdata:00402954 0000000B C _controlfp
.rdata:00402900 0000000D C _adjust_fdiv
.rdata:004028C6 00000008 C _acmdln
.rdata:004028EC 00000011 C setusermatherr
.rdata:0040292E 0000000F C set_app_type
.rdata:00402920 0000000B C p fmode
.rdata:00402910 0000000D C p commode
Trang 6