sau đó khi Analyze chương trình ta chỉ việc chọn nó từ Plugins menu, công việc tiếp theo là hoàn toàn tự động.Trogn quá trình tìm kiếm nếu như phát hiện chương trình có sử dụng Crypto mộ
Trang 1sau đó khi Analyze chương trình ta chỉ việc chọn nó từ Plugins menu, công việc tiếp theo
là hoàn toàn tự động.Trogn quá trình tìm kiếm nếu như phát hiện chương trình có sử dụng Crypto một hộp thoại thông báo sẽ hiện ra như sau :
Một số phím tắt khi sử dụng IDA
- Trong tab IDA View-A: để nhảy tới entry point của file exe hay các entry point của file dll đang disasm, dùng tổ hợp phím Ctrl+E
- Di chuyển tới một địa chỉ VA: phím G
- Tìm kiếm chuỗi trong tab Name, Strings : Menu->Search (Alt-T):
- Liệt kê các tham chiếu đến một label: Menu->Jmp->Jmp to xrefs , hoặc sử dụng phím
X
- Viết comment cho một đoạn code: dùng phím ; hoặc Shift+; (hai chức năng này hơi
khác nhau một chút)
- Lưu bookmark: Muốn ghi bookmark tại một địa chỉ để sau này còn quay lại, ta bấm
chuột phải vào phần địa chỉ text bên trái, chọn Mark position (Alt+M), đặt tên bookmark cho dễ nhớ Liệt kê các bookmark Ctrl+M
- Thực hiện tính toán trong IDA: gõ Shìt + / để hiện cửa sổ lệnh, gõ biểu thức có cú pháp
giống ngôn ngữ C Chức năng này gần tương tự như lệnh calc bên OllyDbg
- Đổi tên label, tên biến hay tên hàm cho dễ đọc : di chuyển con trỏ tới đó, dùng phím
N
- Xác định symbolic constant: ví dụ trong đoạn code sau
Code:
.text:0040C842 push edx ; phkResult
.text:0040C843 push 0 ; lpSecurityAttributes
.text:0040C845 push 0F003Fh ; samDesired
.text:0040C84A push 0 ; dwOptions
.text:0040C84C push 0 ; lpClass
.text:0040C84E push 0 ; Reserved
.text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows CE Services\\"
Trang 2.text:0040C855 push 80000002h ; hKey
.text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near Procedure
Để xác định hằng số 80000002h tương ứng với Symbol nào, chỉ cần bấm chuột phải,
chọn Symbolic constant->Use standard và chọn lấy hằng thích hợp trong list hiện ra,
Ở đây ta chọn HKEY_LOCAL_MACHINE Kết quả
Code:
.text:0040C842 push edx ; phkResult
.text:0040C843 push 0 ; lpSecurityAttributes
.text:0040C845 push KEY_ALL_ACCESS ; samDesired
.text:0040C84A push REG_OPTION_NON_VOLATILE ; dwOptions
.text:0040C84C push 0 ; lpClass
.text:0040C84E push 0 ; Reserved
.text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows CE Services\\"
.text:0040C855 push HKEY_LOCAL_MACHINE ; hKey
.text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near Procedure
kienmanowar (http://www.reaonline.net) BÀI 6: FIND REAL SERIAL
Phần 3: Find Real Serial in “RECYCLE BIN”
Vài lời tâm sự cho vui, lâu lắm rồi tôi ko được tâm sự với các bạn nên cũng “buồn
buồn”.Hôm nay xin mạn phép nói nhiều một chút Ai nghe ko vào xin bỏ qua cho
Thật ra benina tính ko tiếp tục viết các lọat tut như vầy nữa, vì viết các lọat tut này nó giống như một cuốn sách , đòi hỏi sự logic rất cao Đồng thời để dễ hiểu , dễ đọc người viết phải có một quá trình thực tế crack rất nhiều và một bề dày kinh nghiệm rất lớn Nhưng benina thì….có kinh nghiệm cái cóc khô gì đâu Biết gì nói đó Nói trật lất mà cũng ko thấy ai lên tiếng.Tôi biết có nhiều người rất giỏi, nhưng tui chưa bao giờ thấy họ thật tình chia sẽ với các newbie chúng ta Họ tham gia forum chủ yếu là …đặt ”cái tôi” của mình ở thanh tiêu đề forum Họ tham gia forum để post vài ba câu khó hiểu chủ yếu
là “trình diễn” cái gọi là kiến thức thâm hậu của mình nhưng lại vô ích cho mọi người Thậm chí tui “khẩn cầu tha thiết” mà họ vẫn giữ cái đống kiến thức họ có để chui xuống
mồ chứ ko share cho ai Theo benina thì những người như thế sống trên thế gian này thật
ko có ích lợi gì , chui xuống mồ càng sớm càng tốt cho rồi.Vì vậy các bạn newbie cứ an tâm, benina này biết gì thì các bạn sẽ biết cái đó Tui sẽ share hết cho các bạn những gì tui học được từ các tut nước ngòai Nếu sai , các bạn cứ chỉ bảo, góp ý Benina này sẽ cám ơn rất rất nhiều Vì như vậy chúng ta mới cùng tiến bộ Những lời lẽ trên đây mặc dù
có tính “hồi giáo cực đoan”, nhưng ko nói ra thì ko thức tỉnh được mọi người Tôi nghĩ trong forum chắc cũng có nhiều người rất bận bịu với cuộc sống Nhưng các bạn thân mến, các bạn hảy chơi hết mình trên sân chơi mà mình yêu thích Đừng chơi nữa vời, như thế sẽ ko đáng mặt “anh hùng mã thượng” Benina nói vậy có đúng ko các bạn?!
Trang 3Cực đoan quá , cực đoan quá… Các bạn hảy bỏ qua cho tôi…hôm nay tôi hơi khùng một chút….hihi
Còn bây giờ… tôi xin lấy một ví dụ tìm Real serial trong “đống rác” hết sức đơn giản để làm ví dụ cho những gì tui post ở bài 5:
Thật tội lỗi với mấy nhà sản xuất “cha mẹ” của các phần mềm quá xá!! Hôm nay tui lại
“phá giới” để “sốp” 1 em soft “hồng nhan bạt mệnh” FullDisk 5.2 “Sốp” xong thấy “đã thiệt” nên đành giới thiệu cho các bạn nào “háo” “sắc”,bầm, đâm, chém mấy cái soft : ))
Hôm nay cũng là chiều thứ bảy ,rãnh rỗi, lấy tờ báo echip tuần này ra đọc , thấy giới thiệu phần mềm FullDisk 5.2 cũng hay hay Dowload nó về và ……trời Crack chưa đến
5 phút như Rongchaua có lần nói mà tui ko tin nổi Thật quá đơn giản các bạn ạ! Hôm nay tôi mới sáng mắt ra.Quả thật chỉ có 5 phút Và thấy đây cũng là một “bằng chứng trước tòa “cho những gì tui post ở bài 5, nên đành phải “thành thật khai báo” cho các bạn biết và cũng vì phần mềm này chỉ có 10$ nên lương tâm benina cũng ko bị cắn rứt thành từng miếng Hihi
FIND REAL SERIAL IN “RECYCLE BIN”
Author: Benina
Target: FullDisk 5.2
Download: http://www.winsite.com/bin/Info?500000033856
Size: 1,22MB
File cracking: D:\Program Files\FullDisk\Fulldisk.exe
Tools : OllDbg 1.10
Comment: Đây là tiện ích cho bạn biết chính xác dung lượng của từng thư mục hay phân
vùng ổ đĩa bằng màu sắc
Method:
-Search string trong messagebox Badboy : “Name / Code mis match Try again.”
-Tìm ra tử huyệt tải :
0040ACA5 74 60 JE SHORT Fulldisk.0040AD07
-Tìm thấy chuổi Real Serial trong cửa sổ stack tại dòng lệnh:
0040AC88 E8 030A0000 CALL Fulldisk.0040B690
Chuổi Real serial như sau:
Name: benina
Code: 6F508A8AC3AAB74FF1C90E771DF722B9
1.Thu thập thông tin:
-Dùng Peid biết được phần mềm này ko bị pack, viết bằng ngôn ngữ Microsoft Visual C++ 6.0
Trang 4
(hình 01)
-Load file Fulldisk.exe lên Olly, Run chương trình (F9)
-Vào menu File/Chọn mục Register…(hình 02)
(hình 02)
-Nhập fake Name và code như sau: (hình 03)
Name : benina
Code : 01234567890
(hình 03)
-Click vào button : Validate My Codes Bad boy xuất hiện: (hình 04)
(hình 04)
-Trong Bad boy ta thấy có chuổi “Name / Code mis match Try again.”
2.Cracking:
-Như thông lệ chúng ta tìm “điểm đích” trước Trong Olly nhấn CTRL-F2 tải lại chương trình
a-Searh string “Name / Code mis match Try again.”:
-Bằng cách click phải vào vùng code của cửa sổ CPU Xuất hiện menu pop-up Chọn Search for/ All referenced text strings (Như hình 05)
(hình 05)
-Cửa sổ Text strings referenced xuất hiện (như hình 06)
(hình 06)
-Đầu tiên chúng ta đưa Thanh sáng của cửa sổ về đầu list trong cửa sổ Text strings tại địa chỉ 00401250 (như hình 06a)
(hình 06a)
Trang 5
-Click phải vào cửa sổ Text strings referenced xuất hiện menu pop-up Chọn Search for text (như hình 07)
(hình 07)
-Đánh vào chử đầu “Name” trong chuổi “Name / Code mis match Try again.” Và chọn mục Case sensitive trong hộp thọai Enter text to search for Nhấn OK: (như hình 08)
(hình 08)
-Nhấn OK, xuất hiện kết quả tìm được như hình 09:
(hình 09)
Chưa tìm thấy chuổi string “Name / Code mis match Try again.”
-Chúng ta search tiếp bằng cách chọn “Search next” (CTRL-L)trong menu pop-up khi click phải chuột (như hình 10)
(hình 10)
-Search next cho đến khi tìm ra chuổi “Name / Code mis match Try again.” Tại địa chỉ 0040AD0B (như hình 11)
(hình 11)
-Dclick vào địa chỉ 0040AD0B để đến vùng code trong cửa sổ CPU như hình 12
(hình 12)
Vậy đến đây chúng ta đã tìm được “điểm đích” tại địa chỉ :
0040AD0B 68 58E94100 PUSH Fulldisk.0041E958 ; ASCII "Name / Code mis-match Try again."
b Quá trình cracking
-Từ điểm đích chúng ta bắt đầu mò lên xem sao
-Đầu tiên tôi thấy dòng routine này có chuổi "Thank you for registering!"
0040ACFB 68 3CE94100 PUSH Fulldisk.0041E93C ; ASCII "Thank you for registering!"
Haha, vậy là ta đã đến được “ vùng chết” của soft rồi!!!
-Lên một chút chúng ta sẽ thấy lệnh nhảy có điều kiên JE