Với tài liệu ngắn này, các bạn sẽ biết cách làm vô hiệu hóa tính năng xóa HardwareBreakpoint HB của ASPROTECT.. Asprotect có thể xóa HB, tính năng này sẽ tránh việc thăm dò ứng dụng bằng
Trang 1memory belongs to the code that repairs the IAT, the memory that can be used goes from desdé the NOP in 005E20ED even 005ECB40, what gives a total of AA53 bytes [+42 KB], this it is space sufficient to add to other variables to the outside necessary memory [ if ], to make patches, to create processes, etc
Nếu chúng ta sử dụng vùng nhớ từ 005E2000 đến 005F0000, chúng ta phải thực hiên hết sức cẩn thận vì nó là memory được sử dụng để sửa chửa IAT, nếu các bạn để ý rằng tôi có sử dụng vùng nhớ tại 005ECB00 and 005ECB18 cho các string như trên mô tả, đây là vùng nhớ dư ra khi đã sử dụng vùng nhớ từ 005ECB40 trở đi để chứa code sửa chửa IAT, vùng nhớ có thể được sử dụng phía dưới từ 005E20ED đến 005ECB40 là vùng NOP, nếu tính tổng cộng vùng nhớ này sẽ có size là AA53 bytes [+42 KB], đây là vùng nhớ quá dư thừa để add các biến nằm ngòai vùng nhớ cần thiết của chương trình, hảy thực hiện patch
và thực hiên các tiến trình như đã mô tả, v,v,vv
These changes will give this result
Nếu thay đổi như đã mô tả , nó sẽ cho ra kết quả như sau:
Well, we see in Armadillo 3.x part 2 version2
Well, chúng ta sẽ gặp lại nhau trong phần 2
Trang 2Benina dịch (13/10/2005)
Trang 3Với tài liệu ngắn này, các bạn sẽ biết cách làm vô hiệu hóa tính năng xóa
HardwareBreakpoint (HB) của ASPROTECT
Asprotect có thể xóa HB, tính năng này sẽ tránh việc thăm dò ứng dụng bằng HB ASPROTECT có thể phát hiện ra việc chỉnh sửa mã trên vùng mã của ứng dụng sau khi được ASPROTECT giải mã và phát hiện luôn việc chỉnh sửa mã bên trong ASPROTECT
Bạn có thể thử nghiệm tính năng này bằng các dùng memory breakpoint trên mã của ASPROTECT hoặc patch đơn giản trên bộ nhớ trước lúc đoạn mã kiểm tra bộ nhớ được thực thi
Còn công dụng của HardWare Breakpoint thì có lẽ các bạn nên tự tìm hiểu
Và sau đây là cách để vô hiệu hóa tính năng này của ASPROTECT
1 Tìm đến đoạn mã mà giống với Trình ASPACK, ta làm như sau:
a Load target vào Olly
b Tại Entrypoint, ta đặt một breakpoint trên VirtualFree API
c Sau đó nhấn Shift+F9 3 lần, rồi ALT+F9 để đến đoạn mã có lời giại hàm API trên Sau đó cuộn màn hình xuống một chút để thấy được quy trình giống như ASPACK (bạn có thể nhận ra lệnh sau:
POPAD/RETN 0C)
2 Xóa breapoint trên VirtualFree API , rồi F Trên chỉ lệnh RETN trên hình Sau đ1o Shift+F9, rồi F7, ta tới đây
Trang 43 Nhấn CRL+B, Tìm kiếm mã nhị phân sau:
4 Nếu tất cả đều đúng, chúng ta sẽ tìm thấy mã sau:
5 Đoạn mã này sẽ được gọi từ ASPROTECT SHE để xóa HB của chúng ta, để
vô hiệu dòng mã này, chúng ta sẽ ptach như sau: