Demo with TomaHawk Gold v3.0 : _ Anh em download target theo link trên về Unzip ra , chú ý trong file zip được bung ra sẽ có một file Tomahawk.key đây chính là một thành phần quan trọng
Trang 1UPX (to Unpacking)
Target được dùng để demo là :
TomaHawk Gold v3.0 :
http://nativewinds.montana.com/downloads/Tomahawk.zip
3 Demo with TomaHawk Gold v3.0 :
_ Anh em download target theo link trên về Unzip ra , chú ý trong file zip được
bung ra sẽ có một file Tomahawk.key đây chính là một thành phần quan trọng để
ta có thể Defeat ICE Khà khà , đầu tiên run nó cái đã xem “mồm ngang mũi dọc”
nó ra sao Wow giao diện của nó khá cool, nhìn như là Word Xem thử cái About của nó xem thế nào :
_ Nhìn trông Pro ghê nhỉ!!! Tiếp theo hiii check thử xem nó có bị Packed không vì thấy nghi lắm à Soft nhìn giao diện y chang em Word yêu quí , cùng với rất nhiều tính năng tương đương, thậm chí còn cho phép convert sang Pdf mà thấy size chỉ
có 2.89 MB là thấy nghi ngờ rồi Vác PeiD ra check thử xem sao :
Trang 2_ Khà khà quả không sai UPX kìa anh em ơi!! Check tiếp xem nó có những Crypto
gì :
_ Hehe lại thấy nghi nữa, em ICE quảng cáo bao nhiêu Crypto mà check chỉ mới thấy một Chắc do bị packed nên PeiD không detect hết được Do như tôi nói ở trên , soft này chỉ cần dùng Res Hacker là done liền, nhưng chúng ta buộc phải unpack nó trước cái đã Việc Unpack với ver UPX trên đã trở nên khá phổ biến và
có thể gọi là học thuộc lòng Nhưng cũng xin nhắc lại để cho bài viết hoàn thiện Có 2 cách để unpack :
1 Dùng Olly để kết hợp với ImpRec
2 Dùng chính UPX để unpack trên command line với tùy chọn là –
d.(UPX.exe –d target)
_ Với cách thứ nhất thì Load target vào Ollydbg, chúng ta ở đây :
Trang 3_ F8 trace qua Pushad, để ý sang cửa sổ Registers thấy ESP được highlighted
Chuột phải trên ESP và chọn Follow in Dump, sau đó chọn và set HW BP như sau
:
_ Nhấn F9 để Run ta sẽ Break tại : 00C754BD ^\E9 6AFAD3FF jmp
Tomahawk.009B4F2C Nhấn F7 chúng ta sẽ ở tại OEP :
_Tiếp theo là công việc Dump và Fix IAT Cái này anh em hiểu hết rồi, nếu thêm nữa sợ lại viết lăng nhăng anh em cười thì chết
_Cách thứ hai chúng ta dùng chính UPX để Unpack Copy file Tomahawk.exe vào thư mục chứa UPX Sau đó dùng Command như sau :
Trang 4_ Okie thế là xong khoản Unpack Copy lại file đã Unpacked về thư mục của
chương trình TomaHawk Ặc ặc size của nó sau khi unpack là 8.35 MB Check lại
thông tin về nó thì nó được code bằng Borland Delphi 6.0 - 7.0 Check tiếp thông
tin về Crypto, ta có được như sau :
_Khà khà nhìu ác…nhưng chúng ta không đụng chạm tới những thằng này.Giờ là đến phần xử lý của ResHacker.Tại sao lại dùng ResHack, vì theo như suy đoán của chúng ta nếu chương trình này sử dụng thằng Ice License để Protect thì chắc chắn
nó sẽ thêm thông tin về thằng ICE vào trong Resource của chương trình Cái chính
là chúng ta cóc biết nó nằm ở cái chỗ nào Do đó trước tiên cứ load Tomahawk.exe vào trong em ResHacker cái đã rồi từ từ tìm kiếm
Trang 5_ Nhìu ác , biết tìm đâu bi giờ Thôi thì cứ Search đại cái IceLicense xem sao, xem
có manh mối gì không Vào menu View, chọn Find Text (Ctrl + F) và gõ vào IceLicense để tìm Ta có được manh mối quan trọng như sau :
_ Hehe chú ý đến cái mà tôi khoanh màu đỏ đó, không nói chắc anh em cũng hiểu
ý nghĩa của nó rồi Giờ chúng ta chỉ việc Copy cái IceLicense1Registered và Paste
đè lên các dòng trên Chúng ta sẽ có được như sau :