Bạn đã nể khả năng disasm của IDA chưa.. Tui cracking thường thường đều dùng đến tính năng này của IDA để tìm.. Chỉ cần nhấn Alt+T gõ vào dòng chữ muốn tìm.. Để dòng string thể hiện rõ r
Trang 1.rsrc:004045AE 00000006 unicode xb
.rdata:004028BE 00000005 C exit
.rdata:00402A1C 00000009 C _setmbcp
.rdata:00402892 00000008 C _onexit
.rdata:004028E0 0000000A C _initterm
.rdata:004028A8 00000006 C _exit
.rdata:00402940 00000011 C _except_handler3
.rdata:00402954 0000000B C _controlfp
.rdata:00402900 0000000D C _adjust_fdiv
.rdata:004028C6 00000008 C _acmdln
.rdata:004028EC 00000011 C setusermatherr
.rdata:0040292E 0000000F C set_app_type
.rdata:00402920 0000000B C p fmode
.rdata:00402910 0000000D C p commode
.rdata:004028D0 0000000E C getmainargs
.rdata:00402884 0000000C C dllonexit
.rdata:00402870 00000012 C CxxFrameHandler
.rdata:004028B0 0000000C C _XcptFilter
.rsrc:00404654 00000006 unicode \a\a+
.rsrc:004046C8 00000006 unicode \aM2
.rsrc:004046A8 00000006 unicode \a6b
.rsrc:0040467C 00000006 unicode \a*+
.data:00403020 0000000B C YOU DID IT
.data:0040302C 0000000B C Well done,
.rsrc:004049A6 00000018 unicode VarFileInfo
.rsrc:004046EE 00000020 unicode VS_VERSION_INFO
.rdata:00402A0E 0000000B C USER32.dll
.rsrc:004049C6 00000018 unicode Translation
.rsrc:0040474A 0000001E unicode StringFileInfo
.rsrc:0040468C 0000000E unicode Serial
.rdata:004029A2 0000000D C SendMessageA
.rsrc:0040461C 0000000A unicode QUIT
.rsrc:0040496A 0000001E unicode ProductVersion
.rsrc:00404922 00000018 unicode ProductName
.rdata:004029EE 00000010 C PostQuitMessage
.rsrc:004048DE 00000022 unicode OriginalFilename
.data:00403038 00000029 C One of the Details you entered was wrong .rsrc:00404664 0000000A unicode Name
.rdata:0040289A 0000000B C MSVCRT.dll
.rsrc:004045E2 0000001C unicode MS Sans Serif
Trang 2.rdata:00402996 0000000A C LoadIconA
.rsrc:004048B6 00000020 unicode LegalTrademarks
.rsrc:0040486A 0000001E unicode LegalCopyright
.rdata:00402986 0000000D C KERNEL32.dll
.rdata:004029E2 00000009 C IsIconic
.rsrc:00404836 0000001A unicode InternalName
.rdata:004029CE 00000011 C GetSystemMetrics
.rdata:00402976 00000010 C GetStartupInfoA
.rdata:00402962 00000011 C GetModuleHandleA
.rdata:004029BE 0000000E C GetClientRect
.rsrc:004047FE 00000018 unicode FileVersion
.rsrc:004047A6 00000020 unicode FileDescription
.rdata:00402A00 0000000D C EnableWindow
.data:00403064 00000006 C ERROR
.rdata:004029B2 00000009 C DrawIcon
.rsrc:00404900 0000001A unicode Crackme2.EXE
.rsrc:004045B6 00000026 unicode Crackme2 - By CoSH
.rsrc:00404850 00000012 unicode Crackme2
.rsrc:00404888 00000026 unicode Copyright (C) 1999
.rsrc:00404786 00000018 unicode CompanyName
.rsrc:004046D8 0000000C unicode CHECK
.rsrc:0040493C 00000026 unicode Anwendung Crackme2
.rdata:00402306 00000006 unicode @7
.rsrc:0040460C 00000006 unicode ?M2
.rsrc:004044F0 00000006 unicode 3\v
.rsrc:004044E8 00000006 unicode 3\v
.rsrc:004044B9 00000005 C 3330
.rsrc:00404818 00000016 unicode 1, 0, 0, 1
.rsrc:00404988 00000016 unicode 1, 0, 0, 1
.rsrc:0040476E 00000012 unicode 040704B0
Trong khi đó tab strings của Olly và Wdasm:
Trang 3Bạn đã nể khả năng disasm của IDA chưa Tui cracking thường thường đều dùng đến tính năng này của IDA để tìm Chỉ cần nhấn Alt+T gõ vào dòng chữ muốn tìm
Để dòng string thể hiện rõ ràng nhất, tôi khuyên bạn nên setup các options cho tab Strings của IDA theo hình sau:
Trang 4Khi sử dụng IDA có 4 cửa sổ ta cần quan tâm Thứ nhất là IDA View-A, đây là cửa sổ chính như CPU trong Olly Mọi thao tác về đọc code hay xử lý code đều nằm trên đây Thứ hai là HexView tương tự memory dump window của Olly Kế đến là bảng Names và cuối cùng là bảng Strings như ta đã xem qua ở trên Ở ver 4.8 này có thêm hai bảng Export và Import
Xem một ví dụ về khả năng tìm hàm của IDA và OllyDBG, quả là rất có lợi cho việc xác định IAT trong quá trình fix mà ko cần ctrl+R trong OllyDBG để xác định tên hàm
_IDA:
declspec(dllimport) CWinApp::DoMessageBox(char const *,uint,uint)
Trang 5_OllyDBG:
00401628 .- FF25 10204000 JMP DWORD PTR DS:[<&MFC42.#2512>] ; MFC42.#2512