1. Trang chủ
  2. » Công Nghệ Thông Tin

Cracker Handbook 1.0 part 321 doc

5 117 2
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Cracker Handbook 1.0 Part 321 Doc
Trường học Trường Đại Học Công Nghệ Thông Tin
Chuyên ngành Công Nghệ Thông Tin
Thể loại Tài liệu
Định dạng
Số trang 5
Dung lượng 275,69 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Khà khà ,nó đó bà con .Bỏ BP tại CreateFileA đi .Set bp GetSystemTimeAsFileTime : Shift-F9 1 phát ,Break ,và nhấn thêm 1 phát ,Break tiếp cũng tại đầu hàm : Đừng bỏ BP đi .Ctrl-F9 tới

Trang 1

Khà khà ,nó đó bà con Bỏ BP tại CreateFileA đi Set bp

GetSystemTimeAsFileTime :

Shift-F9 1 phát ,Break ,và nhấn thêm 1 phát ,Break tiếp cũng tại đầu hàm :

Đừng bỏ BP đi Ctrl-F9 tới RETN 4 rồi trace Return khỏi hàm này ,ta tới đây :

Follow value in Dump tại đây :

Nhớ là địa chỉ D90090 trên máy trick sẽ khác trên máy bạn nhé

Hừm hừm ,chỗ dữ liệu này sao giống PE header wá vậy chòi Vậy file bootup này theo suy đoán thì nó có header như header của 1 file PE Nhưng đây chỉ là 1 ít

Trang 2

của phần header thôi ,chưa phải vùng memory lưu cả file mbox2_bootupltdemo Một hồi nó sẽ decrypt ra phần Byte đầy đủ của file này qua 1 vùng nhớ khác Giờ

ta đặt 1 BP memory on access lên Byte đầu tiên :

Nhấn Shift-F9 để Break ngay lúc nó access tới Byte trên trong lúc decrypt ra file bootup :

Thực hiện một Trace F7 tại câu lệnh trên ,sau đó Follow address in Dump tại đây :

Không cần thiết nhưng cũng phải nhắc là địa chỉ trên ở máy bạn sẽ lại khác đó nhé , còn đây là các Byte dump trong memory:

Trang 3

Lại thực hiện 1 Trace F7 tiếp thì thấy :

Đúng là nó đang move các Byte từ D90090 sang 1642C8 ,nếu cứ nhấn F7 tiếp sẽ thấy rõ quá trình trên Nhưng ta ko mất thời gian vô ích ,Trace F8 1 phát cho nó lẹ :

Các Byte đã move vào khá nhiều :

Nhưng làm sao biết chính xác độ dài Byte đã move vào ,nhìn xuống đây là thấy ngay :

Trang 4

Tức địa chỉ kết thúc của quá trình move sẽ là 1642C8 + 10000 = 1742C8 ,ta Go

to tới nó trong phần Dump :

Vẫn còn 1 đống rác phía dưới Có vẻ quá trình move này vẫn chưa hoàn thành .Tiếp tục Trace F8 cho tới đây :

Hè hè :

16000 mới chính là size thật của file bootup này Tức còn 6000 Byte chưa xử lý xong Shift-F9 tiếp 2 phát để break 2 lần tại GetSystemTimeAsFileTime Sau đó trace wa RETN 4 để quay về đây :

Trang 5

Tương tự như trên ,ta tìm nơi tiếp theo chuẩn bị move Byte:

Cũng set BP memory on access lên Byte đầu của vùng này :

Shift-F9 ,break :

Ngày đăng: 03/07/2014, 18:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN