4 IMAGE RESOURCE DATA ENTRY: Phần này sẽ cho bạn biết data của resource nằm ở vị trí nào trong section resource, kích thước bao nhiêu.. III Anti – ResHacker: Với cấu trúc cơ bản của sect
Trang 14) IMAGE RESOURCE DATA ENTRY:
Phần này sẽ cho bạn biết data của resource nằm ở vị trí nào trong section resource, kích thước bao nhiêu Thông tin này rất quan trọng
5) IMAGE RESOURCE DIRECTORY STRING: Khôn cần quan tâm
Và phần còn lại là data của các resource
III) Anti – ResHacker:
Với cấu trúc cơ bản của section resouce section như trên , tôi xin nói khái quát về cách chống lại việc chỉnh sửa của ResHacker:
Thông tin cần bảo vệ chính là phần data của resource, phần phía trên nó ta chỉ truy nhập vào để lấy thông tin, không cần chỉnh sửa gì cả ngoại trừ phần IMAGE
RESOURCE DATA ENTRY
Vậy làm thế nào để bảo vệ data của resource??
Có thể làm được việc này bằng cách chuyển toàn bộ phần data của resource sang 1 section khác, bằng cách này, reshacker sẽ ko thể mở các resource ra để edit :
Trang 2Như hình trên , ResHacker có thể biết trong file có những resource nào (vì phần header của nó không hề thay đổi), nhưng khi truy nhập vào 1 resouce nào đó sẽ hiện thông báo
Và điều cần lưu ý, để chương trình có thể sử dụng các resource của nó 1 cách bình thường thì
IMAGE RESOURCE DATA ENTRY phải trỏ đến đúng vị trí của của resource , ta chỉ cần thay đổi thông tin này, trỏ đến section vừa chuyển data đến
Như hình trên bạn thấy thông tin của IMAGE RESOURCE DATA ENTRY cho biết ICON 0001 nằm ở địa chỉ 00017C70, và kích thước data của nó là 2E8 bytes
III) Anti – HexEditor:
Với cách như trên bạn đã chống được sự nhòm ngó của ResHacker, tuy nhiên thực chất, data của resource chỉ di chuyển từ section resource sang section khác, không
có thay đổi nào, nếu sử dụng Hex editor và hiểu cấu trúc của từng loại resource ta vẫn có thể chinh sửa được bằng cách sử dụng Hex Editor
Vậy để chống lại việc sử dụng HexEditor ta có thể encrypt, compress data của resource sau đó decrypt lúc runtime, và đến đây gần như yêu cầu bạn viết một packer
Và điều cần lưu ý là không phải resource nào cũng được phép encrypt, ví dụ như icon, manitest
Trang 3Những resource có thể encrypt là những reource chỉ được nạp khi chạy, ví dụ dialogbox, Menu
Sau khi đọc bài này để có thể code 1 chương trình protect resource cơ bản yêu cầu bạn phải có:
- Add được 1 section vào file (để lưu data của resource)
- Với cấu trúc của resource như trên, đọc các thông tin để biết có bao nhiêu resource, vị trí của nó ( để có thể copy qua section mới)
- Sau khi copy qua section mới cần thay đổi thông tin IMAGE RESOURCE DATA ENTRY trỏ đến đúng vị trí của resource tương ứng tại section mới
Tut by deux
Analyze VIRUS
Trong mỗi người đều nhất định đã từng gặp những lúc khó khăn khi đối mặt với virus Khi gặp phải một con virus, chúng ta lập tức lại phải nhờ tới một công cụ diệt virus Nhưng theo tôi, nếu bản thân mình có những kiến thức nhất định về REVERSE, thì chúng ta vẫn có thể tiêu diệt nó theo cách mà chúng ta hiểu
Theo tôi, có 3 giai đoạn để REVERSE VIRUS: Phát hiện, tìm hiểu sơ lược, phân tích, và đưa ra đánh giá
Trong đó, giai đoạn phân tích VIRUS rất là cực kỳ quan trọng; qua việc phân tích, chúng ta sẽ xem xét được nó hoạt động như thế nào? Mục đích của VIRUS là gì?
Và nó thuộc loại VIRUS nào?
Sau đây, tôi xin mạn phép nêu lên những hành trang chúng ta cần thiết phải có đối với việc reverse Virus Lưu ý đây là hành trang cơ bản cần thiết phải có, bất kể là đối với hệ điều hành nào
Kiến thức:
- Nên tìm hiểu qua ngôn ngữ assembly cơ bản (nếu có thể, hiểu càng nhiều ngôn ngữ khác, thì càng tốt.)
- Cấu trúc của file định phân tích
- Sự hiểu biết nhất định về Hệ điều hành mà Bạn dùng làm nền
Các công cụ mà có thể hỗ trợ cho việc phân tích (bạn nên tự tìm hiểu , vì ứng với
Trang 4mỗi nền điều hành thì có công cụ phù hợp)
Để an toàn các bạn nên có một máy ảo Còn nếu không dùng máy ảo, các bạn hãy
cô lập nó vào trong một Folder trống (không ở trong ổ C ( Phân hoạch điều hành)),
và tuyệt đối khi bạn biết virus được mã hóa hoặc bảo vệ thì, nên cẩn thận trong
việc DEBUG nó (Đừng cho nó chạy hoàn toàn) Và nên có một cây viết và
những tờ giấy bên cạnh heng
Mong rằng Mục này sẽ có nhiều bạn chia sẻ kinh nghiệm của mình
Toolcracking(REA)
Decompile file coded by Autoit
Tool: OllyDBG, PeiD
File compiled bằng autoit thường pack bằng upx ( Bạn scan bằng PeiD đễ biết target pack bằng gì trước nhé) Upx có sẵn chức năng unpack, bạn ko cần phải unpack by hand Đầu tiên bạn gõ upx -d file.exe
Bạn load file unpacked vào OllyDbg
Right click >search for > All referenced text string Kéo thanh trượt lên trên , nhấn chuột phải search for text, gõ vào >AUTOIT SCRIPT< OK, double click vào dòng autoit script đó
Bạn set bp F2 chổ call trước test eax, eax > F9 run > Ice
Trang 5F8 1 lần đến Test eax, eax Bạn nhìn qua thanh Register FPU
Follow in dump at ECX Bạn sẽ thấy nguyên cái source code
#############################
IDA:
Load file unpacked vào ida, đợi load xong bạn nhấn vào
tab strings > Alt+T gõ vào >AUTOIT SCRIPT<
Bạn double click vào dòng text đó
Sau đó double click vao chỗ địa chỉ có mũi tên hướng lên
F2 bp chổ call trước test eax,eax > F9 >F8 bạn thấy thanh
general registers IDA > jump in disassembly
Bạn nhìn bên IDA View >Nhấn phím A bạn sẽ thấy source code hoặc nhấn chuột phải > synchronize with->check ECX + hex view-ECX thấy source code trên tab Hex View
Special thanks to REA
alone
+Khái niệm về Cryptography+
Cryptography, được dịch là "mật mã học", là một ngành có nhiều thuật ngữ có thể
làm cho nhiều người "ngơ ngác": như "hash function", "one-time pad" hay
Rijndael Bài viết này giải thích các khái niệm thường dùng trong ngành mật mã học, hy vọng có thể giúp ích cho những ai mong muốn tìm hiểu về lĩnh vực này