English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering Xin mạn phép hỏi một số vấn đề @  XML
  [Question]   Xin mạn phép hỏi một số vấn đề @ 14/05/2008 23:53:57 (+0700) | #1 | 130510
[Avatar]
 satashi
Member
[Minus]    0    [Plus]
Joined: 13/05/2008 14:15:14
Messages: 23
Location: Việt Nam
Offline
[Profile] [PM]
1. Nguyên lí Pack phần mềm ?
- Cụ thể :
+ ASProtect (1.2x->1.3x, 2.x SKE)
+ Armadillo (x.x)
2. Một số thuật ngữ : IAT, Magic Jump, ...
3. Cách tìm OEP của phần mềm bị Pack bởi ASProtect (1.2x->1.3x, 2.x SKE...)
4. Cách tìm OEP có khác nhau không giữa các chương trình bị pack bởi các toolpack khác nhau ?
5. -Thank you for reading-
[Up] [Print Copy]
  [Question]   Re: Xin mạn phép hỏi một số vấn đề @ 15/05/2008 00:31:07 (+0700) | #2 | 130524
[Avatar]
 hacnho
HVA Friend
Joined: 28/01/2003 12:07:45
Messages: 199
Location: OEP
Offline
[Profile] [PM]
Search PE Tutorial trong box này. Trước tiên cậu muốn unpack hay tìm hiểu về một packer thì hãy hiểu về cấu trúc của PE File cái đã rồi hãy học unpacking. Có kiến thức về PE File, tiếp tục học ASM. Sau đó hãy unpack.

-Về nguyên lý pack phần mềm thì tham khảo mã nguồn của yoda crypter và UPX sẽ đúc kết được các phương pháp pack.
-ASProtect và Armadillo dùng các cơ chế IAT Elimination, Nanomite, Stolen byte, Debug Blocker để bảo vệ và kèm theo đó là các thuật tóa tạo key dựa trên RSA.
-IAT: http://sandsprite.com/CodeStuff/Understanding_imports.html
-OEP của ASProtect có thể dùng script hoặc dùng tay để search trong debugger.
-Các tìm OEP của các loại packer phổ thông thì có cơ chế tương tự, tham khảo generic unpacker của deroko (Google), nhưng với các loại packer phức tạp thì phải dùng các phương pháp khác nhau như lấy nano tabe, rebuild IAT, trace code VM...

-Nói chung cậu dùng keyword PE Tutorial để tìm tài liệu này về ngâm cứu, sau đó hãy học unpack. Theo cách hỏi của cậu tôi nghĩ cậu hoàn toàn không có khái niệm về Unpacking. Do đó hãy học về cấu trúc PE + kiến thức về C, ASM. Sau đó thì học unpack.

Thân!
Mọi câu hỏi vui lòng gửi lên diễn đàn!
[Up] [Print Copy]
  [Question]   Re:Re of hacnho 15/05/2008 04:01:17 (+0700) | #3 | 130551
[Avatar]
 satashi
Member
[Minus]    0    [Plus]
Joined: 13/05/2008 14:15:14
Messages: 23
Location: Việt Nam
Offline
[Profile] [PM]
Vậy thì chương trình bị pack có thể dùng olly để reverse mà không cần pack được không ? tại sao ?[img]
[Up] [Print Copy]
  [Question]   Re:Re of hacnho 15/05/2008 04:04:55 (+0700) | #4 | 130553
[Avatar]
 kienmanowar
HVA Friend
Joined: 13/07/2004 05:57:34
Messages: 483
Offline
[Profile] [PM] [WWW]

satashi wrote:
Vậy thì chương trình bị pack có thể dùng olly để reverse mà không cần pack được không ? tại sao ?[img] 


Vế sau chằng hiểu là gì ??? Đương nhiên một chương trình bị pack thì có thể dùng Olly để RE rồi. Trong các list mà bạn hỏi ở trên toàn Protector khủng nên không dám xen vào smilie, để cho lão nhỏ trả lời
[Up] [Print Copy]
  [Question]   Re:Re of Kien 18/05/2008 02:59:32 (+0700) | #5 | 131014
[Avatar]
 satashi
Member
[Minus]    0    [Plus]
Joined: 13/05/2008 14:15:14
Messages: 23
Location: Việt Nam
Offline
[Profile] [PM]

kienmanowar wrote:

satashi wrote:
Vậy thì chương trình bị pack có thể dùng olly để reverse mà không cần pack được không ? tại sao ?[img] 


nhầm unpack chứ không phải pack !

-Em nghỉ có thể đọc được serial của nó mà không cần unpack.Có được ko ?
[Up] [Print Copy]
  [Question]   Re: Xin mạn phép hỏi một số vấn đề @ 18/05/2008 12:08:41 (+0700) | #6 | 131121
[Avatar]
 hacnho
HVA Friend
Joined: 28/01/2003 12:07:45
Messages: 199
Location: OEP
Offline
[Profile] [PM]
Về mặt nguyên tắc khi chương trình "được" ta unpack hoàn toàn trên bộ nhớ (chỉ ở mức tương đối) qua các công cụ debug ở mức usermode hay kernelmode thì hoàn toàn có thể đọc code và triển khai các phương án là đọc mã để code keygen, tìm cách inline hay fish key.

Đại đa số các packer/protector hiện nay dùng khá nhiều kỹ thuật bảo vệ rất tinh vi nhưng vẫn ở usermode (dù dùng VM), do đó hiện tại hầu hết các unpacker trên thế giới đều chuộng OllyDBG vì nó trực quan, hơn nữa cách thức thể hiện code của nó rất mạch lạc, dễ trace. Các packer một thời được xem là hàng "khủng" đến thời điểm này đã bị defeat hoàn toàn trên OllyDBG như Armadillo, Themida, ExeCryptor, RLPack, ASProtect, ActiveMARK, PCGuard custom, Securom, SafeDisc, Telock...

Tuy nhiên nếu app là chạy ở kernel mode như các driver, các protector dùng nanomite, vm code như StarFoce, Winlicense thì SoftICe+WinDBG là lựa chọn duy nhất, tuy nhiên mỗi unpacker phải chỉnh lại bản IceText để anti-anti debug của các phần mềm này.
Mọi câu hỏi vui lòng gửi lên diễn đàn!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|