English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì  XML
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 02/08/2006 21:27:45 (+0700) | #1 | 11912
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Vấn đề này trong "Những bài viết giá trị của mục lập trình" có nói nhưng chưa chi tiết.
Các Bác cho em hỏi:

_Khi Crack 1 phần mềm, những dấu hiệu nào để biết File cần Crack đó có bị Pack hay không?

_Nếu File đó bị Pack thì làm sao để biết nó bị Pack bằng công cụ nào? Cho 1 vài ví dụ.

_Trong OllyDbg khi Load 1 File (ví dụ File Vietkey2000.exe) lên, nó cho tới 2 thông báo:
____"Module VKNT has entry point outside the sode (as specified at the PE header). Maybe this file is Self-Extracting or Self-Modifying. Please keep it in mind when setting Breakpoints." (và bảo OK)
____"Quick Statistical of Module VKNT report that its code section is either compressed, encrypted, or contains large amount of embedded data. Results of code analysis can very unreliable or simply wrong. Do you want to continue analysis?" (và bảo YES/NO)
______Giải thích giúp 2 dòng thông báo trên. Chỉ luôn hướng giải quyết mỗi thông báo.

Mong các Bác quan tâm và tận tình chỉ dẫn. Cám ơn
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 02/08/2006 23:32:36 (+0700) | #2 | 11964
mikamehi
Member
[Minus]    0    [Plus]
Joined: 19/07/2006 10:09:06
Messages: 43
Offline
[Profile] [PM]
dùng PEiD đó bạn chỉ việc chọn file exe cần kiểm tra là được thôi, vào đây để download http://peid.has.it/. Tất nhiên là nó chỉ có khả năng kiểm tra một số packer thông dụng thôi, nhưng như thế cũng là quá đủ với bọn mình.
Nói chung thì có nhiều chương trình là việc tượng tự như vậy chẳng hạn như fileInspector, như nói chung cái peid này là hay nhất.

Còn hai cái thông báo trong ollydbg ám chỉ rằng file exe đó đã bị nén lại và entry point (địa chỉ thực thi đầu tiên mà hệ điều hành trao quyền cho file chạy(đại chỉ này được giữ trong pe header(lưu trỡ thong tin về file pe (portable file format))) nằm ở một section khác không phải là section thực thi. Để hiểu được điểu này thì bạn phải hiểu cớ chế nén của các packer, đoạn mã thực thi thực sự sẽ được nén trong một một section dữ liệu, còn section thực thi chỉ gồm có một đoạn mã đẽ giải nén phần dữ liệu này và trỏ con trở ip tới sau khi đã giải nén xong.

Còn nói về hướng giả quyết thif đối với cầu 1, thì ollydbg bảo, vì entry point nằm ngoài section thực thì nên có thế đây là file đã bị nén. Do đó bạn phải giải nén trước khi crack nó. (cứ nhấn ok).
Đối với câu 2, thì Ollydbg có 1 khả năng mà cracker rất thích đó là Analysis, đây là cơ chế giúp đoán ra được cách tham số của hàm được gọi, các vòng lặp, điều kiện nhảy, để giúp cho cracker dễ đọc Với file đã bị nén thì việc phân tích sẽ là vô ích.
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 26/08/2006 03:43:36 (+0700) | #3 | 18051
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Bạn ơi, sau khi biết nó PACK bằng gì rồi thì làm sao biết chương trình UNPACK tương ứng vậy?
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 26/08/2006 03:59:33 (+0700) | #4 | 18054
[Avatar]
 vampirehl
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 16:25:01
Messages: 1
Offline
[Profile] [PM]
Google.com
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 27/08/2006 12:29:35 (+0700) | #5 | 18367
[Avatar]
 learn2hack
Elite Member
[Minus]    0    [Plus]
Joined: 29/06/2006 16:32:37
Messages: 825
Offline
[Profile] [PM] [WWW]
bạn vào thử trang web www.reaonline.net để tìm các bộ công cụ và các bài viết sử dụng chúng.

khi biết được nó pack = gì rồi thì có thể tìm trên mạng những phần mềm giải nén tương ứng. thường thì những phần mềm nén sẽ có những tham số để nó có thể giải nén luôn được. đối với PeiD thì mình thấy người ta đã viết sẵn vài plug-in giúp công việc giải nén được làm dễ dàng và nhanh hơn. ngoài ra đối với 1 số phương pháp nén bạn có thể dùng plug-in Olly Dump của Olly để dump trực tiếp trong bộ nhớ ra, khỏi phải dùng công cụ để giải nén nữa.

bạn chú ý nữa là có thể sau khi giải nén xong còn phải fix 1 vài điểm trong chương trình nữa để đảm bảo code mình giải nén ra là "hợp lệ" (cái này giống như fix header của file ấy).

theo mình ở câu 1 của bạn thì Olly báo là điểm vào của chương trình ko nằm trong modul đang xét, có thể file bị nén để tự giải nén trong bộ nhớ hoặc tự chỉnh sửa lại code của nó ở trong bộ nhớ. đối với trường hợp này thì kiểm tra xem file có bị nén hay ko (và giải nén nó) rồi nạp lại = olly là được.
còn ở câu 2 thì Olly nhận thấy đoạn code của chương trình có điểm gì đó rất đặc biệt, nó hỏi mình có muốn phân tích đoạn code đó không. chỉ cần chọn yes rồi tiến hành crack như bình thường thôi.
Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 28/08/2006 13:02:43 (+0700) | #6 | 18652
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Bạn ơi, mình vô diễn đàn www.reaonline.net .
Toàn là There are no posts in this forum
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 28/08/2006 13:44:28 (+0700) | #7 | 18660
[Avatar]
 learn2hack
Elite Member
[Minus]    0    [Plus]
Joined: 29/06/2006 16:32:37
Messages: 825
Offline
[Profile] [PM] [WWW]
bạn phải đăng ký thành viên của REA thì mới được nhìn thấy những bài viết trong đó. thêm nữa khoảng vài ngày sau, nick của bạn mới được active, bạn mới trở thành thành viên chính thức được.
chúc bạn thành công.
Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 06/09/2006 11:10:27 (+0700) | #8 | 21052
blim
Member
[Minus]    0    [Plus]
Joined: 01/07/2006 21:40:19
Messages: 10
Offline
[Profile] [PM]
bạn có thể dùng phần mềm biên dịch file ra hợp ngữ,tìm kĩ trong các string có được xem
các packer thường để lại dấu vết trong các file nó đã pack
cụ thể như là tên hay là version của packer
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 09/09/2006 00:50:27 (+0700) | #9 | 21822
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Bạn có thể cho mình 1 ví dụ kèm theo 1 phần mềm (có dấu vết mà bạn nói) hay không "
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 21/01/2007 04:02:59 (+0700) | #10 | 37331
tienhd
Member
[Minus]    0    [Plus]
Joined: 27/11/2005 09:11:32
Messages: 6
Offline
[Profile] [PM]
Các bác cho em hỏi một phát là em đang cr một cái soft. Dùng Peid nó báo là viết bằng C#/ .NET; Em dùng W32Dasm mở ra thì phần Ref -> String Data Reference bị mờ đi. Vậy có phải là nó đã được pack không ạ? Có bác nào bày em cách làm cho nó hiện lên được ko? Máy em ko cài được SoftIce Driver 2.7 nên em cùng Dasm. Các bác giúp em với nhé.
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 19/03/2007 04:06:19 (+0700) | #11 | 47682
bathdeur
Member
[Minus]    0    [Plus]
Joined: 17/03/2007 18:00:37
Messages: 2
Offline
[Profile] [PM]

learn2hack wrote:
bạn phải đăng ký thành viên của REA thì mới được nhìn thấy những bài viết trong đó. thêm nữa khoảng vài ngày sau, nick của bạn mới được active, bạn mới trở thành thành viên chính thức được.
chúc bạn thành công. 

Bạn ơi,đăng kí trong reaonline.net như thế nào?sao mình không thể đăng kí được?!?!?!?!?
[Up] [Print Copy]
  [Question]   Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 18/01/2008 23:59:03 (+0700) | #12 | 110984
[Avatar]
 kienmanowar
HVA Friend
Joined: 13/07/2004 05:57:34
Messages: 483
Offline
[Profile] [PM] [WWW]

bathdeur wrote:

Bạn ơi,đăng kí trong reaonline.net như thế nào?sao mình không thể đăng kí được?!?!?!?!?
 


Chà sao ai cũng kêu không thể Reg được ta smilie .

Thêm một công cụ nữa dùng để detect packer là :



Download here:
Code:
http://ntcore.com/Files/PE_Detective.zip


Regards
[Up] [Print Copy]
  [Question]   Re: Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 23/01/2008 07:59:42 (+0700) | #13 | 111649
Zombie
HVA Friend
Joined: 13/12/2002 03:27:34
Messages: 77
Offline
[Profile] [PM]
1. Detect packer:
- Dùng tool: Cơ bản là em PEiD
- Tay: Nắm vững PE Sign, pack sign, ... gòi làm mọi thứ bằng tay.
2. Unpack:
- Tùy thuộc packer nào mà kiếm unpacker tương ứng. Khó mà có general unpacker được. Nhất là với các em packer "thứ dữ".
3. Pack:
- Bằng tay.
- Tool tương ứng.
- Mix giữa tay & tool < bà bắn nó. Unpack nó là đuối hơn cá đuối luôn.
[Up] [Print Copy]
  [Question]   Re: Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 24/01/2008 14:24:36 (+0700) | #14 | 111897
langmaninternet
Member
[Minus]    0    [Plus]
Joined: 24/08/2004 15:18:38
Messages: 22
Offline
[Profile] [PM]
4vnmod mà dùng win32dasm hoặc olly inut vào phát là bản thân win32dasm hoặc olly bị bắn ra ngoài luôn
[Up] [Print Copy]
  [Question]   Re: Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 26/01/2008 03:57:32 (+0700) | #15 | 112155
Computer_Angel
HVA Friend
Joined: 02/05/2003 17:25:28
Messages: 10
Offline
[Profile] [PM]

langmaninternet wrote:
4vnmod mà dùng win32dasm hoặc olly inut vào phát là bản thân win32dasm hoặc olly bị bắn ra ngoài luôn  

Anh mà là mod thì cho em 1 phát warn tội phát biểu lang man ko phù hợp chủ đề.
[Up] [Print Copy]
  [Question]   Re: Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 19/02/2008 04:30:50 (+0700) | #16 | 115322
[Avatar]
 computerline
Member
[Minus]    0    [Plus]
Joined: 30/03/2007 13:46:50
Messages: 144
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Mình cũng không tài nào đăng kí thành viên trong reaonline được, điền dầy đủ thông tin rồi thì nó báo thế này:

That username is already in use or does not meet the administrator's standards. If you are computerline1z and you have forgotten your password, click here.


Mặc dù mình đã thay đổi rất nhiều tên đăng kí nhưng vẫn không tài nào đăng kí được, có bạn nào đăng kí trong rea bình thường không hướng dẫn mình với.

Thank
Không có nghề gì trong xã hội là thấp hèn cả - chỉ có nhân cách mới phân biệt thấp cao
[Up] [Print Copy]
  [Question]   Re: Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 19/02/2008 13:10:34 (+0700) | #17 | 115403
[Avatar]
 HkDng
Elite Member
[Minus]    0    [Plus]
Joined: 30/10/2003 05:04:09
Messages: 236
Location: Bộ ... phận ...
Offline
[Profile] [PM] [Yahoo!]

computerline wrote:
Mình cũng không tài nào đăng kí thành viên trong reaonline được, điền dầy đủ thông tin rồi thì nó báo thế này:

That username is already in use or does not meet the administrator's standards. If you are computerline1z and you have forgotten your password, click here. 


Mặc dù mình đã thay đổi rất nhiều tên đăng kí nhưng vẫn không tài nào đăng kí được, có bạn nào đăng kí trong rea bình thường không hướng dẫn mình với.

Thank
 


Thảo luận về Pack và Unpack chứ không phải thảo luận về cách đăng ký ở REA nhé.

Các bác chú ý cho.
___________________
Just around the corner!
[Up] [Print Copy]
  [Question]   Re: Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 20/11/2008 01:14:29 (+0700) | #18 | 159470
ps200
Member
[Minus]    0    [Plus]
Joined: 11/06/2008 20:18:56
Messages: 1
Offline
[Profile] [PM]
Thế những file mà PEid ko biết là pack bằng cái gì thì sao ? smilie
Còn cái nào unpack khác ko
[Up] [Print Copy]
  [Question]   Re: Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 20/11/2008 04:49:27 (+0700) | #19 | 159494
[Avatar]
 kienmanowar
HVA Friend
Joined: 13/07/2004 05:57:34
Messages: 483
Offline
[Profile] [PM] [WWW]
PeiD là công cụ dùng để detect chứ không phải là công cụ unpack cho nên đừng nhầm lẫn! Những file mà không detect được thì :

1. Do Peid thiếu sig
2. Sử dụng kinh nghiệm để kiếm chứng xem có bị pack hay không.

Regards
[Up] [Print Copy]
  [Question]   Re: Làm sao để biết File có được Pack hay ko, Pack bằng công cụ gì 23/11/2008 23:30:34 (+0700) | #20 | 159962
congminh923
Member
[Minus]    0    [Plus]
Joined: 26/02/2008 22:35:52
Messages: 278
Location:
Offline
[Profile] [PM] [Yahoo!]
PEid dễ bị lừa bằng một trong các cách sau :
_Đổi Entry Point (PEid sẽ báo là Nothing Found)
_Dùng Fake Nịna (PEid sẽ phát hiện sai)
_Dùng RLPack, chọn mục fake signature (PEid sẽ phát hiện sai)

-> Nên dùng thêm RDG Packer Detector, vô config, chọn M-B, tuy quét lâu hơn nhưng sẽ chính xác hơn.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|