Messages posted by: hacnho

Tôi đặt chú ý cho thread này, bạn quản lý cho tốt nhen!

Dạ, em định làm riêng 2 topic ra. Đang tổng hợp lại các công cụ để phân ra á anh.

@pham.channhan: dUP là công cụ dùng để tạo file "vá" lên các tập tin với mục đích là by pass các cơ chế kiểm tra, hoặc sửa "những điểm cần sửa" để cho phần mềm hoạt động theo ý mình đó bạn. Còn các option của nó như multiple file patcher (patch cùng lúc nhiều file), create Offset and Search&Replace patch/loader (Cơ chế dùng pattern để patch trên file hay bộ nhớ. Thí dụ đơn giản như vầy, với các phiên bản phần mềm, file cần patch đôi khi có thay đổi, nếu mà bạn dùng file patch cũ nó sẽ không được vì sai địa chỉ, khác checksum, dùng kiểu này là mình nhận dạng các đoạn mã check key mà nó không thay đổi qua các phần mềm, khi patch thì nó sẽ tìm trên file hay bộ nhớ đoạn mã không đổi đó và patch ngay, đơn cử các Generic Patcher của ku Merc cho IDM), compare files (chức năng so sánh 2 hay nhiều file trước và sau khi patch, hỗ trợ khác dung lượng ...), vân vân và vân vân. Nói chung nếu muốn dùng dUP bạn phải biết "vá" cái đã. Nó giống như một cái máy may, bạn phải có chỉ và hiểu cần may vá chỗ nào mới dùng nó được. Thân!

PS: hàng này của diablo2k2 hàng chính hãng, không phải hàng tàu, chắc bạn down nhầm hàng tàu hóa nhặng xị rồi smilie

!

ASPack có thể dùng OllyScript để unpack manual. Kiếm script này trên Google bằng từ khoá : ASPack 2.12 script+hacnho

Thân!

A very long and detailed primer on reversing Symbian S60 applications, covering required tools, examples, references and links to other tutorials (Version 1.4)

Đây là một tutorial kinh điển, rất cơ bản. Nếu bạn muốn tập reversing/cracking các phần mềm chạy trên hệ điều hành Symbian thì nó là một quyển sách gối đầu nằm (riêng tôi đã in ra giấy để tiện nghiên cứu). Phiên bản của bộ tutorial này đã là 1.4, trong tut này, tất cả những phần mềm/công cụ đều có thể tìm kiếm bằng Google. Yêu cầu không post những câu hỏi liên quan đến việc download. Chú ý: Loạt tut này chỉ hỗ trợ S60 thế hệ 1 (sis) không hỗ trợ sisx 3rd.

Để thực hành tutorial này bạn phải có kinh nghiệm về IDA, kiến thức về bộ xử lý Motorola 68K (ARM).

Link download: Code:

http://arteam.accessroot.com/tutorials.html?fid=194

Con này đừng nghịch dại nhé các bác smilie

! Một dạng polymorphic infector. Hồi mấy biến thể đầu, tôi tưởng cùi nghịch nó trên máy sống, đi đời tất cả các exe trong máy smilie

.

Tôi không có thời gian xem rõ hình như con này hình như nó mở một cổng để kết nối tới một IRC server nào đó, đồng thời download con này về >.< : http://85.114.140.107/~grander/dl.exe.

Một số trình AV có thể clean được nó, nhưng tôi khuyên là xách ổ cứng nhiểm đem qua một máy sạch cập nhật data rồi hẳng quét. Anh em nào cho biết con này nó phát ra hồi nào dậy ta.

Chỉ gì bây giờ. Bạn không nói rõ niveau bạn cỡ nào, làm sao biết mà chỉ. Mà theo tôi nghĩ format lại là tốt nhất. Thật đấy! Chứ bây giờ hướng dẫn bạn debug hệ thống để tìm con đó thì bạn lại la làng là không hiểu thì mất công lắm. Trước tiên muốn xác định là cái gì gây nên tình trạng đó. Vì bản thân một file muốn chặn bạn hiện file ẩn thì nó dùng các API để truy xuất đến Registry. Mà muốn tìm được các process nào đang trỏ tới registry thì bạn phải monitor hệ thống. Tiến hành Debug ở dạng Kernel hoặc hook trực tiếp các hàm API. Sau đó phân tích bằng cách loại suy. Nếu nó là một process đơn lẻ thì có thể Terminate nó và dùng IDA hay OllyDBG hoặc SI tùy ý để phân tích xem nó làm cái gì. Còn nó nó infected vào các process thì phải tiến hành xem các thread chạy trên process bị nhiểm đó, từ đó xác định các DLL, SYS đang được gọi bởi process đó hoặc xem coi process đó có bị injection code hay không?
Nếu bạn hiểu những gì tôi nói thì có thể làm theo cách mà bạn cho là tốt nhất. Nếu không thì hãy format nó hoặc đem ra ICARE smilie

. Tôi nghĩ cách này tốt cho bạn và cho người đọc nữa.

Thân!

Diệt bằng tay nè. Con này cũng cùi mà. File bat diệt nó, nếu bồ có nhiều ổ đĩa thì thêm vào.

Code:

Del C:\WINDOWS\system32\amvo0.dll
Del C:\WINDOWS\system32\amvo.exe
Del C:\80avp08.com
Del C:\autorun.inf

Sau khi nhiểm nó sẽ không cho hiện file ẩn. Export key này để enable:

Code:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

Tôi định move bài này vào trash, nhưng có một số anh em đã post reply nên tôi không làm. Warn nghiahuong2gl 1 nhát cho nhớ. Đọc quy định kỹ dùm.

Topic locked!

http://danhba.vdc.com.vn/ : theo tôi nó leak từ đây và dùng db của năm 2006 tới nay. Bên BCVT chưa cấp quyền sử dụng DB 2007 smilie

!

Có thể được và không. Tôi nhìn dòng HWID bạn viết trên và nghĩ ngay tới 4VN và Themida. Rất tiếc HardwareID bây giờ có cơ chế CRC nên muốn đổi nó phải vượt qua cơ chế này trước. Còn với những soft không có CRC Memcheck thì đơn giản là dùng RAM Edit của một trình HexEdit nào đó. Thân!

Tui thì nghĩ do cái USB ấy à smilie

. Tui chuyên gia bị thế, down các DVD nó chia thành vài chục part 100MB, khi chép về, extract ra thì bảo Corrupt. Tưởng là lỗi ở file người ta upload, download lại thì biết do USB bị lỗi trong quá trình chép.

Đọc nhức đầu thiệt, chắc bạn lại tính mon men vô quán chơi chùa phải không >.<. Tôi không hiểu ý bạn, tạm thời ngưng hoạt động khi chạy ở client thì dùng pssuspend đóng băng nó lại thôi. Nhưng trên máy chủ sẽ mất kết nối.

Google: Folder Lock.