Messages posted by: VXer

login: reversing
pass: ~urzph
có phải ko ạ?

PS: tôi cũng ko run được target, hình như do tác giả build bằng VC 2005 bị lỗi sao đó (manifest thì phải), bạn reversing thử xem lại nhá! Load vô IDA chơi cho dễ smilie

Edit: Đã thử dùng tool mt.exe (trong bộ Platform SDK) để fix lại manifest của target, chạy trong máy tôi ok

link download: http://www.box.net/shared/z1crkpbacc

(cần có runtime của VC 2005)

Bác nào có target up lên host khác cho anh em được ko ạ (ví dụ box.net ...)
Em dùng mạng chung cả cơ quan nên download rapidshare khổ lắm smilie

Reversing... wrote:

Đơn giản nhất là thay
Code:
mov cx, 3
bởi
Code:
mov cx, 5
còn sau đó bớt 3 rồi lại thêm 3 cũng như không. Thêm vào cái
Code:
push ax
cho cách giải thêm phong phú

Không hiểu lắm smilie

Theo ngu ý của tôi nếu cậu thay "mov cx, 3" thành "mov cx, 5" cũng chả có ý nghĩa gì, nhớ là lệnh loop sẽ lặp tới khi cx = 0. Lúc đó 3 cái lệnh inc của cậu sau đó sẽ lại tăng cx lên thành 3 thôi, cậu có "mov cx, 1000" cũng vậy! smilie

Code:

Load target vô IDA:
seg000:0100 start proc near
seg000:0100 mov cx, 3
seg000:0103
seg000:0103 loc_10103: ; CODE XREF: start+6j
seg000:0103 call sub_10122 ; tăng ax lên 1
seg000:0106 loop loc_10103
seg000:0108 push ax
seg000:0109 inc cx
seg000:010A inc cx
seg000:010B inc cx
seg000:010C ; tới đây cx sẽ chứa số lần in ra string, tìm cách để tới đây cx = 5
seg000:010C @@LoopPrint:
seg000:010C call sub_10126
seg000:010F loop @@LoopPrint
seg000:0111 int 20h
seg000:0111 start endp

Ta sẽ thay lệnh call tại 0103 thành lệnh call tới 010A, tức là cx đang bằng 3 ta cộng nó 2 lần với 1 được 5 => sẽ in ra 5 lần như ý muốn!

Vậy cần thay lệnh call tại 0103 thành lệnh call tới 010A. Hãy tính offset của lệnh call:
010A - 0103 = 0007
0007 - 3 = 0004 (vì lệnh call chiếm 3 byte, 1 byte cho opcode E8 và 2 byte cho địa chỉ)

Vậy cần thay offset của lệnh call tại 0103. Mở target bằng 1 trình hex editor nào đó, thấy tại offset 03 là byte E8 (opcode lệnh call), 2 byte sau đó 001C là offset lệnh call, ta thay thành 0004 như đã phân tích ở trên.
Vậy chỉ cần thay byte 1C ở offset 04 thành byte 04 là thỏa yêu cầu smilie

only1bit wrote:

VB6.0 không sử dụng mã máy nhưng DLL nó vẩn có thể sử dụng cho các chương trình khác

Không hiểu smilie

. Only1bit vui lòng giải thích hộ cái!

only1bit wrote:

Private Sub Main()
Dim MainValue As String
Dim TimThay As Boolean
QuayLaiTuDau:
If MainValue="Khong Tim Thay Dia Cung" Goto TimDiaCung
If MainValue="Tim Thay O Dia C" Goto ChepVao
TimDiaCung:
'Mã tìm đĩa cứng ở đây
If TimThay=True Then
MainValue="Tim Thay O Dia C"
Else
MainValue="Khong Tim Thay Dia Cung"
End If
Goto QuayLaiTuDau 'Tôi nghĩ bạn thiếu cái này
ChepVao:
'Mã chép vào ở đây
End Sub

Tôi nghĩ bạn còn sai logic nữa smilie

Thêm nữa, theo tôi nghĩ thì với những người hay debug, việc đọc mã asm vốn đã chẳng có cấu trúc rồi, nên việc dò theo mấy lệnh goto này có thể sẽ không khác nhiều so với việc họ đọc các lệnh jmp, jne, jnz ... Nói cách khác thì đoạn mã obfuscated (tôi không coi nó là anti-debug) như trên cũng không làm cho tính không cấu trúc khi disasm tăng lên nhiều, bạn có viết source code rõ ràng trong VB thì khi disasm nó cũng lại thành không cấu trúc, lại nhảy linh tinh lên thôi mà smilie

. He he mà ý kiến này hơi võ đoán, anh em nào RE nhiều vào đính chính hộ cái smilie

@Vuadapass: cái bypass me của bạn cũng dùng cơ chế protector/antidebug của soft khác chứ không phải hoàn toàn VB6 smilie

@Only1Bit: vẫn đang chờ Antidebug bằng VB của bạn smilie

He he con này kinh điển source đầy ra, ngoài tên CIH nó còn có tên là Chernobyl.
Em này ngày xưa làm mưa làm gió ở win9x thôi chứ giờ lên XP, Vista ... chắc tịt ah. Tui không dám post link source code ở đây sợ vi phạm rules, bạn nào thích thì google cái ra ngay ý mà, tìm với từ khóa "cih.txt" ý smilie

Đây đúng là kĩ thuật "anti-debug" rồi, khiến người đọc bị lú lẫn không thể "debug" nổi bài viết đúng hay sai smilie

.
Mà hình như kiểu này ít ai gọi là anti-debug mà hay gọi là Obfuscator thì phải smilie

Code:

http://www.clamav.org/download/sources

Source của ClamAV đó bạn

@nbthanh: Thế cái ví dụ cả em đc ko bác smilie

@only1bit: VB6 cũng có PCode mờ bác, em tưởng bác viết worm với trojan bằng VB6 thì phải rành mấy vụ đó chứ. Theo em PCode App có kích thước gọn hơn NCode App (do 1 opcode của PCode có thể làm những tác vụ tương đương với vài opcode của NCode) nhưng tốc độ có chậm hơn đôi chút do phải thông dịch sang machine code smilie

He he thành thật xin lỗi vuadapass, tôi đã không đọc kĩ bài của bạn, đọc kĩ lại là bạn mang file victim theo sau file bạn chứ ko phải mang theo 1 virus thực sự như mình nghĩ, sorry sorry.

Nhưng đó là lây file thông thường, vậy còn lây driver bạn sẽ giải quyết thế nào??

@xnohat: đúng như bạn nói, có quá nhiều topic bàn về viết virus (và cả antivirus) bằng ngôn ngữ gì rồi. Ở đây tôi không tranh cãi về điều đó, bạn vuadapass yêu cầu ví dụ về những gì VB6 không làm được mà ngôn ngữ khác làm được và tôi đang bàn về vấn đề đó mà thôi.

vuadapass wrote:

Để em giải thích rõ hơn : em đang nói trong vb6, nó cho phép tạo một file nguồn (resource - .res) để mình lưu trữ các thông số vào đó . Chẳng hạn một bức ảnh, một đoạn media, hay chỉ là một đoạn chữ ... .
Để lây lan virus của mình vào một exe khác, mình sẽ code cho nó đọc hex của exe cần lây rồi bỏ vào resource. Sau đó ghi đè lên tệp exe mình cần lây. File được ghi lên chính là file đã bị nhiễm . Khi mình chạy file bị nhiễm, nó sẽ đọc phần resource mà mình đã lấy của file nguyên bản . Extra ra một góc nào đấy trên máy tính (thông thường là thư mục ~temp) . Tiếp đến công đoạn cuối cùng là tự động chạy nó.
anh có thể thấy phương thức này trong đa phần những con virus tự động lây lan . Mỗi khi chạy phải một tệp nhiễm virus, nó sẽ mọc ra thêm một process mới có dạng random*.tmp vd : 156782.tmp, a42c92f.tmp ... tệp .tmp đó chính là con virus sau khi khi được extra ra . Kiểu lây lan này gần giống như việc mình đinh 2 file exe vào với nhau vậy, trong đó có 1 file là virus của mình có nhiệm vụ tự động nhân bản sang các exe khác.

Đâu phải mỗi VB6 app có resource hả bạn. Cái resource là gì ... thì khỏi phải bàn chắc ở đây ai cũng quen rồi.
Cái tôi quan tâm trước tiên là cái chữ tôi quote màu đỏ của bạn đó. Cái "hex của exe cần lây" bạn có viết bằng VB6 không??

PS: Tôi không chắc đã hơn tuổi bạn nên bạn gọi tôi là anh nghe kì kì smilie

Bạn bảo đưa ra ví dụ về những gì VB6 không làm được mà ngôn ngữ khác làm được. Tôi đã thử nêu ra xem với VB6 bạn có làm được không và ai cũng thấy cách giải quyết của bạn rồi, vẫn phải dựa vào ngôn ngữ khác (dù chỉ là 1 module hay là cả chương trình). Bạn đã rõ ý chứ? Còn lây lan bằng ngôn ngữ khác thế nào thì tôi tin là ở diễn đàn này có không ít bài nói về chủ đề đó rồi. Những kĩ thuật cơ bản như lấy delta, tìm kernel32 base ... cũng có thể tìm thấy ở những bài post đó, post ra đây là không cần thiết.

vuadapass wrote:

c1:mình có thể tạo một tệp resource trong đó chứa mã nguồn một tệp exe có khả năng tự động extra phần hex code có trong bản thân mình ở cuối file ra thư mục ~temp . Rồi chạy tệp .exe vừa được extra ra. Nhờ đó mình có thể chèn 2 trong 1 vào một tệp exe ( như kiểu exe bundle) ... và 1 trong 2 tệp đó chính là virus của mình .
c2:Mình sẽ viết một đoạn code asm với nhiệm vụ tương tự rồi dùng put chèn vào cuối tệp executables muốn nhiễm với một section mới, sửa lại oep. Điều này yêu cầu phải có kiến thức về reverse và để viết nó sẽ tốn khá nhiều thời gian.
đó là những cách mà hiện tại em đã nghĩ ra, có thể có nhiều cách hay hơn, em sẽ cố gắng tìm hiểu thêm . tuy code có hơi khó & lằng nhằng nhưng việc code nó không phải là không thể làm được.

nói như bạn thì tôi viết hết bằng ngôn ngữ khác rồi vứt vô resource 1 cái app VB, rồi code 1 đoạn VB drop resource ra và run cái chương trình, driver ... viết bằng ngôn ngữ khác lên. Vậy cũng kêu là VB có thể làm được ư?? Hờ, vậy tôi viết driver bằng file .bat cũng được smilie

vuadapass wrote:

anh thử lấy một ví dụ về lập trình hệ thống hay virus mà so với các ngôn ngữ khác VB6 không làm được xem

OK, bạn viết thử 1 driver lây vào driver khác xem?? (lây theo kiểu "đính" 1 phần của nó vào driver khác chứ đừng copy bản thân nó rồi đổi tên thành driver khác bạn nhé!). Mà theo tôi được biết thì lây lan thế mới đúng nghĩa virus smilie

Nếu thấy driver không được thì bạn làm với win32 app trước cũng được!

@hacnho: Em dùng nick này trong vài diễn đàn, nhưng chắc bác không quen em đâu smilie

. Mà máy em còn mấy tut RE của bác, xét về kinh nghiệm và trình độ em kém bác nhiều lém smilie

@Only1bit: Hâm mộ bác quá, cách đây 7 năm em còn chửa biết máy tính là gì smilie

only1bit wrote:

Ai nghi ngờ VB6.0 thì add+ nick chát mình, cải nhau tay đôi.
VB6.0 Cực kì khó debug !
Mình sợ dạy bằng TASM32 các bạn không hiểu. Chuối khô dầu ạ. Đừng cho rằng mình giỏi hơn người ta nha.

Vãi

Ai pro mấy cái virus này chỉ cho em với, virus là gì, worm là sao ... Em vào đây để được dạy đây ạ!!

Hackervn_cbg wrote:

dungcoi_vb bạn nghĩ là tui ăn cắp con realworm của bạn rồi post lên đây ? , bạn xem xem nó có giống con realworm của bạn không rồi hãy nói nhé !
mình quả thực đã down realworm của bạn về , rồi dùng luôn project tên đó để viết vì mình tận dụng phần ghí key vào registry &killapp của bạn mà thôi , một số phần mình chưa bỏ ( lười ) , nhưng ko hề sử dụng ( datav.ini , cn.exe ) , nếu bạn nghĩ mình hoàn toàn dùng con realworm của bạn , chỉ đổi tên mà thôi , thì mình có thể sẵn sàng đối chất với bạn , xem hbnew và realworm có phải là 1 ???

mình đã đi theo hướng khác để viết , nhưng sẵn sàng có một cuộc đối chứng về cái application nhỏ nhỏ này , nếu bạn rảnh
===Thân====

SkIdie vs SkiDie smilie

vippro123 wrote:

copy vào notepad ,save lại thành file .bat ,chạy file đó,nếu anti-virus hiện thông báo thì vẫn còn tốt,còn không thấy gì thì bạn nên update hoặc thay chương trình mới

tmd nói phải đấy, vippro123 giải thích xem nào! Bản thân cái file .bat tạo ra đó nó không gây hại gì, vì thế nếu AV có bỏ qua không thông báo gì thì về nguyên tắc vẫn không có gì sai, sao lại phải update hoặc thay chương trình mới?? Tôi ngu dốt nên rất mong bạn hạ cố giảng giải chút smilie

FaL wrote:

+ "Cái này" không kiểm tra Antivirus có "chạy" hay không, chứ nó ko kiểm tra hoạt động tốt hay không. Bởi vậy nó không đến nỗi vớ vẩn.

Vậy tóm lại "cái này" để làm gì smilie

Mấy cái bảng này coi cho vui nhỉ smilie

Tôi thấy ai dùng quen AV nào thì sẽ thích và tiếp tục dùng AV đó thôi smilie

Oops, em đã nhầm FastHelper là 1 antivirus software, thành thật xin lỗi các bác smilie

Look2Me wrote:

@VXer:Symantec : .... diệt được rất nhiều virus, nhưng ... không thể diệt được con này

Cái này thì tôi không biết, nhưng FireLion thì chắc chắn là không được smilie

Overflow wrote:

Bác FireLion mới được phát triển thì lây file chưa diệt được là chuyện thường tình, có sao đâu

Tôi nghĩ khi nghiên cứu virus thì hiểu biết về File infector và nguyên lý của nó là rất cần thiết, hơn nữa theo tôi được biết thì về mặt lịch sử virus cũng ra đời trước worm với trojan. Việc phát triển anti-virus mà không thể diệt file infector quả là một thiếu sót lớn smilie

Symantec thì nghe còn được chứ còn ... smilie

Nên nhớ là chúng ta đang nói về 1 file infector & polymorphic & EPO virus bạn ạ smilie

juypiter wrote:

hic hic...lại còn public nữa thì....
Bao giờ update vào FireLion đây hả bác Hoàng???

Cái bạn này buồn cười quá đi, bộ không thấy người ta đang bận hả?

LeVuHoang wrote:

Hiện nay Hoàng đang tập trung phát triển dòng ứng dụng chống keyloggers.

Tôi nghĩ bạn Juypiter chỉ nên đặt những câu hỏi như vậy trong trường hợp mấy con worm, trojan đơn giản thôi. Mấy thằng infector lại còn polymorphic thế này chả bận gì có khi cũng chả phân tích đc smilie

quanghabk wrote:

code nguyên bản con này đã được public (phiên bản VT_4) ,nên nó biến thể ác liệt hơn rất nhiều so với thông thường.

Vụ này thì giờ tui mới bit đó, nếu đúng như bạn nói thì thật là phiền phức. Mà "phiên bản VT_4" là sao hả bạn? Ý bạn VT_4 là cái event self-check của nó hả? VetorI nói tới trong này tạo event "VX_4" smilie

. Mà riêng cái event "VX_4" này tôi cũng thấy có tới mấy version lận, đúng là ác mộng smilie

Các bác có hứng thú nghịch em này thì vô VMWare hoặc VirtualPC mà chơi, đừng "máu" như bác Hacnho nguy hiểm lắm, chưa thấy AV nào thịt em này thực sự ngon cả smilie

tmd wrote:

Các bạn nên tìm hiểu thêm tiếng Việt ...

tmd wrote:

ngôn ngữ của ghóp ý là gì

Bác Look2Me nói quá rùi, con này chưa tới mức meta đâu, mới polymorphic thôi. Đoạn polymorphic đó cũng không quá dài, mục đích chính cũng chỉ là giải mã thôi mà smilie

. Nó khó diệt không chỉ bởi nó là polymorphic virus mà còn vì sử dụng thêm kĩ thuật Entry-Point Obscuring, tự lây nhiều lần, inject vào các process khác và hook một số hàm như ZwCreateFile, ZwOpenFile ...

Nhìn chung đây là 1 virus rất đáng nghiên cứu smilie

LeVuHoang wrote:

chà, VXer (Viruser) bán cái hen .

Bác ơi em lấy nick nghe cho oai thôi chớ gà lắm, có khi em nhờ mod đổi hộ cái tên kẻo người khác hiểu lầm hì smilie

LeVuHoang wrote:

Bạn có thể tìm hiểu về rootkit ở đây: http://www.rookit.com
Có một con rootkit khá hay là Hacker Defender: http://www.rootkit.com/project.php?id=5
Được viết bởi sự kết hợp của 2 ngôn ngữ VC++ và Delphi. Chỉ tiếc là tác giả sau một thời gian không xuất hiện nữa. Có lời đồn là ổng... bị đụng xe chết roài. Ặc ặc, mong là không phải vậy.

ASM nữa

chaien281985 wrote:

Ko bít Bkis họ phân tích các con virus như thế nào nhỉ? Sử dụng phần mềm hay tổng hợp các phương pháp?
Chẳng hạn như cho một con virus A để bít được sự thay đổi của Registry phải dùng một phần mềm theo dõi sự thay đổi của nó. Sau đó bằng cách nào bít được khóa nào, giá trị nào là do virus tạo ra?.
Thứ hai là chẳng hạn con virus đó nó copy ra nhiều file A,B,C đặt ở các ổ khác nhau, các folder khác nhau thì làm cách nào theo dõi được và bít được nó tạo ra ở như folder, ổ đĩa đó....
Rất mong được mọi người chỉ giáo!!!!

Sao phải hỏi BKIS? Hỏi bác LeVuHoang ngay đây nè smilie