Messages posted by: quangredlight

Đọc cái comment của bác chủ, em nói bác đừng buồn chứ bác chả hiểu quái gì về worm nói riêng và malware nói chung. Thế mà còn thích thử, em không hiểu là bác thấy thú vị ở chỗ nào khi không đọc code của nó. Đối với em ấy mà, chỉ có PE hoặc NonPE. có mã hoá hay không, sinh tên miền thế nào, khai thác lỗi thế nào....

Tên nó là Conficker hay con gì thì kệ nó. em là em chỉ có PE hay Non-PE. có IDA được hay không??( Vì em nghiện IDA nên em coi nó như 1 động từ, các bác thông cảm)

Bác up file doc lên đi, có gì em RE cho vui, đang ngồi không cũng buồn ạ

Ôi, bác TQN có PatchDiff, x86emu với IDA 6.1 thì cho em với, em thì chỉ cần cái đấy thôi, smilie

,ko có nó dùng bản 5.5 vẫn hơn, chưa kể cái HexRay còn chưa có bản mới, em là em kết mỗi cái đấy của IDA, debug bằng IDA em chịu, toàn đọc code với emu thôi ạ smilie

Mấy chỗ code mà bác nói là code lung tung ấy, em thì lại nghĩ khác. Cũng có thể bác đúng, mỗi người cắt lung tung rồi ghép vào, nhưng biết đâu cái kiểu copy lòng vòng lại là antiEmulator của các Av, code càng lung tung, emu làm càng rối, lỗi loạn lên, emu thì nhiều hãng làm nhưng có phải ai cũng chuẩn đâu . em là đang đoán thế ạ; smilie

xtpro004 wrote:

Hiện tại mình đang làm server game [ hệ điều hành Windows server 2003] nhưng liên tục bị SYN Flood vào Port game
Mong sự giúp đỡ của tất cả các bạn
Đây là một tấm hình mình chụp lại qua netstat

Windows Sever 2003 có tính năng là Protect Against SYN Attacks, tính năng này được bật nếu bạn thêm key sau :

Code:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters.
Value name: SynAttackProtect
Recommended value: 2

Tham khảo tại đây bạn nhé
http://msdn.microsoft.com/en-us/library/ff648853.aspx

Không biết các bác nhận xét thế nào chứ HexRay vẫn là 1.1 thì em dùng IDA 5.5 cho lành. Em chỉ phân tích tĩnh là chính, chả dùng mấy tính năng nâng cao của nó. Nếu có HexRay mới thì ngon.

Mới Leak hôm nay mà cư dân mạng download nhộn nhịp quá smilie

TQN wrote:

Hướng dẫn của chube là cho file 16bit cũ thởi DOS (.com, .exe).

Chính xác là exe, vì com thì không có header ạ

Hi bác TQN

em đọc cái decode thì chỉ biết nó decode ra 6 cái địa chỉ , và dùng 1 hàm để lấy random 1 trong 6 cái đấy và connect gửi thông tin lên, xor 0x1D

cái decode này em ko phân tích IDA được, toàn cho vào máy ảo rồi Olly thôi, đang ngồi hóng các cao thủ cho giải pháp decode nó, thật sự đọc cái decode này mà phát điên luôn ý, rối kinh khủng

Giờ máy em đang điên điên smilie

, chắc phải cài lại win rồi mới làm tiếp được

Em vẫn thấy cái thuật toán mã hoá 6 tên miền trong HARDKBD là khó hiểu, bác TQN có thể phân tích đoạn ấy ko ạ, có có 2 key để giải mã ấy, rồi lấy ngẫu nhiên 1 trong 6 tên miền

ThichNhanSac wrote:

duongtd1102 wrote:

Mà bác ơi cái ebook của bác đưa cho em ko đọc được , hình như la dẹo rùi , hjx

Sao thế bạn, mình down về xem lại thấy vẫn Ok mà.

Chắc chưa Unlock file bạn ạ, Mình đoán bạn ấy dùng windows 7.
Bạn demo cái đấy cũng được đấy, windows 7 lock các file không rõ nguồn gốc smilie

Ky0 wrote:

nhokviet wrote:

Bạn cho mình hỏi 1 vấn đề về Packet.
Bây giờ mình muốn tạo 1 packet hoàn toàn theo ý mình kể cả IP Header rồi gửi đi không biết có đc ko?

Trên Linux thì được trên windows thì không!

Trên windows XP SP1 trở xuống thì được

Theo mình thì việc dùng các tool pack file cũng dễ bị unpack như bình thường vì trên mạng thường có các Script để unpack(hoặc ít ra cũng định hướng cho việc unpack).
Chỉ có cách tự viết trình pack thì mới làm khó người ta smilie

Em đang tìm hiểu về cấu trúc SEH nhưng search trên google chỉ tìm được code mà không có lời giải thích gì. Mọi người giải thích hộ em mấy vấn đề sau nhé:
SEH có cấu trúc như thế nào , ý nghĩa các thành phần trong cấu trúc đó(ý nghĩa của ER_ExceptionCode, ER_ExceptionFlags,...)?
Cách thức hoạt động của SEH như thế nào ?
Xin chân thành cám ơn mọi người

em bây giờ bắt đầu học asm trên win thì các anh bảo nên bắt đầu như thế nào
ASM trên dos thì em học rồi

Link ebook không download được nữa , các bác cho em xin link khác được không
thanks

Vanxuanemp wrote:

Hi all!

Tôi có một thư mục lớn với hàng trăm file, dung lượng cũng lớn đến tàm 15GB, tôi muốn bảo mật thư mục này để chống đọc hay xem được. Tôi muốn khi đã đặt pass cho thư mục rồi thì không nhìn thấy hoặc là nếu nhìn thấy cũng không thể truy cập vào được, cho dù có copy sang ổ cứng khác, hay vào dos hay là có khởi động win ở chế độ Safemode.Tôi không muốn dùng winrar đặt pass vì thường xuyên phải truy cập vào thư mục dữ liệu ấy, mà winrar mỗi lần cần truy cập một file trong ấy nó sẽ giải nén toàn bộ các file trong thư mục nén ấy để Extract file cần đọc, vừa lâu vừa tạo ra các file tạm.

Ai có cách nào có thể bảo toàn dữ liệu được không xin chỉ dùm!

Theo em nên dùng Encrypting File System (EFS) có sẵn cho tiện
Code:

http://en.wikipedia.org/wiki/Encrypting_File_System
 http://support.microsoft.com/kb/223316