English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Messages posted by: be_ni_na  XML
Profile for be_ni_na Messages posted by be_ni_na [ number of posts not being displayed on this page: 0 ]
 
Thảo luận việc định hướng  Empty  Go to message
Cám ơn bạn góp ý. Theo bạn thì RE nguy hiểm. Nhưng theo tôi không có gì là nguy hiểm cả. Nó chỉ được gọi là nguy hiểm khi không biết gì về nó. Nguy hiểm hay không là con người sử dụng nó. Nó giống như cây dao vậy. Nếu sử dụng dao đâm chém người khác thì cây dao là nguy hiểm, còn nếu dùng dao để bửa củi thì nó rất có ích cho con người. Hiệp hội sẽ hoạt động theo tiêu chí đó. Mong các bạn góp ý hơn
Benina
Thảo luận việc định hướng  Empty  Go to message
Thanz u các ý kiến đóng góp của các bạn. Trước mắt mình đang thăm dò dư luận. Nếu số thành viên tương đối mình sẽ lên kế hoạch cụ thể. Về số lượng chắc sẽ không nhiều lắm đâu vì đây là lĩnh vực kỹ thuật. Mục đích chính là mình muốn định giá lại lĩnh vực này trong mắt các nhà chức trách. Và khẳng định chân giá trị của nó đối với xã hội. Còn về vấn đề c.r.a.ck chỉ là một mãng nhỏ trong lĩnh vực này thôi các bạn.
Benina
Thảo luận việc định hướng  Empty  Go to message
Xin chào bạn.
Hiệp hội này không yêu cầu trình độ của hội viên. Chỉ yêu cầu khai báo lý lịch rõ ràng để hoạt động một cách hợp pháp tránh trường hợp hội viên lợi dụng kiến thức gây tổn hại cho XH
Benina
Thảo luận việc định hướng  Empty  Go to message
Kính chào các anh chị.
Hiện nay chúng ta không thể phủ định lợi ích và các ứng dụng của Kỹ thuật đảo mã (Reverse Engineering). Nhưng tại Việt Nam cũng như trên Thế giới kỹ thuật này chưa được đào tạo một cách chính quy do nhiều lý do rất tế nhị. Một trong các lý do đó là ứng dụng c.r.a.c.k các phần mềm, ăn cắp source code, cheat game, h.a.c.k.i.n.g ..v…v…. Tuy nhiên, nó cũng được ứng dụng rất hữu ích trong anti v.i.r.u.s, anti c.r.a.c.k.i.n.g, security software,…v….v.... Do đó kỹ thuật này chính là con dao hai lưỡi. Nếu không định hướng đúng, nó sẽ gây tổn hại cho XH.
Nhằm mục đích giao lưu, chia sẽ những kiến thức nhạy cảm, định hướng nghiên cứu , giới thiệu nhân sự cho các công ty có nhu cầu tuyển dụng về ngành này, chuyển nhượng kiến thức nghiên cứu, đảm bảo quyền lợi cho người đang nghiên cứu lĩnh vực này, cung cấp tài liệu mới nhất, chính quy hóa dần dần công nghệ, định hướng và đào tạo người mới nghiên cứu, thúc đẩy lĩnh vực đảo mã phát triển, tư vấn, liên kết cho các công ty có nhu cầu ứng dụng, tổ chức hội nghị ngành….., tôi nghĩ chúng ta nên thành lập “Hiệp hôi kỹ thuật đảo mã”. Hiệp hôi này sẽ hoạt động dân chủ, tự nguyện và tuân thủ pháp luật. Kinh phí hoạt động trước mắt do hội viên đóng góp. Sau khi hoạt động, Ban quản trị sẽ vận động các tổ chức cũng như các công ty tài trợ kinh phí hoạt động. Mặt khác sẽ tạo nguồn thu từ các kiến thức công nghệ của hội viên. Điều kiện trở thành hội viên: khai rõ lý lịch, CMND, và đóng kinh phí hàng năm.
Đây là những ý tưởng đầu tiên, nếu các bạn thấy cần thiết thì chúng ta sẽ cùng nhau thành lập Hiệp hội. Tôi sẽ dự thảo “Điều lệ của Hiệp hội” và “Quy chế hoạt động”. Dự kiến quý 1 năm 2011 sẽ hoạt động. Mong các bạn cho ý kiến.thêm.
Trân trọng kính chào
Benina
Mail: benina.rea@gmail.com
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
INDEPENDENCE CODE SECTION

Part 2: Finding the base address of kernel32.dll library

Author: Benina

Spinx đã từng viết một bài hướng dẫn writting code virus trên 4rum HVA rất nổi tiếng, tui xin trích một đọan trong bài tut đó như sau:

Khi gọi ngắt trên dos, địa chỉ ngắt luôn được HĐH tự động xác định qua bảng vector ngắt. Cứ việc gọi int xxx (0CD/xxx) việc còn lại là của CPU. Với API lại khác. API thực chất chỉ là các hàm thư viện viết sẵn của HĐH và load lên bộ nhớ như một chương trình. Để gọi được nó cần có địa chỉ của nó trong tay. Đương nhiên câu hỏi được đặt ra là vậy các chương trình “hợp pháp” gọi API như thế nào? Ta quay trở lại với khái niệm cơ bản trên windows. Các chương trình sau khi biên dịch đều có một bảng import table. Các hàm API chương trình sẽ sử dụng đều được ghi trong import table. Khi chương trình chạy windows loader sẽ làm nhiệm vụ xây dụng một bảng địa chỉ IAT (import address table) cho các hàm này. Thật đáng tiếc ta không thể thay đổi bảng này vì windows đã để mắt đến nó. Vì vậy để goi API từ VR ta phải làm lại thao tác của loader và xây dựng bản địa chỉ riêng.

Khi đó lệnh gọi tương đối hàm API sẽ có dạng

call [ebp+_]

ebp+_ ==> chứa địa chỉ hàm API

APIs nó nằm ở đâu bạn không hề biết, làm sao bây giờ. Đâu có đó, thịt chó còn có rau thơm. Windows cung cấp cho ta một hàm để lấy địa chỉ các làm API theo tên là hàm là GetProcAddress. Vấn đề ở đây là GetProcAddress cũng là 1 hàm API. Vậy yêu cầu tối thiểu là phải có địa chỉ 1 hàm GetProcAddress trong Windows. Hàm này thuộc kernel của win nên bây giờ câu hỏi chỉ còn kernel của windows nằm ở đâu. Trả lời điều này dễ hơn nhiều. Ta có ngay một danh sách:

0BFF70000h = Win95 Kernel Addr

077F00000h = WinNT Kernel Addr

077e00000h = Win2k Kernel Addr

0BFF60000h= WinME Kernael Addr (in Memory)

077e600000h=WinXP,Win2K3 Kernel Addr (cái này tôi thêm vào)

Ta có thể yên tâm sử dụng cho đến khi Microsoft thay đi mất smilie Thực ra địa chỉ này có thể không hoàn toàn chính xác như vậy. Ta nên kiểm tra ký tự “MZ” (header của file kernel32.dll) để xác định chính xác vị trí kernel. Có kernel header đối chiếu export/import table của kernel để đọc địa chỉ hàm API theo tên. Oải quá phải không? Đáng tiếc là no way. Thực ra cũng không quá khó đâu vì tất cả đều có trong PE/NE HEADER. Các bạn đọc và nghiền ngẫm kỹ lại đi.

Để hiểu được và thực hành được những gì spinx nói ở trên chúng ta cần học rất nhiều vấn đề. Bài tut này sẽ giúp bạn khám phá từng chút một những gì bác spinx đã đề cập.

Tại sao tôi lại nói về coding virus?. Như tut Part 1 tôi đã nói, code độc lập chẳng khác gì đọan code virus, vì vậy nghiên cứu chúng chẳng khác nào nghiên cứu về virus!. Nhưng như tôi đã nói, các bài tuts mà tôi viết chỉ để học tập và nghiên cứu, tôi hòan tòan ko chịu trách nhiệm về những gì các bạn ứng dụng những kiến thức này để phá phách. Mong các bạn đừng làm những việc ngu xuẩn để rồi mang họa vào thân trước tiên.

Link: http://rootbiez.blogspot.com/2010/04...ding-base.html
Thảo luận thâm nhập  Empty  Go to message
Em có chuyển sang PDF.Neúi cần thì download :
http://www.mediafire.com/?gzknmzzyzjj
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Cám ơn bạn quan tâm. Cái mail cũ của Nga khi đăng ký HVA cũng out luôn rồi. Nên ko thể reset lại pass. Bây giờ cũng có nick mới rồi. Đang ký HVA lúc này hơi khó. Một ngày sau mới được set active
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Chúc mừng năm mới 2010 đến HVA. Lâu lắm rồi mới quay trở lại HVA vì quên mất pass nick cũ. Nhân dịp đăng ký nick mới, tôi xin post bài này tham gia trở lại HVA:

INDEPENDENCE CODE SECTION

PART 1 : BASIC TECHNIQUES

Author: Benina 2006 (fixed 2008)

Hôm nay chúng ta sẽ tìm hiểu về một chủ đề mới : đó là các đọan code có khả năng thực thi độc lập ko phụ thuộc vào “nơi cư trú” (tôi tạm định nghĩa là independence code section).

Tut này sẽ trình bày khái quát và các kỹ thuật cơ bản trong đọan code có đặc tính như chủ đề tut đã nói.

Trước khi đọc lọat tuts này tôi xem như bạn đã biết sử dụng qua debugger Olly.

http://rootbiez.spaces.live.com/blog/cns!AC1F6A5FA666A923!478.entry

Có gì sai mong các cao thủ chỉ giáo.

Benina
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|