Messages posted by: xwhitelight

quygia128 wrote:

Anh xem lại cái manifest.xml xem thế nào ?

Crackme không run được trên XP anh à.

Hix, vậy à? Mình cũng ko biết làm thế nào nữa. smilie

n2tforever wrote:

Việt Nam

Tuyệt vời ông mặt trời. smilie

Làm cái crackme cho anh em chơi thử: ^^
https://www.box.com/s/ok9l3jr2it46zm0rnbll

bachsau666 wrote:

các bạn có thể quay video về phần crack tìm cái pass của crackme2 của tut 18 của kienmanowar kg ạ. Mình làm hoài chả ra cái pass của nó. link:http://www.mediafire.com/?wxozigz2q2z. thank

Ko khó đâu, nếu bây giờ bạn ko crack đc cái này thì sẽ ko crack đc những cái khác. Mình cũng biết crack từ loạt tut này của chú Kienmanowar, lúc đầu cũng cảm thấy bó tay vs cái này nhưng dần dần cũng làm đc. Nếu làm đc thì nó sẽ là thành công đầu tiên của bạn trên con đường cracking. smilie

ttlove wrote:

Mình không tìm được địa chỉ một số string khi Goto Expression trong OllyDbg, xwhitelight xem và giải đáp giùm mình nhé.
Download video:
http://www.mediafire.com/?tgq6n0smf4hat4j

Anh đưa con trỏ xuống vùng Dump Window (ở phía dưới vùng Disassemble Window) rồi đi đến địa chỉ đó sẽ thấy.

Đây là video mình đã sửa chuỗi "Quantity:" thành "So luong:" ko sử dụng hex editor:
http://www.mediafire.com/?agtlcug4ooh9voc

ttlove wrote:

Ôi trời! anh hiểu nhầm ý em rồi, anh không đọc dòng chữ em “mở ngoặc” dưới hình à ?
Ý em muốn nói là anh có thể hướng dẫn em sửa dòng chữ đó bằng hex không? (để từ đó em áp dụng vào việc Việt hóa game của em), chứ edit bằng Resource Hacker thì dễ quá rồi, cái hình Unikey bên trên là do chính em edit và upload mà.

À, ra vậy. Nhưng đúng như anh TQN nói, nếu đã có thể sửa bằng Resource Hacker thì sửa bằng Hex rất khó (tất nhiên là được nhưng phải hiểu cấu trúc section resource và thực hiện cũng rất lâu).
Nhưng thật sự mình không biết các chuỗi đó nằm ở đâu trong file mà bạn post khi mình đã dùng Hex Editor để tìm kiếm và ko có kết quả cho cả mã ASCII lẫn Unicode. smilie

ttlove wrote:

À như vậy cho dễ đi. Nếu anh có thể quay cho em 1 video hướng dẫn edit chữ "TCVN3 (ABC)" của phần mềm Unikey 4.0 RC2 thành chữ "TC Viet Nam 3 (ABC)" như trong hình này:

(Chỉ được edit bằng hex, không được edit trực tiếp bằng các tool edit resource như: Resource Hacker, Restorator, PE Explorer hay ExeScope)
Em sẽ tặng cho anh 1 thẻ nạp di động 50k (mạng tùy ý ) coi như để cảm ơn anh. Nếu anh đồng ý, anh pm số mobile: 0982523821 cho em nhé.
Em đang rất cần và vô cùng biết ơn nếu anh giúp đỡ

Cái này sửa bằng Resource Hacker bạn à. Ở mục Menu, item 40057, bạn tự sửa lại đi nhé. Còn tiền nong khỏi cần, ở các diễn đàn bạn ko cần phải thế đâu. smilie

ttlove wrote:

xwhitelight wrote:

Bạn add thêm như thế sẽ bị lỗi đấy. Để thay đổi string mà dài hơn chuỗi gốc bạn cần làm như sau:
1. Hoặc là tìm một vùng trong section toàn byte 00 có thể đảm bảo nó ko bao giờ dùng tới để ghi chuỗi của bạn vào, hoặc là add thêm 1 section data mới để ghi vào.
2. Thay đổi address của chuỗi gốc đến chuỗi của bạn.

Chúc bạn may mắn.

Rất cảm ơn anh đã trả lời giúp em.
Cho em hỏi phần thay đổi address (offset) của chuỗi nằm ở đâu vậy anh ? Em thử dùng các tool như PE Explorer hay CFF Explorer nhưng đều không thấy chức năng này ?
P/s: có phải là dùng Olly Debug không anh ?

Có lẽ là mình đã nhầm. Nếu như chuỗi được chứa trong resource (bạn đã dùng Resource Hacker để sửa đổi) thì đơn giản hơn nhiều. Bạn hãy dùng Resource Hacker để sửa chuỗi đó thành một chuỗi dài hơn bằng tiếng Anh mà có độ dài bằng chuỗi tiếng Việt bạn cần sửa lại, sau đó lại dùng Hex Editor để sửa lại như bình thường thôi. smilie

Nhưng hình như nếu resource đã chứa được unicode thì chắc là Resource Hacker cũng sửa thẳng luôn được đấy. Bạn thử dùng bảng mã Unicode tổ hợp để gõ rồi compile xem sao. smilie

Bạn add thêm như thế sẽ bị lỗi đấy. Để thay đổi string mà dài hơn chuỗi gốc bạn cần làm như sau:
1. Hoặc là tìm một vùng trong section toàn byte 00 có thể đảm bảo nó ko bao giờ dùng tới để ghi chuỗi của bạn vào, hoặc là add thêm 1 section data mới để ghi vào.
2. Thay đổi address của chuỗi gốc đến chuỗi của bạn.

Chúc bạn may mắn. smilie

@MinhHung1122: OK, tớ hiểu ý cậu rồi. Có lẽ là cậu nói đúng rồi. Nhưng chỉ có kernel32.dll và ntdll.dll thôi, ko có dấu ba chấm đâu.

MinhHung1122 wrote:

không bao giờ có chuyện này xảy ra, vì từ winxp trở đi thì mọi ứng dụng chạy trên windows thì các thư viện kernel32.dll, ntdll.dll,... sẽ tự động load vào chương trình

Hahaha.

Buồn cười quá. Thử xem cái Hello world này đi, nó chỉ import kernel32.dll với user32.dll thôi, còn cái ntdll.dll ở đâu rồi? (Tất nhiên những cái trong dấu ... nữa.)
http://www.mediafire.com/?nll1d3o4ix3achr

so61pi wrote:

chiro8x wrote:

Bạn chắc rằng bạn nói đúng chứ ? Tài liệu kỹ thuật nào cho phép bản khẳng định hùng hồn vậy. Bạn hoàn toàn có thể viết chương trình không sử dụng bất cứ một thư viện nào.

Cái này mình chưa thấy, mình nghĩ vẫn phải gọi các hàm API bằng 1 cách nào đó.

Em thấy VC++ luôn phải dùng kernel32.dll để dùng cho các hàm môi trường, nhưng ko rõ các chương trình khác thì sao.

chiro8x wrote:

Hì hì ! cái ý tưởng lúc đầu của bồ, tính tổng tất cả mã Ascii các kí tự trong chuổi của bồ là một hàm một cửa đấy .

Bạn í chỉ lấy nhầm ví dụ thui mà. smilie

Lúc này để cung cấp serial cho khách, công ty cần brute force. Nhưng chẳng ai dùng hàm này đâu. smilie

Thanks you! smilie

(HVA mình ko có nút thanks, tiếc quá.)

chiro8x wrote:

n2tforever wrote:

không ý em là f1 làm nhiệm vụ biến đổi username thành 1 giá trị x1, f2 biến đổi key nhập vào thành giá trị x2 sau đó mới dùng 1 hàm f3 để xác thực quan hệ giữa x1 và x2 xem có phù hợp không (trường hợp đơn giản nhất là x1 có bằng x2 không).
như vậy dựa vào quan hệ x1 phải bằng x2 bác có thể tận dụng hàm f1 để tính x1 từ đó suy ra được x2, nhưng vấn đề là tìm hàm f2' ngược của f2 để chuyển từ x2 thành key. nếu không biết cụ thể f2 nó làm gì thì làm sao tìm được f2'

Okay tớ hiểu ý cậu rồi ! nhưng bạn có nghĩ về việc f2 là hàm một cửa chưa ?.

Trường hợp này chắc chắn phải patch, hoặc brute force!

@chiro: Ồ, thực ra những kiến thức anh đang nói đến em sẽ gọi là "cơ sở lập trình". Những kiến thức như vầy chưa đủ trở thành tin học chuyên nghiệp. Ý em nói tin học chuyên nghiệp là những thuật toán phức tạp. Còn crack thì chủ yếu là một số kỹ thuật như vầy:
- Unpacking.
- Dịch ngược chương trình (cái này cần đến cái "cơ sở lập trình") ^^
Từ những thứ đã dịch ngược được mới tìm cách để thoã mãn đề bài (tức đăng ký phần mềm). Những thuật toán chỉ được sử dụng khi code keygen. Đó là những thuật toán dò ngược, hoặc dò tìm thế nào đó để có serial. Những thuật toán này có lẽ không phức tạp như những thuật toán trong các đề thi tin học. smilie

Crack ko đòi hỏi một trình độ lập trình chuyên nghiệp, tuy nhiên ko biết một chút gì, đặc biệt lại là C++ nữa thì đừng hòng crack.

Em lâu nay vào HVA thi thoảng vẫn xem Ai đang làm gì nhưng không để ý, giờ mới thắc mắc:
Nếu một thành viên mở nhiều tab hay cửa sổ của HVA thì HVA sẽ thể hiện như thế nào đây? Không lẽ nào HVA biết thành viên đó đang xem tab nào hay sao? smilie

bolzano_1989 wrote:

so61pi wrote:

- Trong trường hợp 1 hàm API được gọi nhiều lần thì làm sao để đặt breakpoint trên tất cả các lệnh call API đó.

Với IDA Pro, ở cửa sổ IDA View, bạn click chuột vào WINAPI function đó, gõ phím X sẽ xuất hiện danh sách các xrefs to WINAPI function đó rồi cứ thế mà lần lượt đặt các breakpoint thôi .

Em suy nghĩ làm như vầy là không thuật tiện, lâu lắm. Cách em dùng là mở Olly lên để tìm địa chỉ của API rồi vào Breakpoint list của IDA để thêm bp.

Em thấy XOR là một phép toán rất đặc biệt:
Code:

a^b=c thì b^c=a và a^c=b

Nói chung bộ 3 số liên quan đến nhau, cứ hoán đổi vị trí trong phép toán XOR như thế nào vẫn được phép toán đúng.

Thì ra câu lệnh này XOR tuần tự từ trái sang phải.
Các mod đóng topic dùm em nhé. smilie

Em bắt gặp một câu lệnh như vầy khi mở cửa sổ Pseudocode của IDA:
Code:

result = v13 ^ v12 ^ v11 ^ v10;

Không biết câu lệnh này là lệnh XOR đồng thời cả 4 biến hay XOR lần lượt từ trái sang phải đây, mong mọi người chỉ dùm.

Em thấy vấn đề về lập trình nói chung là quan trọng, nếu để những bài viết về lập trình chung trong mục Những thảo luận khác thì hơi bất cập. Mong ban quản trị xem xét tạo một phân mục riêng cho lập trình. smilie

Máy nhà em đang bị một loại virus như sau:
Khi sử dụng một công cụ tìm kiếm nào đó như Google, Yahoo,... rồi click vào một link nào đó thì một số link sẽ bị chuyển mã nguồn. Cụ thể như sau:
Khi google "mediafire" rồi click link www.mediafire.com thì mã nguồn trang chuyển thành như sau:
<html><head><title>mediafire</title></head><frameset><frame src="http://kozanekozasearchsystem.com/?search=mediafire&subid=137&key=0160edf0103f01edc057"></frameset></html>
Trong đó các cụm "mediafire" là cụm đã tìm kiếm, còn những thứ khác thì trang nào cũng giống nhau.
Trang trong frame sử dụng một applet java mà em lại không biết java nên không biết nó làm gì nữa (hình như file .class đã được bảo vệ mã nguồn, giống như pack vậy).
Nếu như em gõ trang www.mediafire.com rồi enter thì vào hoàn toàn bình thường!
Trình duyệt nào em cũng đã thử, đều bị cả.
Nhờ các anh phân tích dùm em hoặc nếu đã gặp qua cho em biết cách sửa chữa máy. Em cảm ơn trước.

crkerx wrote:

Bạn thử làm thế này xem : Mở Olly, Menu "File" -> "Attach" -> chọn tiến trình được gọi bằng hàm ShellExecute -> "Attach" rồi đặt BP

Tks bạn nhé. smilie

Một số chương trình được mở bằng chương trình khác bằng ShellExecute thì làm thế nào để đặt BP vào nó trong trường hợp này?
Mong được giúp đỡ.

xnohat wrote:

xwhitelight wrote:

Nó dùng hàm gì để đọc file và tìm kiếm vậy ạ? (em ko rành lập trình) :">

mèn, ko biết lập trình mà RCE sao được ?

Việc lấy overlay data ra, cách làm như việc trích lấy một chuỗi trong file text ra vậy thôi. Đầu tiên là dùng một hàm tìm String trong String vd với C:

Code:
char *strstr(const char *s1, const char *s2)
Xong rồi get ra n byte từ điểm tìm ra str2, sau đó loại bỏ chuỗi "đặc biệt" trên.

Khi tên file bị rename thì làm ntn để biết đc tên mới sau đó dùng hàm đọc file vậy anh?

interactive wrote:

Dear các anh,

Em xin chân thành cảm ơn các anh đã tạo ra diễn đàn và chia sẻ tài liệu, kinh nghiệm, cách thực hành RE cho softway. Với việc tìm hiểu, mày mò đôi lúc rất gian truân, có khi thấy nhằm chán, ngán ngẩm tuy nhiên đến nay em đã tìm unpack và active được một soft phục vụ cho công việc của em. Một lần nữa xin chân thành cảm ơn các anh đã chia sẻ và giúp đỡ trong thời gian qua.
Kính chúc sức khoẻ các anh admin và các thành viên, chúc cho diễn đàn ngày càng lớn mạnh, phong phú và đa dạng chủng loại.

Em Út mới học nghề!

P/S: Kính mong các anh admin lưu lại chút cảm nhận của em ở mục này

Spam à?

utnho93 wrote:

mình thử rồi, mà vẫn không được. Bạn có thể up lên trang khác được không. cảm ơn bạn.

Có đc mà bạn. smilie

Tương tự OllyDbg có thể thêm vào menu chuột phải của file exe các chương trình mở file bằng cách sửa registry như sau:
- Đi đến khoá [HKEY_CLASSES_ROOT\exefile\shell].
- Thêm vào một khoá có tên là tên menu. VD: Peid, IDA,...
- Trong khoá mới tạo, tạo khoá nhỏ tên "command".
- Sửa giá trị cho String Value "(Default)" thành dòng : "<đường dẫn đến chương trình mở>" "%1". Đây là một dòng CmdLine.
VD: "C:\Cracking\hiew_650\hiew.exe" "%1" cho chương trình HIEW.
Trên dòng trên %1 là tên file exe cần mở.
Để sử dụng nhiều param cho dòng CmdLine, sử dụng dòng :
"<đường dẫn đến chương trình mở>" "<param1>" "<param2>" "<param3>" ... "<paramN>" "%1"
Thực ra %1 cũng là một param.
VD: "C:\Cracking\upx307w\upx.exe" "-d" "%1" cho lệnh unpack UPX file.

Sau khi thực hiện menu chuột phải trở thành:

Việc này cũng có thể làm với file dll và file *.