Messages posted by: so61pi

Cái trang unikey.vn không phải của tác giả Unikey, ở cuối trang có dòng chữ "Unikey.vn is not official of Unikey / Unikey.org (by Pham Kim Long)".

Dung lượng file download là 674.94 KB là có nguy cơ tiêu rồi, ngay cả Unikey download trên trang chủ sf sau khi extract ra xong cũng chỉ 495 KB.
Cái link bạn đưa ở trên có SHA-1 trùng với file trên hxxp://unikey.vn/ (32bit) smilie

.

MinhHung1122 wrote:

có rất nhiều,có 1 số nó không hiện lên, có một số sử dụng các chương trình thì ta thấy nó, nhưng một số không thể thấy... hal.dll chẳng hạn

Xem bằng Process Explorer process explorer.exe, unikeynt.exe nhưng không thấy hal.dll xuất hiện, có gì sai chăng.

MinhHung1122 wrote:

để xử lý thì cần IO, kể cả message thì cũng IO đấy thôi, IO ra màng hình đấy, hay read/write... tất cả điều phải IO

Cái này thì dễ thấy rồi, nhưng nó liên quan gì tới việc "Làm sao để exe file không gọi một thư viện dll?" ?

MinhHung1122 wrote:

không bao giờ có chuyện này xảy ra, vì từ winxp trở đi thì mọi ứng dụng chạy trên windows thì các thư viện kernel32.dll, ntdll.dll,... sẽ tự động load vào chương trình

Cái phần 3 chấm (...) ấy là gồm những gì vậy bạn?

chiro8x wrote:

Bạn chắc rằng bạn nói đúng chứ ? Tài liệu kỹ thuật nào cho phép bản khẳng định hùng hồn vậy. Bạn hoàn toàn có thể viết chương trình không sử dụng bất cứ một thư viện nào.

Cái này mình chưa thấy, mình nghĩ vẫn phải gọi các hàm API bằng 1 cách nào đó.

MinhHung1122 wrote:

biết syscall không, hahaha, không cần bất cứ dll nào à, kể cả syscall cũng gọi mà... tới khi nào tìm được cách nào mà không sử dụng syscall để I/O(API) đi rồi nói nhá( không chơi DOS)

IO thì liên quan gì ở đây nhỉ?

Có thể nó chặn bằng Title của cửa sổ đấy, bạn thử thay đổi nó xem smilie

.

Cho mình hỏi:
- Bước 4: Sao ta không dùng WinRAR.
- Bước 5: Tại sao không dùng Safely Remove Hardware.

n2tforever wrote:

mail : hantinh106@aol.com
pass: beautifuls

chắc bác bị thằng này giả gái chat rồi lừa gửi ảnh để bác click vào hả

Dám lắm, mà cái keylogger này chạy còn thông báo cho người dùng nữa chứ smilie

.

Bạn có thể cho mình biết cái inst_WebCam.exe bạn download từ nguồn nào không ?

Cái crackme thứ nhất bạn dùng Resource Hacker bỏ thuộc tính ReadOnly của TextBox đi, cái thứ 2 unpack xong tìm tới hàm SetTimer nop sạch lời gọi hàm đi là xong smilie

.

jin9x wrote:

theo mình thấy trên trang id.zing.vn ,khi nhập user, pass và ấn nút đăng nhập ,đầu tiên là zing sẽ mã hoá md5 password nhập vào (còn vì sao mình biết là md5 thì là vì nó đặt tên function mã hoá là md5 và password xuất ra cũng giống hệt md5 ,nhưng vẫn không thể hiểu được vì không rành javascript lắm)
sau khi mã hoá nó mới submit cái form login đó và gửi user ,password đã mã hoá đến file xử lí.

có thể qua các site proxy này nó không mã hoá password khi gửi nên không login được.

Vậy ra việc mã hóa password của trang web sẽ xảy ra sau nếu vào bằng proxy.

Cảm ơn bác hacnho, em có thêm một vài câu hỏi sau:
- Khi đặt breakpoint thì trong Breakpoint list chỉ thấy được địa chỉ mà không thấy được code tại địa chỉ đó, vậy có cách nào để thấy được code trực tiếp từ Breakpoint list.
- Trong trường hợp 1 hàm API được gọi nhiều lần thì làm sao để đặt breakpoint trên tất cả các lệnh call API đó.

lovemycountry wrote:

dùng từ điển cũng là 1 dạng brute-force thì phải..

Dùng từ điển, theo mình biết, là dựa vào thông tin của đối tượng để tạo list các password có thể có, rồi tiến hành thử, ví dụ như đối với password yahoo thì có một số người đặt là ngày sinh của mình, của người thân, hoặc là tên, số điện thoại, biệt danh..., dò bằng từ điển thì số lượng password phải thử ít hơn nhiều so với brute-force. smilie

Phá password file RAR khá là hên xui, thường theo 2 cách là dùng từ điển hoặc brute force, nếu password ngắn thì không sao, nếu dài quá (ví dụ: www.hvaonline.net smilie

) thì khó mà tìm ra được.

dahiphop wrote:

Mấy cái crack viết = AutoIT rắc rối , khi unpack xong báo error tùm lum...đang patch lại

Check bằng PEiD 0.95 :
Code:

UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay]

Cái này dùng UPX là unpack được rồi mà.

Mình thấy bây giờ, không cần phải double click vẫn bị nhiễm như thường, nếu muốn bảo vệ thì nên tắt luôn chức năng AutoPlay, hoặc khi cắm USB vào máy thì nhấn giữ nút Shift một lúc.

Hồi trước cài lại máy mình cũng bị như bạn, tốt nhất sau khi cài lại Win thì cài ngay phần mềm diệt virus, cập nhật cho nó, đặt ở chế độ bảo vệ cao, rồi mới cài tiếp các ứng dụng khác. Update các Driver có thể bị nhiễm virus do các bộ cài đặt bị nhiễm virus.
Tắt AutoRun cũng giảm đáng kể virus xâm nhập từ USB.

Em mới chuyển qua học VC++6.0, em có điều muốn hỏi : Khi tạo ứng dụng bằng VC++6.0, nếu muốn tạo Form có hình dạng bất kì thì làm bằng cách nào ?
Ví dụ em có hình sau :

Em muốn hình hiện trong Form nhưng các phần màu đỏ biến thành trong suốt.
Cái này trong VB6.0 thì em làm được, nhưng trên VC++6.0 thì chưa. smilie

Mong mọi người giúp em.

Em mới sử dụng IDA, có một số thắc mắc nhỏ sau:
- Trong IDA làm sao để patch một số byte giống như trong OllyDBG.
- Có chức năng nào trong IDA để save lại file đã patch ( trong OllDBG là "Copy to executable -> All modifications" ).
Mong mọi người giúp đỡ smilie

.

Hình như bác hacnho thay "-" bằng số 1 phải không ?
Theo em thấy thì dấu "-" có thể thay bằng kí tự nào cũng được (không biết có đúng không ? smilie

)
Code của bác kienmanowar thì "LenUser < 1 || LenUser > 9", nếu như Name là "a" thì ta có:
Code:

Name : a
Serial : 970-206090841 (trên máy em)

-> "Invalid Serial"
nên theo em nghĩ thì sau khi tính tổng ASCII của chuỗi, nếu kết quả < 1000 thì kết quả = kết quả *10 smilie

Ah, nói thêm một tí về hàm ShowWindow. Trong Olly ta thấy như sau:
Code:

0040153E |. 6A 01 PUSH 1 ; /ShowState = SW_SHOWNORMAL
00401540 |. FF35 11324000 PUSH DWORD PTR [403211] ; |hWnd = NULL
00401546 |. E8 21020000 CALL <JMP.&USER32.ShowWindow> ; \ShowWindow

Hàm ShowWindow nhận 2 tham số nên phía trên hàm có 2 lệnh Push, khi thực hiện, hàm sẽ lấy 2 tham số đó ra sử dụng, nếu ta chỉ fill NOP ở lệnh ShowWindow thì Stack không được bảo toàn ( 2 tham số không sử dụng vẫn ở trên Stack ) -> rác Stack. Vì vậy nên fill NOP ở 2 lệnh Push phía trên luôn.
Tạm xong phần Disable Splash Screen ( còn quay lại sau ). Tiếp theo là phần tìm Hard Coded.

*Tìm Hard Coded:
Đặt BreakPoint tại hàm GetWindowTextA, run Splish, điền vào HardCoded bất kì, Check Hardcoded, Olly break tại vị trí sau
Code:

0040136A |. E8 BB030000 CALL <JMP.&USER32.GetWindowTextA> ; \GetWindowTextA

Tiếp tục trace xuống dưới gặp đoạn code
Code:

0040136F |. 8D05 53134000 LEA EAX, DWORD PTR [401353] ; <== Đưa Hard coded vào EAX
00401375 |. 8D1D 15324000 LEA EBX, DWORD PTR [403215] ; <== Đưa chuỗi ta nhập vào EBX
0040137B |> /8038 00 /CMP BYTE PTR [EAX], 0
0040137E |. |74 0C |JE SHORT 0040138C
00401380 |. |8A08 |MOV CL, BYTE PTR [EAX] ; <== Lấy từng kí tự HardCoded vào
00401382 |. |8A13 |MOV DL, BYTE PTR [EBX] ; <== Lấy từng kí tự trong chuỗi của ta
00401384 |. |38D1 |CMP CL, DL ; <== So sánh 2 kí tự
00401386 |. |75 4A |JNZ SHORT 004013D2
00401388 |. |40 |INC EAX
00401389 |. |43 |INC EBX
0040138A |.^\EB EF \JMP SHORT 0040137B

Đoạn code trên có nhiệm vụ so sánh chuỗi ta nhập vào với HardCoded. Ta thấy nó chỉ so sánh trực tiếp mà không qua tính toán nào cả, mà chuỗi Hard coded của nó là "HardCoded", vậy là tìm được Hard coded rồi smilie

.
Thử lại xem, "Congratulations, you got the hard coded serial". smilie

Vậy là xong phần Hard Coded.

Cái này là bài tập bác kienmanowar để trong tut OllyDbg 15.
Bắt đầu nhé.

Đầu tiên, chúng ta chạy Splish thử xem. Một Splash Screen hiện ra, sau đó hiện cửa sổ đòi Hard Coded, Name, Serial.
Nhập đại 1 fake HardCoded (vd: so61pi ) -> Nag "Sorry, please try again."
Tiếp tục thử Name và Serial -> Nag "Sorry, please try again."
Xong bước đầu rồi. smilie

Công việc là Disable Splash Screen, tìm Hard Coded, Keygen. Chúng ta sẽ đi lần lượt. smilie

*Disable Splash Screen:
Load Splish vào Olly, theo ta thấy ban đầu thì có thể chương trình dùng hàm ShowWindow để hiện Splash Screen.
Đặt BreakPoint tại hàm ShowWindow, run thử -> Olly break rồi smilie

. Tiếp tục F9, Splash Screen hiện ra vài giây rồi biến mất => vậy có thể bỏ Splash Screen bằng cách bỏ lời gọi hàm ShowWindow. Tìm về nơi gọi hàm
Code:

00401546 |. E8 21020000 CALL <JMP.&USER32.ShowWindow> ; \ShowWindow

fill NOP, sau đó run thử. Hì, Slpash Screen đã không còn smilie

. Save để lần sau khỏi phải làm lại.
___
Trễ rồi, lần sau mình sẽ post tiếp phần tìm HardCoded.
Mong mọi người có ý kiến.

Em xin bổ sung thêm, các chuỗi :
Code:

Ejgem"vjg"Ugtkcn

và
Code:

Ejgem"vjg"Pcog"Hkgnf

được dịch đi 2 kí tự, có nghĩa là :
Code:

Check the Serial

Code:

Check the Name Field

Đối với KeygenMe này, có thể dùng plugin Olly Advanced để hide Olly cũng được. smilie

Z0rr0 wrote:

Dùng file viewer đọc thấy cái message 1xxxxxxxx8 phải ko vậy? (hoặc chỉnh tại 4018ff)

Dạ phải ạ.
Em mò nó bằng Olly mà thấy lằng nhằng quá, sau hồi mới tới được 4018FF. smilie

Z0rr0 wrote:

Build lại Static Release đi bạn, hoặc cho thêm các DLL Debug của MFC

Dạ em chỉnh lại rồi đây bác Z0rr0 smilie

.
(Static Release)
Link : http://www.mediafire.com/?hdmljz5dicj

Chào anh em RE.
Em mới viết cái CrackMe bằng VC++ 6.0, ai có hứng thú thì solve thử nhé. smilie

Link : http://www.mediafire.com/?tjluc1mymby
(Em vẫn chưa tìm ra cách giải smilie

)

Trong phần tut bác kienmanowar có nói về cờ nhớ (CF - Carry Flag), nhưng em chưa hiểu lắm, bác có thể cho ví dụ cụ thể không ạ?

pnta wrote:

Bác kienmanowar ơi sao REA khó reg quá vậy? em muốn làm mem nhưng không được bác giúp em với
thank

Uh, em cũng vậy, bác có thể giúp em được không.