Chắc các bạn đã biết IDA đúng là 1 tool tuyệt vời. Em đã bị chinh phục hoàn toàn khi đọc Tut của anh Hacnho vàkienmanowar . Việc mà chúng ta nên làm bây giờ là làm sao từ từ thuần hóa IDA và quen dần với nó. Các tính năng chính của IDA thì đã được anh Kienmanowar trình bày rõ ràng và hôm nay chúng ta cùng nhau tìm hiểu thêm tính năng Set BreakPoint (F2), Step intro(F7), Step over (F8) và Start Process (F9). Hẳn bạn đã quá quen với các tính năng và phím tắt này trong Olly để phân tích Code nhằm tìm ra điều gì đó khi Crack Soft. Còn hôm nay chúng ta dùng thử trên IDA. Target hôm nay chúng ta th ực hành là “Crackme1” được Code bằng delphi.(Target có kèm trong tut). Chạy thử Crackme này code mặt mũi nó ra sao để còn biết đường mà tìm dấu hiệu để Cờ rắc nữa… Nhập thử Fake Name và Fake Serial vào xem thế nào, chúng ta nhận được 1 thông tin sau : Ok dậy là đủ, Load Crackme vào IDA Nhấn Ok để IDA tiến hành Disassembly và ngồi đợi…hehe…sau khi IDA hoàn thành nhiệm vụ thì đến lượt chúng ta. Chọn tab “Names“ Nhấn Alt+T hoặc vào Menu Search-> Search. Gõ vào “Incorrect” Và ta tới đượ c đây: Nhấn đúp chuột ta tới được đây: Qua đây chúng ta thấy được String này được đặt trong Section .Code của chương trình, chúng ta cần tìm đến thủ phạm đã gọi String này khi chúng ta nhập Code sai. Nhấp đúp vào địa chỉ 00444554 IDA đưa chúng ta tới được địa chỉ mong muốn Từ vị trí màu vàng nhìn lên bên trên một chút ta thấy có 1 lệnh Call đang khoe hàng cho chúng ta thấy và biết phải làm gì với nó đó chính là “ call System::__linkproc__ LStrCmp(void) “ khỏi giải thích các bạn cũng dư sức hiểu hàm call này có công dụng gì? Vậy còn chờ gì nữa ko Set 1 Breakpoint tại hàm Call này. Nhấn Chuột phải vào hàm Call và chọn như hình (hoặc nhấn F2) Xong đâu đó nhấn F9 để Run Nhập Fake Serial:1234567890 nhấn và ta dừng tại điểm Set Breakpoint(Màu tím) B ạn nhấn F7 để đi vào bên trong hàm Call này (giống Olly) Haha rõ như ban ngày ko có gì phải bàn cãi. Nó đem lưu số fake serial của chúng ta vào EAX và chuỗi Serial mặc định ở EDX sau đó so sánh coi số Fake Serial có bằng số Serial mặc định không nếu ko bằng hiện chuỗi “Incorrec…” để kiểm chứng coi có đúng ko? Sử dụng F8 trace tới 00403CA3 cmp eax, edx Đưa trỏ chuột tới EAX (như hình dưới) bạn sẽ thấy số Fake Serial mà bạn đã nhập vào: Đưa trỏ chuột vào EDX và sử dụng nút giữa của chuột cuộn xuống bạn sẽ thấy được đầy đủ số Serial mặc định của chương trình tạo ra ( số Serial đầy đủ 66511818-630035424 do chương trình Capture nó ko cho chụp hết ) Run thử target và nhập chuỗi serial vừa tìm được em tin chắc các bác sẽ thích Haha thế là tạm ổn…IDA còn 2 tính năng khá hay đó là Attach to Process, Attach to Process và Graphs……. Các bạn có thể tự tìm hiểu… Do trình độ văn chương của em nó có hạn đôi khi diễn đạt ko như mong muốn có gì thì mấy bro bỏ qua cho em…. Hy vọng với tut này giúp bạn được cái gì đó trong quá trình thuần phục IDA để trở thành 1 newbie sống lâu năm như em. Hehehehe Bye hẹn gặp lại trong các tut lần sau Thanks To: Benina,Kiemanowar, Hacnho, QHQCrker, Merc, TQN, light.phoenix, iamidiot, takada, haule_nth, trickyboy, thienthanden, stringer …. all my friend, and YOU. IDA – Bây giờ hoặc không bao giờ . Hello bà con, nhân dịp HVA format lại box Cracking và các chiến hữu REA sắp thôi nôi. Tui đã lâu không có đóng góp gì cho anh em nên làm cái tut này để tặng anh em. Cái tut này tui down lâu rồi của Ricardo Narvaja hướng dẫn cơ bản về IDA. Uống nước nhớ nguồn, ngày xưa tui chỉ quen dùng các công cụ Wdasm 8.93 và SI 4.0.5. Lúc đó tui có nghe nói đến IDA nhưng không thích dùng với lại máy tui yếu đợi IDA load xong khoảng 5’ với một target 1MB. Tui xài IDA là do anh Còm share, lúc đó IDA được release bên TTDOWN bởi TEAM SSG. Anh Còm phải hì hục down xong cut ra từng file nhỏ để tui down. Nhờ đó tui mới có IDA mà xài. Anyway thanx Còm nhiều. Hi ện tai một cracker sừng sỏ ở VN làm việc nhiều nhất với IDA là anh TQN. Tui không dám nhận mình là một cracker, chỉ xin là người dẫn lối đưa đường cho các bạn đam mê đến với Cracking. Mạn phép xin các bro cho tui được múa búa trước cửa Lỗ Bang, giảng về XXX trước lão Z và lão Hoàng… I. IDA là gì? The IDA Pro Disassembler and Debugger is an interactive, programmable, extendible, muti-processor disassembler hosted on the Windows platform.Universally acclaimed as the best disassembler money can buy, IDA Pro has become the de-facto standard for the analysis of hostile code and is quickly establishing itself as a major tool in the field of vulnerability research. Link download: http://www.datarescue.com/idabase/ Hiện nay tui đang xài bản DataRescue.IDA.Pro.v4.8.0.847.Advanced.with.Flair.and.SDK với các sig và plugin có dung lượng khoảng 100MB. Bản Full này có thể down tại FTP của Exetools Forum. II. Công cụ và target dùng trong tuts này: - IDA 4.8.0.847, - Wdasm 8.93 with the final patch, - OllyDBG 1.10 Final. - MapConV 1.4 - Crackme#2 by CoSH. - Advanced Tracks Eraser 3.0 III. Let’s Go! Có lẽ các bạn cho rằng tui bày vẽ chi, đang xài Olly và Wdasm ngon ơ, tư dưng chuyển sang xài IDA. Đúng, nhưng hầu hết các lập trình viên và pro and super pro cracker thì IDA là hành trang không thể thiếu với họ, WDASM không là cái đinh gỉ gì cả. Các bác load cái target lên bằng OllyDBG và Wdasm cái đã. Click vào phần import trong Wdasm và Search Names in All Modules trong Olly: Dòm vậy có trời mới biết nó import cái hàm nào trong thư viện MFC. Bây giờ load lên bằng IDA. Chọn Options như thế này: Wow, giao diện của IDA dòm choáng thiệt! Quá trời tuỳ ch ọn, quá trời menu. Bít đường nào mà mò. Ấy ấy đừng nản, nếu sợ ăn bạt tai thì chẳng bao giờ có bạn gái cả. IDA cũng thế, từ từ mà tiến. Bây giờ bạn click vào tab Names. Để so sánh ta lấy một thí dụ là hàm DoMessagebox được hiển thị trong IDA và trong Olly nó hiển thị ra sao: IDA: __imp_?DoMessageBox@CWinApp@@UAEHPBDII@Z 00402010 OllyDBG: All names, item 4 Address=00402010 target Section=.rdata Type=Import Name=MFC42.#2512 Trong Olly bạn quay trở lại màn hình CPU, Ctrl+G đến địa chỉ 402010: Trong IDA cũng thế, double click vào dòng __imp_?DoMessageBox@CWinApp@@UAEHPBDII@Z 00402010, bạn sẽ ở đây: Rõ ràng ở IDA ta thấy các function rất trực quan, các hàm được import từ thư viện nào, trong khi đó ở Olly và Wdasm thì bó tay :d. Bây giờ bạn chuyển qua tab Strings của IDA. Xem toàn bộ tabs strings: .rsrc:004045AE 00000006 unicode xb .rdata:004028BE 00000005 C exit .rdata:00402A1C 00000009 C _setmbcp .rdata:00402892 00000008 C _onexit .rdata:004028E0 0000000A C _initterm .rdata:004028A8 00000006 C _exit .rdata:00402940 00000011 C _except_handler3 .rdata:00402954 0000000B C _controlfp .rdata:00402900 0000000D C _adjust_fdiv .rdata:004028C6 00000008 C _acmdln .rdata:004028EC 00000011 C __setusermatherr .rdata:0040292E 0000000F C __set_app_type .rdata:00402920 0000000B C __p__fmode .rdata:00402910 0000000D C __p__commode . ta cần tìm đến thủ phạm đã gọi String này khi chúng ta nhập Code sai. Nhấp đúp vào địa chỉ 004 4455 4 IDA đưa chúng ta tới được địa chỉ mong muốn Từ vị trí màu vàng nhìn lên bên trên. Call và chọn như hình (hoặc nhấn F2) Xong đâu đó nhấn F9 để Run Nhập Fake Serial:12 3456 7890 nhấn và ta dừng tại điểm Set Breakpoint(Màu tím) B ạn nhấn F7 để đi vào bên trong. friend, and YOU. IDA – Bây giờ hoặc không bao giờ . Hello bà con, nhân dịp HVA format lại box Cracking và các chiến hữu REA sắp thôi nôi. Tui đã lâu không có đóng góp gì cho anh em nên làm