1. Trang chủ
  2. » Công Nghệ Thông Tin

Cracker Handbook 1.0 part 181 pdf

5 147 1

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 355,62 KB

Nội dung

memory belongs to the code that repairs the IAT, the memory that can be used goes from desdé the NOP in 005E20ED even 005ECB40, what gives a total of AA53 bytes [+42 KB], this it is space sufficient to add to other variables to the outside necessary memory [ if ], to make patches, to create processes, etc. Nếu chúng ta sử dụng vùng nhớ từ 005E2000 đến 005F0000, chúng ta phải thực hiên hết sức cẩn thận vì nó là memory được sử dụng để sửa chửa IAT, nếu các bạn để ý rằng tôi có sử dụng vùng nhớ tại 005ECB00 and 005ECB18 cho các string như trên mô tả, đây là vùng nhớ dư ra khi đã sử dụng vùng nhớ từ 005ECB40 trở đi để chứa code sửa chửa IAT, vùng nhớ có thể được sử dụng phía dưới từ 005E20ED đến 005ECB40 là vùng NOP, nếu tính tổng cộng vùng nhớ này sẽ có size là AA53 bytes [+42 KB], đây là vùng nhớ quá dư thừa để add các biến nằm ngòai vùng nhớ cần thiết của chương trình, hảy thực hiện patch và thực hiên các tiến trình như đã mô tả, v,v,vv These changes will give this result Nếu thay đổi như đã mô tả , nó sẽ cho ra kết quả như sau: Well, we see in Armadillo 3.x part 2 version2 Well, chúng ta sẽ gặp lại nhau trong phần 2 Benina dịch (13/10/2005) Với tài liệu ngắn này, các bạn sẽ biết cách làm vô hiệu hóa tính năng xóa HardwareBreakpoint (HB) của ASPROTECT. Asprotect có thể xóa HB, tính năng này sẽ tránh việc thăm dò ứng dụng bằng HB. ASPROTECT có thể phát hiện ra việc chỉnh sửa mã trên vùng mã của ứng dụng sau khi được ASPROTECT giải mã và phát hiện luôn việc chỉnh sửa mã bên trong ASPROTECT. Bạn có thể thử nghiệm tính năng này bằng các dùng memory breakpoint trên mã của ASPROTECT hoặc patch đơn giản trên bộ nhớ trước lúc đoạn mã kiểm tra bộ nhớ được thực thi. Còn công dụng của HardWare Breakpoint thì có lẽ các bạn nên tự tìm hiểu. Và sau đây là cách để vô hiệu hóa tính năng này của ASPROTECT. 1. Tìm đến đoạn mã mà giống với Trình ASPACK, ta làm như sau: a. Load target vào Olly. b. Tại Entrypoint, ta đặt một breakpoint trên VirtualFree API. c. Sau đó nhấn Shift+F9 3 lần, rồi ALT+F9 để đến đoạn mã có lời giại hàm API trên. Sau đó cuộn màn hình xuống một chút để thấy được quy trình giống như ASPACK (bạn có thể nhận ra lệnh sau: POPAD/RETN 0C) 2. Xóa breapoint trên VirtualFree API , rồi F Trên chỉ lệnh RETN trên hình. Sau đ1o Shift+F9, rồi F7, ta tới đây 3. Nhấn CRL+B, Tìm kiếm mã nhị phân sau: 4. Nếu tất cả đều đúng, chúng ta sẽ tìm thấy mã sau: 5. Đoạn mã này sẽ được gọi từ ASPROTECT SHE để xóa HB của chúng ta, để vô hiệu dòng mã này, chúng ta sẽ ptach như sau: . nhớ từ 00 5E 200 0 đến 00 5F 000 0, chúng ta phải thực hiên hết sức cẩn thận vì nó là memory được sử dụng để sửa chửa IAT, nếu các bạn để ý rằng tôi có sử dụng vùng nhớ tại 00 5ECB 00 and 00 5ECB18 cho. vùng nhớ dư ra khi đã sử dụng vùng nhớ từ 00 5ECB 40 trở đi để chứa code sửa chửa IAT, vùng nhớ có thể được sử dụng phía dưới từ 00 5E20ED đến 00 5ECB 40 là vùng NOP, nếu tính tổng cộng vùng nhớ. the code that repairs the IAT, the memory that can be used goes from desdé the NOP in 00 5E20ED even 00 5ECB 40, what gives a total of AA53 bytes [+42 KB], this it is space sufficient to add to

Ngày đăng: 03/07/2014, 17:21

TỪ KHÓA LIÊN QUAN