Peid 0.94 Res Hacker UPX (to Unpacking) Target được dùng để demo là : TomaHawk Gold v3.0 : http://nativewinds.montana.com/downloads/Tomahawk.zip 3. Demo with TomaHawk Gold v3.0 : _ Anh em download target theo link trên về Unzip ra , chú ý trong file zip được bung ra sẽ có một file Tomahawk.key đây chính là một thành phần quan trọng để ta có thể Defeat ICE. Khà khà , đầu tiên run nó cái đã xem “mồm ngang mũi dọc” nó ra sao. Wow giao diện của nó khá cool, nhìn như là Word. Xem thử cái About của nó xem thế nào : _ Nhìn trông Pro ghê nhỉ!!! Tiếp theo hiii check thử xem nó có bị Packed không vì thấy nghi lắm à. Soft nhìn giao diện y chang em Word yêu quí , cùng với rất nhiều tính năng tương đương, thậm chí còn cho phép convert sang Pdf mà thấy size chỉ có 2.89 MB là thấy nghi ngờ rồi. Vác PeiD ra check thử xem sao : _ Khà khà quả không sai UPX kìa anh em ơi!! Check tiếp xem nó có những Crypto gì : _ Hehe lại thấy nghi nữa, em ICE quảng cáo bao nhiêu Crypto mà check chỉ mới thấy một. Chắc do bị packed nên PeiD không detect hết được. Do như tôi nói ở trên , soft này chỉ cần dùng Res Hacker là done liền, nhưng chúng ta buộc phải unpack nó trước cái đã. Việc Unpack với ver UPX trên đã trở nên khá phổ biến và có thể gọi là học thuộc lòng . Nhưng cũng xin nhắc lại để cho bài viết hoàn thiện . Có 2 cách để unpack : 1. Dùng Olly để kết hợp với ImpRec. 2. Dùng chính UPX để unpack trên command line với tùy chọn là – d.(UPX.exe –d target) _ Với cách thứ nhất thì Load target vào Ollydbg, chúng ta ở đây : _ F8 trace qua Pushad, để ý sang cửa sổ Registers thấy ESP được highlighted. Chuột phải trên ESP và chọn Follow in Dump, sau đó chọn và set HW BP như sau : _ Nhấn F9 để Run ta sẽ Break tại : 00C754BD ^\E9 6AFAD3FF jmp Tomahawk.009B4F2C. Nhấn F7 chúng ta sẽ ở tại OEP : _Tiếp theo là công việc Dump và Fix IAT. Cái này anh em hiểu hết rồi, nếu thêm nữa sợ lại viết lăng nhăng anh em cười thì chết . _Cách thứ hai chúng ta dùng chính UPX để Unpack. Copy file Tomahawk.exe vào thư mục chứa UPX. Sau đó dùng Command như sau : _ Okie thế là xong khoản Unpack. Copy lại file đã Unpacked về thư mục của chương trình TomaHawk. Ặc ặc size của nó sau khi unpack là 8.35 MB. Check lại thông tin về nó thì nó được code bằng Borland Delphi 6.0 - 7.0. Check tiếp thông tin về Crypto, ta có được như sau : _Khà khà nhìu ác…nhưng chúng ta không đụng chạm tới những thằng này.Giờ là đến phần xử lý của ResHacker.Tại sao lại dùng ResHack, vì theo như suy đoán của chúng ta nếu chương trình này sử dụng thằng Ice License để Protect thì chắc chắn nó sẽ thêm thông tin về thằng ICE vào trong Resource của chương trình. Cái chính là chúng ta cóc biết nó nằm ở cái chỗ nào. Do đó trước tiên cứ load Tomahawk.exe vào trong em ResHacker cái đã rồi từ từ tìm kiếm. _ Nhìu ác , biết tìm đâu bi giờ. Thôi thì cứ Search đại cái IceLicense xem sao, xem có manh mối gì không. Vào menu View, chọn Find Text (Ctrl + F) và gõ vào IceLicense để tìm. Ta có được manh mối quan trọng như sau : _ Hehe chú ý đến cái mà tôi khoanh màu đỏ đó, không nói chắc anh em cũng hiểu ý nghĩa của nó rồi. Giờ chúng ta chỉ việc Copy cái IceLicense1Registered và Paste đè lên các dòng trên. Chúng ta sẽ có được như sau : . sau đó chọn và set HW BP như sau : _ Nhấn F9 để Run ta sẽ Break tại : 00 C754BD ^E9 6AFAD3FF jmp Tomahawk .00 9B4F2C. Nhấn F7 chúng ta sẽ ở tại OEP : _Tiếp theo là công việc Dump. Peid 0. 94 Res Hacker UPX (to Unpacking) Target được dùng để demo là : TomaHawk Gold v3 .0 : http://nativewinds.montana.com/downloads/Tomahawk.zip 3. Demo with TomaHawk Gold v3 .0 :. sau khi unpack là 8.35 MB. Check lại thông tin về nó thì nó được code bằng Borland Delphi 6 .0 - 7 .0. Check tiếp thông tin về Crypto, ta có được như sau : _Khà khà nhìu ác…nhưng chúng