còn file .sig auto thì dể, chỉ mất thời gian thôi. Các bạn có thể dùng Flair tool đi kèm trong bộ install của IDA leak release để tạo. Anh Be thử build 1 vd MASM32 có dùng các function của Masm32.lib, sau đó load nó vào IDA, apply Masm32.sig, anh sẽ thấy kết quả ngay. Attach file có chứa 3 file .cfg của tôi cho IDA, các bạn chép 3 file .cfg này vào thư mục IDA dir\cfg. Nhớ backup file cũ. Dùng 1 tool compare file mới và file cũ, bạn sẽ thấy những chỗ tôi đã thay đổi cho phù hợp với tôi. Open IDA và disassembly 1 file, bạn sẽ thấy ngay sự khác biệt. Attached Files cfg.rar (18.9 KB, 92 views) TQN(reaonline.net) - Hiện tại thì không có VB signature, vì các hàm native của VB đều nằm trong VB Runtime DLL. Và sig không áp dụng cho trường hợp này. - Để tạo IDC file, các bạn vào menu File - Produce File - Dump database to IDC file AvdLines vừa rồi tui không attach file IDC lên vì nó quá lớn, và bây giờ thi tui xóa cả program + idb file rồi. - Nói thì sợ các bạn cho là tui nổ, nhưng theo kinh nghiệm của tui thì đặt tên biến và tái tạo source code đòi hỏi khả năng lập trình trên ngôn ngử đó, vd: Delphi, C SDK, C++, MFC, ASM Với các ngôn ngữ bậc cao, khi compile, các bạn nên cho nó export ra file list hay asm để tìm hiểu cách map từ source code sang mã ASM. - IDA dùng file sig để tìm các hàm thư viện, rename lại các sub/function của nó khi byte code của sub/function đó giống byte code của 1 sub/function lưu trong .sig file. Các hàm unknown-libname là do byte code pattern của hàm đó không giống và không tồn tại trong các sig file mà bạn đã load vào. Vd: trong hàm A có gọi đến hàm B. Khi apply các file .sig, nếu tìm ra hàm A, IDA sẽ gán cho A, B attr là library function. Nếu pattern của hàm B trong file .sig giống pattern của hàm B tại address của hàm B, IDA sẽ rename hàm B theo tên của hàm B trong file .sig, nếu không giống, nó sẽ rename hàm B thành unknown_libnamexxx. - Với Delphi và C++Builder app, các bạn nên dùng file .sig của tui. Các file .sig này hồi đó tui có post lên Woodmann, ExeTools, WASM.RU, nhưng đã cũ, tui đã update lại file .sig mới. Tỷ lệ apply rất cao. VC++ 8 (VS 2005) CRT & MFC Signature for IDA - create by TQN Create Exe File chỉ dùng cho 16 bit EXE (DOS), không có tác dụng cho các file format # (Win32 PE, ELF ). Gần đây tui thường gặp 1 số crackme, reverseme viết bằng VC++ của VS 2005. Tui vừa install Vs 2005, nên bỏ ít thời gian tạo signature cho nó luôn. Tất tần tật, CRT, ATL, CLI/C++, MFC. Build từ tất cả các file .lib, .obj và các dll của VC++ của VS 2005. Cuối cùng ra file .sig cũng lớn. Tui đặt tên VC8CRTMFC.sig. Mời các bạn dùng thử. Các bạn để ý là với các PE file được viết và build = Visual Studio, khi dùng PEiD, các bạn để ý static box "Linker Info": - 6.0: Visual Studio 6 - 7.0: Visual Studio 2002 - 7.1: Visual Studio 2003 3 cái trên tui đã tạo file .sig: vc671mfc.sig. - 8.0: Visual Studio 2005: các bạn dùng file .sig này. PEiD 0.93, 0.94 thường detect sai các VC++ file từ 2002 trở đi, nên dựa vào bintext và Linker info Download URL: hxxp://www.megaupload.com/?d=FMGIRLRY Rì ga, TQN(reaonline.net) Một chút về IDC tại http://www.keepmyfile.com/download/97178d763849 Thông qua 1 script ngắn gọn để dump (export) dữ liệu của một biến trong IDA ra dạng array (unsigned char) kiểu C để có thể dùng trong việc dịch ngược qua C. Dump(REAonline.net) Quote: Originally Posted by Moonbaby 2 - Nếu muốn sửa code trong IDA thì làm thế nào. Chẳng hạn chuyển JNZ thành JE chẳng hạn. Không lẽ phải dùng đến Hiew Tìm mãi mới ra manh mối chỗ này : Bình thường Menu Patch trong Edit bị Vô hiệu hóa khi load file .exe . ta phải Enable nó lên bằng cách: Quote: 1- mở file idagui.cfg. (trong thư mục cfg) 2- Tìm dòng DISPLAY_PATCH_SUBMENU = NO < sửa thành YES. nếu chưa có dòng đó thì thêm vào tương tự như trên Nhưng cái nì cũng chỉ Patch để chạy Debug và xuất ra file .DIF compare sự khác biệt. Vẫn ko thấy xuất ra file .exe được . Lý do thì trên 4rum của IDA có bàn rồi, vì sợ các chú nghịch ngợm như nghịch trên olly . Nhưng như thế thì mục Produce File > Create EXE File để làm gì chòi ? IDA Pro Advanced 4.9 Chắc các bạn đã biết IDA đúng là 1 tool tuyệt vời. Em đã bị chinh phục hoàn toàn khi đọc Tut của anh Hacnho và kienmanowar . Việc mà chúng ta nên làm bây giờ là làm sao từ từ thuần hóa IDA và quen dần với nó. Các tính năng chính của IDA thì đã được anh Kienmanowar trình bày rõ ràng và hôm nay chúng ta cùng nhau tìm hiểu thêm tính năng Set BreakPoint (F2), Step intro(F7), Step over (F8) và Start Process (F9). Hẳn bạn đã quá quen với các tính năng và phím tắt này trong Olly để phân tích Code nhằm tìm ra điều gì đó khi Crack Soft. Còn hôm nay chúng ta dùng thử trên IDA. Target hôm nay chúng ta thực hành là “Crackme1” được Code bằng delphi.(Target có kèm trong tut). Chạy thử Crackme này code mặt mũi nó ra sao để còn biết đường mà tìm dấu hiệu để Cờ rắc nữa… Nhập thử Fake Name và Fake Serial vào xem thế nào, chúng ta nhận được 1 thông tin sau : Ok dậy là đủ, Load Crackme vào IDA Nhấn Ok để IDA tiến hành Disassembly và ngồi đợi…hehe…sau khi IDA hoàn thành nhiệm vụ thì đến lượt chúng ta. Chọn tab “Names“ Nhấn Alt+T hoặc vào Menu Search-> Search. Gõ vào “ Incorrect ” Và ta tới được đây: Nhấn đúp chuột ta tới được đây: Qua đây chúng ta thấy được String này được đặt trong Section .Code của chương trình, chúng ta cần tìm đến thủ phạm đã gọi String này khi chúng ta nhập Code sai. Nhấp đúp vào địa chỉ 00444554 . 6 .0: Visual Studio 6 - 7 .0: Visual Studio 200 2 - 7 .1: Visual Studio 200 3 3 cái trên tui đã tạo file .sig: vc671mfc.sig. - 8 .0: Visual Studio 200 5: các bạn dùng file .sig này. PEiD 0. 93, 0. 94. VS 200 5. Tui vừa install Vs 200 5, nên bỏ ít thời gian tạo signature cho nó luôn. Tất tần tật, CRT, ATL, CLI/C++, MFC. Build từ tất cả các file .lib, .obj và các dll của VC++ của VS 200 5. Cuối. (VS 200 5) CRT & MFC Signature for IDA - create by TQN Create Exe File chỉ dùng cho 16 bit EXE (DOS), không có tác dụng cho các file format # (Win32 PE, ELF ). Gần đây tui thường gặp 1 số