4) IMAGE RESOURCE DATA ENTRY: Phần này sẽ cho bạn biết data của resource nằm ở vị trí nào trong section resource, kích thước bao nhiêu . Thông tin này rất quan trọng. 5) IMAGE RESOURCE DIRECTORY STRING: Khôn cần quan tâm. Và phần còn lại là data của các resource. III) Anti – ResHacker: Với cấu trúc cơ bản của section resouce section như trên , tôi xin nói khái quát về cách chống lại việc chỉnh sửa của ResHacker: Thông tin cần bảo vệ chính là phần data của resource, phần phía trên nó ta chỉ truy nhập vào để lấy thông tin, không cần chỉnh sửa gì cả ngoại trừ phần IMAGE RESOURCE DATA ENTRY. Vậy làm thế nào để bảo vệ data của resource??. Có thể làm được việc này bằng cách chuyển toàn bộ phần data của resource sang 1 section khác, bằng cách này, reshacker sẽ ko thể mở các resource ra để edit : Như hình trên , ResHacker có thể biết trong file có những resource nào (vì phần header của nó không hề thay đổi), nhưng khi truy nhập vào 1 resouce nào đó sẽ hiện thông báo. Và điều cần lưu ý, để chương trình có thể sử dụng các resource của nó 1 cách bình thường thì IMAGE RESOURCE DATA ENTRY phải trỏ đến đúng vị trí của của resource , ta chỉ cần thay đổi thông tin này, trỏ đến section vừa chuyển data đến. Như hình trên bạn thấy thông tin của IMAGE RESOURCE DATA ENTRY cho biết ICON 0001 nằm ở địa chỉ 00017C70, và kích thước data của nó là 2E8 bytes. III) Anti – HexEditor: Với cách như trên bạn đã chống được sự nhòm ngó của ResHacker, tuy nhiên thực chất, data của resource chỉ di chuyển từ section resource sang section khác, không có thay đổi nào, nếu sử dụng Hex editor và hiểu cấu trúc của từng loại resource ta vẫn có thể chinh sửa được bằng cách sử dụng Hex Editor. Vậy để chống lại việc sử dụng HexEditor ta có thể encrypt, compress data của resource sau đó decrypt lúc runtime, và đến đây gần như yêu cầu bạn viết một packer. Và điều cần lưu ý là không phải resource nào cũng được phép encrypt, ví dụ như icon, manitest. Những resource có thể encrypt là những reource chỉ được nạp khi chạy, ví dụ dialogbox, Menu Sau khi đọc bài này để có thể code 1 chương trình protect resource cơ bản yêu cầu bạn phải có: - Add được 1 section vào file (để lưu data của resource) - Với cấu trúc của resource như trên, đọc các thông tin để biết có bao nhiêu resource, vị trí của nó ( để có thể copy qua section mới). - Sau khi copy qua section mới cần thay đổi thông tin IMAGE RESOURCE DATA ENTRY trỏ đến đúng vị trí của resource tương ứng tại section mới. Tut by deux. Analyze VIRUS Trong mỗi người đều nhất định đã từng gặp những lúc khó khăn khi đối mặt với virus. Khi gặp phải một con virus, chúng ta lập tức lại phải nhờ tới một công cụ diệt virus. Nhưng theo tôi, nếu bản thân mình có những kiến thức nhất định về REVERSE, thì chúng ta vẫn có thể tiêu diệt nó theo cách mà chúng ta hiểu. Theo tôi, có 3 giai đoạn để REVERSE VIRUS: Phát hiện, tìm hiểu sơ lược, phân tích, và đưa ra đánh giá. Trong đó, giai đoạn phân tích VIRUS rất là cực kỳ quan trọng; qua việc phân tích, chúng ta sẽ xem xét được nó hoạt động như thế nào? Mục đích của VIRUS là gì? Và nó thuộc loại VIRUS nào? Sau đây, tôi xin mạn phép nêu lên những hành trang chúng ta cần thiết phải có đối với việc reverse Virus. Lưu ý đây là hành trang cơ bản cần thiết phải có, bất kể là đối với hệ điều hành nào. Kiến thức: - Nên tìm hiểu qua ngôn ngữ assembly cơ bản. (nếu có thể, hiểu càng nhiều ngôn ngữ khác, thì càng tốt.) - Cấu trúc của file định phân tích. - Sự hiểu biết nhất định về Hệ điều hành mà Bạn dùng làm nền. Các công cụ mà có thể hỗ trợ cho việc phân tích (bạn nên tự tìm hiểu , vì ứng với mỗi nền điều hành thì có công cụ phù hợp). Để an toàn các bạn nên có một máy ảo. Còn nếu không dùng máy ảo, các bạn hãy cô lập nó vào trong một Folder trống (không ở trong ổ C ( Phân hoạch điều hành)), và tuyệt đối khi bạn biết virus được mã hóa hoặc bảo vệ thì, nên cẩn thận trong việc DEBUG nó (Đừng cho nó chạy hoàn toàn). Và nên có một cây viết và những tờ giấy bên cạnh heng. Mong rằng Mục này sẽ có nhiều bạn chia sẻ kinh nghiệm của mình. Toolcracking(REA) Decompile file coded by Autoit Tool: OllyDBG, PeiD. File compiled bằng autoit thường pack bằng upx ( Bạn scan bằng PeiD đễ biết target pack bằng gì trước nhé) Upx có sẵn chức năng unpack, bạn ko cần phải unpack by hand. Đầu tiên bạn gõ upx -d file.exe. Bạn load file unpacked vào OllyDbg Right click >search for > All referenced text string. Kéo thanh trượt lên trên , nhấn chuột phải search for text, gõ vào >AUTOIT SCRIPT<. OK, double click vào dòng autoit script đó. Bạn set bp F2 chổ call trước test eax, eax > F9 run > Ice F8 1 lần đến Test eax, eax. Bạn nhìn qua thanh Register FPU Follow in dump at ECX. Bạn sẽ thấy nguyên cái source code. ############################# IDA: Load file unpacked vào ida, đợi load xong bạn nhấn vào tab strings > Alt+T gõ vào >AUTOIT SCRIPT< Bạn double click vào dòng text đó. Sau đó double click vao chỗ địa chỉ có mũi tên hướng lên. F2 bp chổ call trước test eax,eax > F9 >F8 bạn thấy thanh general registers IDA > jump in disassembly. Bạn nhìn bên IDA View >Nhấn phím A bạn sẽ thấy source code hoặc nhấn chuột phải > synchronize with->check ECX + hex view-ECX thấy source code trên tab Hex View. Special thanks to REA. alone +Khái niệm về Cryptography+ Cryptography, được dịch là "mật mã học", là một ngành có nhiều thuật ngữ có thể làm cho nhiều người "ngơ ngác": như "hash function", "one-time pad" hay Rijndael Bài viết này giải thích các khái niệm thường dùng trong ngành mật mã học, hy vọng có thể giúp ích cho những ai mong muốn tìm hiểu về lĩnh vực này. . Như hình trên bạn thấy thông tin của IMAGE RESOURCE DATA ENTRY cho biết ICON 00 01 nằm ở địa chỉ 00 01 7 C 70, và kích thước data của nó là 2E8 bytes. III) Anti – HexEditor: Với cách như. không hề thay đổi), nhưng khi truy nhập vào 1 resouce nào đó sẽ hiện thông báo. Và điều cần lưu ý, để chương trình có thể sử dụng các resource của nó 1 cách bình thường thì IMAGE RESOURCE DATA. ví dụ dialogbox, Menu Sau khi đọc bài này để có thể code 1 chương trình protect resource cơ bản yêu cầu bạn phải có: - Add được 1 section vào file (để lưu data của resource) - Với cấu trúc