Đang tải... (xem toàn văn)
Để mở hộp thọai password của biểu tượng thứ 2 này, ta không thể nào dùng phím tổ hợp CTRL + ALT + SHIFT + F6, vì nếu vậy thì máy tính sẽ lầm tưởng ta mở hộp thọai password của biểu tượ[r]
(1)Phá Deep Freeze - Cướp lấy password I LỜI KHUYẾN CÁO
Xin thưa với bạn !
Hiện nay, giang hồ xuất phần mềm UnDeep Freeze, phần mềm – theo tơi – có sức “tàn phá” kinh khủng …khiếp Nó làm hư Deep Freeze mà cịn làm hư ln hệ thống (system) Windows
Sau nhiều đêm mày mị, “ngâm kíu” tài liệu Cuối tơi tìm cách phá Deep Freeze Cách đơn “cướp lấy” password để đăng nhập vào menu Deep Freeze không làm hư Deep Freeze hệ thống windows Nay mạn phép viết để hướng dẫn
Mục đích viết hướng dẫn muốn chia kinh nghệm mà học hỏi Vậy kính mong bạn đừng áp dụng viết với mục đích xấu, cài keylog, trojan… người kinh doanh hàng net, họ thường hay sử dụng Deep Freeze để giảm thiểu tối đa khả bị hư máy bị virus công… Họ có nỗi khổ riêng họ
Bạn nên sử dụng viết với mục đích học hỏi, tốt áp dụng cho máy nhà bạn lỡ quên password Deep Freeze
II MỘT SỐ LƯU Ý TRƯỚC KHI TIẾN HÀNH PHÁ DEEP FREEZE OllyDebug
Đầu tiên, bạn phải có công cụ OllyDebug Đây công cụ để dịch ngược file *.exe, *.dll ngôn ngữ ASM Nhưng chọn dùng để phá Deep Freeze khơng dính dáng đến ngơn ngữ ASM
OllyDebug giang hồ gặp Nếu có gặp ngun lại khơng có phần Plugins (chứa phần OllyScript, phần để phá Deep Freeze, phần Plugins lại gặp OllyDebug nữa) Tơi phải bỏ thời gian tuần để tìm kiếm, tìm phần mã nguồn Plugins này, phải nhờ bạn diễn đàn (diendantinhoc.com) dịch hộ thành file thư viện
Nhưng bạn đừng lo, viết hướng dẫn phải cung cấp cơng cụ ? Bạn download OllyDebug địa (nếu không tải được, bạn liên hệ với qua nick yahoohoo qua email):
===== >Click to download OllyDebug < =====
===== >Click to download Tutorial Huongdan < ===== (đây ebooks hướng dẫn đầy đủ chi tiết diễn đàn)
Sau bạn tải OllyDebug về, tiến hành giải nén chạy file OllyDBG.exe để vào giao diện OllyDebug Bạn giao diện hình
2 Vị trí biểu tượng Deep Freeze taskbar:
(2)Deep Freeze khác xuất nằm kế bên Bạn để ý để phân biệt đâu biểu tượng cũ, đâu biểu tượng (xem hình)
3 Xem phiên Deep Freeze mà máy dùng:
Để xem phiên Deep Freeze mà máy dùng, bạn ấn phím tổ hợp CTRL + ALT + SHIFT + F6 Khi đó, menu nhập password Deep Freeze hiển thị lên Bạn nhìn vào góc trái, menu thấy phiên
Bạn ghi nhớ số phiên này, sở để tìm offset phá Deep Freeze Tìm đường dẫn, thư mục cài đặt tệp FrzState2k.exe Deep Freeze:
Thông thường, Deep Freeze cài mặc định thư mục “ C:\Program Files\Faronics\Deep Freeze\Install C-0"
Trong thư mục lại có chứa tệp (DF5Serv.exe ) thư mục ( _$Df ) Trong thư mục lại chứa tệp FrzState2k.exe Đây tệp thức dùng để phá
Túm lại, có đường dẫn đầy đủ sau:
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
Lưu ý: ví dụ đường dẫn tệp FrzState2k.exe Nó thay đổi tùy theo cài đặt chủ máy
Chú ý: bạn dùng phần mềm ProcessExplorer để tìm đường dẫn cài đặt Deep Freeze điểm Argument
===> Download ProcessExplorer <====
Giao diện ProcessExplorer
Command Line Arguments Deep Freeze III TIẾN HÀNH PHÁ DEEP FREEZE
1 Dùng OllyDebug, mở tệp FrzState2k.exe:
Bạn chạy tệp OllyDBG.exe để vào giao diện OllyDebug Sau bấm vào biểu tượng open menu (hoặc bấm phím tắt F3, vào menu File\Open)
Trong hộp thọai Open này, bạn lần theo đường dẫn tệp FrzState2k.exe (vừa tìm mục II.4) Hãy nhập vào mục hộp thọai Open sau (xem hình):
- File name: FrzState2k.exe
(3)Sau bấm open OllyDebug hiển thị hộp thọai thông báo khác, nội dung sau: -
Entry Point Alert
-
Module 'FrzState' has entry point outside the code (as specified in the PE header) Maybe this file is Self-extracting or self-modifying Please keep it in mind when setting breakpoints! -
Bạn bấm OK
Trong trình OllyDebug tiến hành dịch mã, có lỗi xảy modul sau: -
Compressed code? -
Quick statistical test of module 'FrzState' reports that its code section is either compressed, encrypted, or contains large amount of embedded data Results of code analysis can be very unreliable or simply wrong Do you want to continue analysis?
- Yes No
-
Trường hợp bạn bấm YES Hoặc: -
Error
-
In module 'FrzState' OllyDbg encountered several corrupted breakpoints, where first byte of the actual command differs from that in the previous debugging session This happens when program was recompiled or code is self-modifying (for example, self-extracting) For security reasons, OllyDbg will disable suspicious INT3 breakpoints You can re-enable them in
Breakpoints window - OK
- Trường hợp bạn bấm OK
2 Chạy Scripts, vào Plugins>>Script>>Run Script>>Load…
Như tơi nói từ đầu, phần Spcript có bạn plugins thư viện Script cho OllyDebug Nếu chưa có, bạn tìm file OllyScript.dll plugins cho nó, nhớ xóa tệp Ollydbg.ini thư mục trước chạy OllyDBG.exe
Khi OllyDebug dịch mã sang ASM xong, bạn bấm vào menu Plugins OllyDebug Chọn OllyScript>>Run script >> Load…
Lúc này, OllyDebug hiển thị hộp thọai Load lên, bạn chọn file "UPS.OSC" File có sẵn thư mục bung OllyDebug.zip
Sau Script hòan tất Bạn bấm OK Bạn Address Editor OllyDebug
(4)Tiếp theo, bạn chuột phải lên vị trí hình OllyDebug, chọn "Go
to>>Expression" để dịch chuyển đến vị trí khác Thao tác bạn làm nhanh cách ấn phím tổ hợp CTRL + G
Trong hộp thọai Goto (enter expression to follow), bạn gõ vào số (hexa) tương ứng với phiên Deep Freeze (phiên mà bạn xem mục II.3 trên) Lần lượt, đưa số tương ứng với phiên sau:
Version > Hexa Number 4.20.020.0598 > 40368D 4.20.020.0604 > 40368D 4.20.021.0598 > 40368D 4.20.121.0613 > 4034F5 5.20.022.1125 > 4037E9 5.20.250.1125 > 408D34 5.30.021.1181 > 4037E9 5.30.150.1181 > 4037E9 5.50.021.1288 > 403860
Nếu bạn sử dụng Deep Freeze với phiên khác (không thấy list trên) bạn nhập Hexa Number để thử, thơi
Do thực hành phiên 5.30.021.1181 nên tơi nhập vào số 4037E9 (như hình sau)
Sau ấn OK Tơi OllyDebug đưa đến vị trí "bảng xếp hạng" Address Xác định điểm breakpoint cho OllyDebug
Kế tiếp, bạn nhấn F2 - chuột phải vào vị trí goto vừa đến hình OllyDebug, sau chọn BreakPoint>>Toggle - xác định điểm Break Point
Nếu OllyDebug hiển thị hộp thọai xác nhận bạn bấm OK Nội dung hộp thọai xác nhận sau:
- Suspicious breakpoint -
It looks like you are trying to set breakpoint on the data If this is really the case, such breakpoint will not execute and may have disastrous influence on the debugged program Do you really want to set breakpoint here?
- Yes No
-
5 Test lần thứ chương trình FrzState2k.exe
Khi có vị trí BreakPoint rồi, bạn ấn F9 (hoặc vào menu Debug>>Run) để tiến hành test lần thứ chương trình FrzState2k.exe
(5)Bạn phân biệt biểu tượng (new icon) so với biểu tượng cũ (old icon) mà ta để ý phần II.2
6 Mở hộp thọai nhập password new icon
Để mở hộp thọai password biểu tượng thứ này, ta khơng thể dùng phím tổ hợp CTRL + ALT + SHIFT + F6, máy tính lầm tưởng ta mở hộp thọai password biểu tượng thứ (old icon) Ta dùng chuột để mở password new icon Bạn bấm tổ hợp phím CTRL + ALT + SHIFT, sau nhấp kép chuột trái vào biểu tượng (new icon)
Khi hộp thọai nhập password hiển thị, bạn nhập vào chuỗi kí tự để làm password Xong ấn OK Hộp thọai password khơng mà cịn hiển thị hình (bạn chịu khó nhé, đừng tắt – mà tắt hổng trừ bạn tắt OllyDebug) Sau nhập password xong, OllyDebug đưa bạn đến vị trí khó tìm ( khó tìm thủ thuật mị password khác)
Khi này, thấy chữ "Pause" màu đỏ vàng hiển thị phía dưới, góc phải OllyDebug Bạn bấm F8 để OllyDebug tiếp tục gọi function khác Có thể q trình gọi function, OllyDebug hiển thị hộp thọai breakpoint Nội dung hộp thọai sau: -
Suspicious breakpoint -
It looks like you are trying to set breakpoint on the data If this is really the case, such breakpoint will not execute and may have disastrous influence on the debugged program Do you really want to set breakpoint here?
- Yes No
- Bạn bấm YES
Lặp lại thao tác trên Registers OllyDebug hiển thị: Registers
EAX 00000000 ECX 00000001 EDX 0012FB80 EBX 009D5610
ESP 0012FB70 Xem hình dưới:
7 Thay đổi giá trị ghi AX (tương ứng EAX OnlyDebug)
(6)Xong nhấn OK
8 Đăng nhập vào hộp thọai Boot Control Deep Freeze – hịan tất q trình phá Deep Freeze
Khi thay đổi giá trị AX xong Bạn tiếp tục F9 (hoặc vào menu Debug>>Run) để OllyDebug test lần với giá trị AX vừa nhập Và điều xảy sau ????
Cơng đọan gì, tùy vào mục đích bạn Bạn chọn Boot Thawed on next, Boot Thawed để mở phá băng Sau restart lại máy
Trên viết tham khảo từ HVA Các bạn tham khảo nhé!
>Click to download OllyDebug >Click to download Tutorial Huongdan Download ProcessExplorer đây