Archive for November, 2008

DataRipper 1.3 Ollydbg Plugin

Posted: November 14, 2008 in RE Tools

Ollydbg plugin – Data Ripper 1.3

9th November 2008 – 1.3 release

1) Fixed Delphi format bug
2) Added Visual Basic and Ascii formats

26th February 2006 – 1.21 release

1) fixed window handle bug

28th January 2006 – 1.2 release

1) Improved handling of Ollydbg close when Data Ripper is open.
2) Compatiblity with Ollydbg Shadow
3) Data Ripper dialog stays on top (option)

17th January 2006 – 1.1 release

1) “Data Ripper” menu added to dissassembler window. Code bytes can now be ripped as data.
2) Added option to override the warning to save file.
3) Added option to rip data immediately Data Ripper is launched using previous settings.
4) Added “Apply” function to Settings dialog.
5) Handled issue with multiple plugin instances.

10th January 2006 – first release

Data Ripper is an easy way to rip any kind of data from an app being debugged using Ollydbg. The ripped data can be formatted and “declared” in the syntax of the popular programming languages MASM, C/C++ and Delphi.

Data Ripper is useful whenever you need to rip data, tables etc out of an app so the data can be used in another compiled program.

NOTES

1) To install copy DataRipper.dll to the Ollydbg plugin directory

2) Data Ripper maintains settings between debugging sessions in the Ollydbg.ini file. Temporary data is stored in a file DataRipper.tmp.

3) Data Ripper can rip data up to the Windows size limit.

HELP

Basic Use

1) Highlight the data to be ripped in any memory window of Ollydbg.

2) Right click and select “Data Ripper” in the Ollydbg popup window

3) The Data Ripper dialog will popup with an empty file “untitled”

4) Select the “Settings” dialog and check the “Language” “Format” and other settings are ok. You can specify

Language  : ASM, C/C++, Delphi, Comma Separated Values CSV or Data String.
“Declare” : indicates whether the programming language declaration information header
and trailer are required
Format    : select bytes, words or dwords. Note if the number of data bytes selected in Ollydbg
does not correspond exactly with the word or dword format setting, trailing bytes
are set to zero.
Hex       : if set output is in hexadecimal otherwise decimal
Items/Line: how many bytes, words, dwords per line (Max 255)
Indent    : spaces indented on each line (max 255)

5) Press “Rip Data” and the app data will be ripped and formatted into a Data Ripper file.

6) Data Ripper provides basic “richedit” editing functions. After any editing, merging with other files etc is done, save the ripped data file.

7) If you want to change the langugage, format, items/line etc, open up the “Settings” dialog, “Save” the new settings and press “Rip Data” again. Data Ripper will ask you if you want the save the file that is already there before the reformatted data is displayed.

8) Close Data Ripper.

Report any problems to http://www.sndforum.da.ru

Ziggy
January 2006

Link download:

http://www.tuts4you.com/download.php?view.42


This Olly is moded by DeRox!

OllyDbg 1.10:
———————————————————————-
+ New look
+ Modified code for almost perfect hiding
+ Win32 API help reference
+ Modified code for expanded windows
+ Modified code for %s overflow RCE exploit
+ Modified code to make symbols load properly
+ OllyDRX Plugin Patcher
+ Plugin Development Kit & Script Editor v2.0

Tools:
———————————————————————-
DUP2.18.3 + DRX Skins
LordPE Deluxe b
PEiD 0.95
Resource Hacker 3.4.0.79
.NET Reflector 5.1.4.0
DeDe 3.50.02 Build 1619
ASCII-Tabelle (PDF)
Universal Extractor 1.6
VB Decompiler Lite 5.0
Import Reconstructor 1.7c
Wark 1.3
PE Tools 1.5.400
VeoVeo 3.4
TeLock 0.98
MASM v10
WinASM v5.1.5.0
CrypTool 1.4.21
Hiew 7.26 *removed*
W32Dsm 8.93 + BratPatch 3 final *removed*

Plugins:
———————————————————————-
+BP-OLLY Ver 2.0 beta 4
Olly Advanced 1.25 Master Edition
AnalyzeThis! v0.1
Bookmark v1.06
CommandBar 3.20.110
ODbgScript v1.64.3
OllyDump v3.00.110
Olly TBar Manager (Gold)
Olly More Menu 1.3b
DataRipper 1.3
CleanupEx 1.12.108

Scripts:
———————————————————————-
629 Scripts

Unpackers:
———————————————————————-
Stripper 2.11 RC2
DilloDIE 1.6
Unpacker Execryptor 1.0 RC1
UnThemida 2.0
Themida/WinLicense Unpacker 2.0

Greetz goes out 2:
———————————————————————-
Complete SnD Team (4 been right here tongue.gif )
Special: Fungus (4 Olly Redux tut), Lena151 (4 her great tuts 4 newbs), Oleh Yuschuk (4 OllyDbg), Teddy Rogers (4 his board), Diablo2002 (4 DuP), Ecliptic (4 his nice art wink.gif ), ARTeam (4 great tuts) and all they have been coded scripts plugins & tools. And all other i forgot. rolleyes.gif
Very special thx: my family & friends.

Download here:

http://rapidshare.com/files/163191823/OllyDRX-final.rar

Pass to unrar: derox

RDG Packer Detector v0.6.6 2k8

Posted: November 12, 2008 in RE Tools

New skin!

-Detection improved for Fast and Powerful Mode!
-Signatures Database Up-to-date!
-Heuristic Detection of Binders
-Overlay Detection and Extraction!
-Automatic Check and Update!
-MD5 Hash Detection Very Fast!
-Multiple Support for Plug-ins, for RDG Packer Detector and for other detectors!
-Multiple Detection of formatted MPG,GIF,RAR,ZIP,MP3 etc.
-Detection and extraction of associated files!.

Download here:

http://www.egrupos.net/grupo/rdgsoft/ficheros/3/verFichero/29/RDG%20Packer%20Detector%20v0.6.6%202k8.rar

Cả khu nhà chìm trong biển nước, rác rười và đủ các thứ linh tinh trôi nổi lềnh phềnh :).Nhìn mà thấy hãi cảnh “Hà Lội”, không dám đi đâu, hoàn toàn cô lập. Điện nước thì bị cắt lên cắt xuống :|. Mượn tạm máy của vợ chụp demo mấy kiểu ảnh post lên cho mọi người ngắm chơi 😀


Một cái đầu lạnh để vững vàng, một trái tim đỏ lửa để yêu và làm việc hết mình!

I. Giới thiệu chung

Chào các bạn, hôm nay chúng ta lại gặp nhau ở phần 13 của loạt bài viết về Olly 🙂. Vẫn còn rất nhiều phần khác nữa tới đây, chỉ sợ sức lực tôi có hạn không thể viết hết được thôi.. khà khà. Trong toàn bộ 12 bài viết trước, tôi đã lần lượt giới thiệu cho các bạn về Ollydbg, các kiến thức cơ bản về ASM, các câu lệnh thường được sử dụng, cách patch chương trình cũng như các kiểu BP từ cơ bản đến nâng cao trong Olly và còn nhiều thông tin khác nữa…. Tôi hi vọng rằng qua 12 bài viểt đó các bạn đã tự trang bị cho mình những kĩ năng cơ bản nhất để làm việc với Olly, cũng như tích lũy được những kinh nghiệm để có thể làm việc tiếp với những bài viết chuyên sâu tiếp theo của loạt tutor này. Vậy ở phần 13 này chúng ta sẽ làm gì nhỉ? Thực ra là phần 13 này không có trong kịch bản của lão Rincardo đâu, mà là tự tôi viết. Vì trong phần 12 của lão, cuối bài lão có nói lão sẽ xử lý Crackme Cruehead để tóm được Serial nhưng rồi lão lại không viết ở phần 13, thay vào đó lão đi xử lý các crackme khác. Cho nên tôi quyết định tự tay xử lý Crackme này để phục vụ các bạn 🙂. Rất nhiều điều thú vị đang nằm ở phía trước…. N0w….L3t’s F1nish H1M !!!!!!!

II. Let’s Finish Him 🙂

Nói là xử lý nhưng chúng ta phải làm thế nào nhỉ? Người có kiến thức và kinh nghiệm thì bảo : “Hãy kiểm tra chương trình trước xem có bị pack bởi packer nào không? Nếu bị pack thì giải quyết packer trước rồi tính tiếp. Còn nếu không bị pack thì quá khỏe, chạy thử chương trình xem nó hoạt động ra sao và tìm kiếm thông tin. Sau khi có được những thông tin quan trọng thì load chương trình vào Olly, tìm các cách để tiếp cận, đặt BP ở những điểm mấu chốt, sau đó trace code, comment những chỗ quan trọng, nếu fish được serial thì tốt, còn không thì tìm ra thuật toán và code keygen v..v..Bạn hãy tự mình thực hành đi đã, nếu bị bí chỗ nào hãy post lên để hỏi!”

Những người biết thì thưa thớt nhưng lại thích khoe khoang cũng phán đại :”Thì load vào Olly, tìm cái chuỗi liên quan đến Nag ấy, rồi đặt BP chứ còn làm gì nữa! Không làm được thì show code lên đây tôi giúp cho v..v..”

Riêng cá nhân của tôi thì thấy rằng: “Phải tự mình đúc kết các kinh nghiệm trước khi lâm trận cái đã, khi bạn chưa biết gì mà đã vội nhảy vào trận chiến thì chẳng khác nào lấy trứng chọi đá. Vậy kinh nghiệm ở đâu ra? Kinh nghiệm có được khi bạn đọc những bài viết của người khác, có được khi bạn thực hành với những trường hợp tương tự nhưng bạn thử nghiệm những hướng tiếp cận khác ,kinh nghiệm có được khi bạn tham gia thảo luận một chủ đề kĩ thuật v..v.. Để rồi từ đó bạn rút tỉa dần dần và tích lũy lại thành kinh nghiệm của riêng mình.Rồi sẽ đến một lúc nào đó, lại có người muốn ta chia sẻ kinh nghiệm của mình. Không ai có đủ thời gian và kiên nhẫn để chỉ dạy từng bước cho bạn, bạn phải tự mình tìm tòi và khám phá, khi nào bạn cảm thấy thực sự cần đến sự giúp đỡ tôi nghĩ lúc đó sẽ có người sẵn sàng giúp bạn 🙂

Quay trở lại phần chính của bài viết này là giải quyết crackme CrueHead để tỉm ra môt valid serial. Một hướng tiếp cận cơ bạn sẽ như tôi trình bày bên dưới đây, đương nhiên không nằm ngoài khả năng có những cách tiếp cận khác, điều đó nằm ở sự khám phá của các bạn 🙂.

1. Kiểm tra xem chương trình có bị pack hay không?

Pack file nghĩa là như thế nào? Tại sao phải kiểm tra xem có bị pack? Hiểu một cách đơn giản thì pack file là nén file thực thi (PE file : .dll, .exe, .ocx, v..v..) để làm giảm kích thước của file, việc nèn này ngoài việc nén code, data của chương trình thì trình packer còn thêm cả đoạn decompress stub vào PE file để làm nhiệm vụ unpack chương trình trong memory. Việc nén này không nên hiểu như ta dùng Winrar/Winzip để nén file, vì Winrar/Winzip sau khi nén file xong ta không thể thực thi file đó được mà ta phải làm một bước là extract file, sau đó mới run file.

Khi một file không bị pack thì lúc ta load chương trình vào Olly ta sẽ dừng lại tại EP của chương trình (hay còn gọi là OEP gốc). Còn nếu chương trình đã bị pack, khi ta load vào Olly ta sẽ dừng lại tại EP của packer chứ không phải là EP của chương trình. Do đó nhiệm vụ của chúng ta là phải unpack chương trình trước đã (tức là ta đi tìm lại OEP gốc), rồi mới thực hiện các hướng tiếp cận khác. Đó chính là lý do tại sao ta phải kiểm tra chương trình. Vậy ta kiểm tra như thế nào? Tôi thường sử dụng một số chương trình sau để check :

…………….

Download toàn bộ bài viết tại đây :

ollydbg_tut13

Regards

kienmanowar