OllyDBG_tut25

Posted: November 2, 2014 in OllyDBG_tut25
Tags:

Trong phần 24, tôi đã cùng các bạn phân tích một crackme rất dị có tên là Antisocial1.exe, crackme này hội tụ lung tung các tricks Anti-Debug, và hi vọng nó không làm các bạn bực mình. Kết thúc phần 24 cũng đồng thời là chủ đề về Anti-Debug xin được dừng lại để dành đất cho các chủ đề khác. Kể từ phần 25 này và các phần tới đây (nếu tôi không bận ) chúng ta sẽ dành thời gian để tìm hiểu về Unpacking.

‘Packer’ được xem như là một chương trình nén, được sử dụng để nén một file thực thi (executable file). Các chương trình này ra đời bắt nguồn từ mục đích muốn làm giảm kích thước của file, làm cho việc tải file nhanh hơn, tương tự các trình nén file như WinZip/Winrar. Tuy nhiên, bên cạnh việc nén, các trình packer cũng thường che dấu file gốc (original file) và gây nhiều khó khăn trong việc phân tích một file đã bị packed.

Rất nhiều các coder hay các hãng phần mềm sử dụng packer nhằm mục đích khiến các tay cracker/reverser phải khó khăn hơn và tốn thời gian hơn trong việc crack hoặc reverse phần mềm của họ. Đối với những kẻ chuyên phát tán các phần mềm độc hại (malicious software) thì còn một mục đích nữa là kéo dài thời gian tồn tại của phần mềm càng lâu bị phát hiện càng tốt . Theo thời gian, các trình packers ngày càng trở nên phức tạp hơn, kéo theo đó là việc có rất nhiều thủ thuật nâng cao nhằm để bảo vệ chương trình. Phần 25 này tôi sẽ giới thiệu tới các bạn một số kiến thức cơ bản, là tiền đề tiếp nối cho các phần tiếp theo.

Download link:
https://mega.nz/#!n8chyY4S!i8jyaJTQUPut7aNZHonl7DkgoUE5DXrHQIsHsbQu-94

Regards,
m4n0w4r

Advertisements
Comments
  1. Kiên says:

    anh có thể sửa lại link tất cả ollydbg tut không?

  2. Lép says:

    Chào anh
    E đang reverse một app .NET mà hình như nó bị pack bởi Macrobject Obfuscator nên khi nhấn vào xem các method thì .NET Reflector bị crash. Anh cho em hỏi là có chương trình nào để unpack được không.

  3. kienmanowar says:

    @Kiên: Trong thảo luận tại phần 24, anh có đưa link full download toàn bộ các tuts trước đây rồi. Em xem lại nhé: https://kienmanowar.wordpress.com/2013/08/17/ollydbg_tut24/#comments

    @Lép: Em thử tìm thằng iMPROVE .NET xem. Anh thấy miêu tả của nó như sau:

    iMPROVE .NET it’s a deobfuscator for packers that de4dot can’t unpack. Current supported packers:

    -DotBundle (only main exe and dlls unpacking)
    -ExePack.NET
    -.NetZ .NET Packer
    -Macrobject Obfuscator .NET 2009
    -.netshrink

    Regards,
    m4n0w4r

  4. Lép says:

    em đã thử nhưng sau khi unpack thì chỉ xem được vài method. Các method quan trọng vẫn bị crash khi xem 😦

  5. Kiên says:

    Cảm ơn anh

  6. Mol says:

    Bác làm em đợi mãi 😀

  7. Mol says:

    Mà sao bác không lưu trên các host khác như google drive hay fshare nhỉ, em thấy Zippy load chậm.

  8. says:

    chào bác kiên ! em học crack lâu rồi nhưng ko khá lắm , còn rất yếu , hôm nay có 1 vấn đề muốn bác giúp đỡ ! em cũng thường crack các soft viết bằng borland delphi nhưng bây giờ em thấy hầu hết các chương trình có giá trị cao viết bằng delphi bây giờ có 1 kiểu bảo vệ rất là khó crack . nhìn thì có vẻ đơn giản nhưng thực ra ko dễ dàng ! người code đã dùng server để check serial key nhập vào vào vao dùng check ID computer để kiểm soát serial key ! nếu phát hiện serial key trên máy thứ tinhs thứ 2 , họ sẽ xóa key của mình . trong quá trình crack từ badboy ko thể reversing nơi check key fake , chỉ có 1 lệnh so sánh fake key nhập vào với 0 , có thể họ self-modifying code, rất khó để reserving ! em muốn hỏi những người có kinh nghiệm như bác ! cảm ơn bác!

  9. kienmanowar says:

    Thằng zippy không hiểu sao nó xóa file, link khác: http://tenlua.vn/download/0837e12ae90b680e/ollydbgtut25

  10. TungNguyen says:

    Bác Kiên ơi , bác up lại cho em tut 25 đến 27 đi ạ , em tổng hợp đc đến tut 24 rồi mà đa số chết link hết , e up lại lên google drive rồi đưa lại lên đây cho các bạn sau đọc . Em thấy thằng google drive là ko bị chết link nhất

  11. kienmanowar says:

    @TungNguyen: Link tổng hợp từ phần 25 tới phần 28 đây nhé em: https://mega.nz/#!u1V2TYyR!oG3mvomP0PNfCkBC_fznNyYtL4Ry4Eg306BytK3E6vY

    Regards,

  12. jasonvn says:

    HIx…em biết đến trnag này trễ quá,A kiemma có link tổng hợp nào bắt đầu từ phần 1 ko a.
    cám ơn anh nhiều

  13. kienmanowar says:

    Không bao giờ là muộn em! Các link thì em có thể đi theo từng bài để download nhé!

    Regards,

  14. jasonvn says:

    cám ơn anh…nhưng e tìm thấy tut1 xong là đến 10 luôn không thấy tut 2 đến 9 đâu cả

  15. kienmanowar says:

    @jasonvn: Em quan sát kĩ một chút là sẽ thấy có đủ cả nhé!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s