Archive for the ‘OllyDbg Tutorials’ Category

OllyDBG_tut25

Posted: November 2, 2014 in OllyDbg Tutorials, OllyDBG_tut25
Tags:

Trong phần 24, tôi đã cùng các bạn phân tích một crackme rất dị có tên là Antisocial1.exe, crackme này hội tụ lung tung các tricks Anti-Debug, và hi vọng nó không làm các bạn bực mình. Kết thúc phần 24 cũng đồng thời là chủ đề về Anti-Debug xin được dừng lại để dành đất cho các chủ đề khác. Kể từ phần 25 này và các phần tới đây (nếu tôi không bận ) chúng ta sẽ dành thời gian để tìm hiểu về Unpacking.

‘Packer’ được xem như là một chương trình nén, được sử dụng để nén một file thực thi (executable file). Các chương trình này ra đời bắt nguồn từ mục đích muốn làm giảm kích thước của file, làm cho việc tải file nhanh hơn, tương tự các trình nén file như WinZip/Winrar. Tuy nhiên, bên cạnh việc nén, các trình packer cũng thường che dấu file gốc (original file) và gây nhiều khó khăn trong việc phân tích một file đã bị packed.

Rất nhiều các coder hay các hãng phần mềm sử dụng packer nhằm mục đích khiến các tay cracker/reverser phải khó khăn hơn và tốn thời gian hơn trong việc crack hoặc reverse phần mềm của họ. Đối với những kẻ chuyên phát tán các phần mềm độc hại (malicious software) thì còn một mục đích nữa là kéo dài thời gian tồn tại của phần mềm càng lâu bị phát hiện càng tốt . Theo thời gian, các trình packers ngày càng trở nên phức tạp hơn, kéo theo đó là việc có rất nhiều thủ thuật nâng cao nhằm để bảo vệ chương trình. Phần 25 này tôi sẽ giới thiệu tới các bạn một số kiến thức cơ bản, là tiền đề tiếp nối cho các phần tiếp theo.

Download link:
https://mega.nz/#!n8chyY4S!i8jyaJTQUPut7aNZHonl7DkgoUE5DXrHQIsHsbQu-94

Regards,
m4n0w4r

OllyDBG_tut24

Posted: August 17, 2013 in OllyDbg Tutorials, OllyDBG_tut24
Tags:

Mưa to gió lớn chả biết làm gì, lại ngồi lọ mọ viết lách để giết thời gian. Lướt FB thì gặp quả status của lão xnohat quảng cáo kinh quá:“Sau 3 năm lặn mất tăm trên giang hồ mạng. Cao thủ Reverse & Cracking Kienmanowar đã quay lại với phần 23 của loạt Tut huyền thoại “Ollydbg Tutorials”. Mình giờ già rồi, mà có phải cao thủ đếch gì đâu. Các bạn trẻ bây giờ ngon hơn nhiều, mình lót dép ngồi học hỏi cho đỡ bị coi là lạc hậu.

Ở cuối bài 23, tôi có giới thiệu về một crackme có tên là Antisocial1.exe, mà theo bác Ricardo thì crackme này hội tụ đủ các tricks mà các bạn đã gặp trong các bài viết có liên quan đến Anti-Debug, cộng thêm một vài trick mới J. Phần 24 này sẽ dành thời gian để tìm hiểu về crackme này.

Download here: https://mega.nz/#!PpEQEAQJ!7q8h66DGhFDPwcbOeqgiL1e3-ipa-QHCh58bzCg898Y

Regards

m4n0w4r

 

 


Khà khà, lâu quá nên chẳng biết lời mở đầu phải bắt đầu từ đâu và phải bắt đầu như thế nào. Tính ra cũng phải hơn 3 năm kể từ ngày tôi dừng lại ở phần 22. Quãng thời gian 3 năm cũng không phải là dài, cũng không phải là quá ngắn. Diễn đàn REA thì cũng đóng rồi, do anh em BQT nhận thấy thời của 4rum cũng xuống dần, cộng với cơm áo gạo tiền và bộn bề cuộc sống, không ai còn đủ thời gian để quản lý, điều hành cũng như hàng ngày phải mất công “ban nick” một tá những thằng ất ơ vào spam và quấy rồi, giờ chủ yếu là lên face chém gió, hẹn hò nhậu nhẹt …Blah blah. Trong các phần trước tôi đã giới thiệu tới các bạn các chủ đề liên quan tới Anti-Debug bằng cách sử dụng các phương pháp như IsDebuggerPresent, CreateToolhelp32Snapshot, Process32First, Process32Next, SetUnhandledExceptionFilter, UnhandledExceptionFilter, ZwQueryInformationProcess v..v.. cũng như các các trick để bypass, phần 23 này sẽ khép lại chủ đề Anti-Debug với phương pháp sử dụng NtGlobalFlagHeapFlags. Trên thực tế, các trình packer đình đám như EXECryptor cũng đều áp dụng các phương pháp trên, song bên cạnh đó chúng còn có các thủ thuật, phương pháp tinh vi khác, mà cứ mỗi version mới ra đời thì lại có các kĩ thuật nâng cao và quái chiêu hơn. Tuy nhiên, các cụ nhà ta thường có câu: “Vỏ quýt dày móng tay nhọn”.  N0w let’s g0……:

Download here:

http://www5.zippyshare.com/v/74595153/file.html

Regards,

m4n0w4r

OllyDBG_tut22!!

Posted: January 29, 2010 in OllyDbg Tutorials, OllyDbg_tut22
Tags:

I. Giới thiệu chung

Tiếp tục với chủ đề Anti-Debug, ở phần 22 này chúng ta sẽ tìm hiểu thêm hai “thủ thuật” mới, thường được áp dụng cùng nhau hoặc riêng lẻ. Crackme để chúng ta nghiên cứu trong phần này là Sphynx.exe, của tác giả có nick name là d@b. Mặc định tôi xem như các bạn đã hiểu hết những gì tôi viết ở các phần trước, trong phần này chúng ta sẽ sử dụng bản Olly đã được chỉnh sửa bởi chương trình repair0.6 mà tôi giới thiệu ở bài 21. Trên máy của tôi bản OllyDbg gốc được repair0.6 sửa lại và đặt tên là Ltp10.exe, thêm vào đó plugin HideDebugger được cấu hình như sau :

……..

Download toàn bộ bài viết tại đây:

http://www.mediafire.com/download.php?n0jzmzahnmy

Best Regards

m4n0w4r


Cuối tháng mở cửa REA cho anh em reg acc! 🙂

Regards

m4n0w4r

OllyDbg_tut21!!

Posted: January 19, 2010 in OllyDbg Tutorials, OllyDbg_tut21
Tags:

I. Giới thiệu chung

Chào các bạn, một tuần dài đã trôi qua, vợ và con về ngoại cả rồi, còn mỗi một mình tôi ngồi buồn mà chẳng biết làm gì, đành viết lách để giết thời gian vậy. Trong bài 21 này chúng ta sẽ tiếp tục nghiên cứu thêm một số kĩ thuật Anti-Debug khác. Target dùng để minh họa trong bài viết này là buggers3.exe, được chỉnh sửa bởi chính bác Ricardo. Theo như giới thiệu thì crackme này sẽ sử dụng các hàm API khác để detect process name, bao gồm việc phát hiện tên process lẫn tên class của OllyDbg. N0w let’s g0……:)

…..

Download toàn bộ bài viết:
http://www.mediafire.com/download.php?njjnjwngxzj

Regards
m4n0w4r

OllyDBG_tut20 !!

Posted: January 14, 2010 in OllyDbg Tutorials, OllyDbg_tut20
Tags:

Release bài 20 🙂

I. Giới thiệu chung

Chào các bạn, để tiếp tục với chủ đề Anti-OllyDbg, ở phần 20 này tôi sẽ tập trung vào giới thiệu cách các target phát hiện ra Olly thông qua việc kiểm tra tên của process. Trong tuần vừa qua, chắc các bạn đã đọc xong phần 19 – trình bày về cách Anti-Olly bằng API IsDebuggerPresent và những phương pháp để vượt qua cơ chế này. Cũng có thể tới thời điểm này, có nhiều bạn chưa giải được Crackme ở phần 18 để unlock phần 19, rất mong các bạn cố gắng tự lực đừng nên phụ thuộc vào lời giải hoặc các đáp án mà một số bạn đã public.

Trước khi đi vào phần chính của bài viết, chúng ta cần cấu hình lại Olly như sau (Ở đây tôi vẫn sử dụng Olly nguyên bản nhé) …

Download toàn bộ bài viết tại đây :
http://www.mediafire.com/download.php?nyzuoj0ebk1

Best Regards
m4n0w4r