OllyDbg_tut21!!

I. Giới thiệu chung

Chào các bạn, một tuần dài đã trôi qua, vợ và con về ngoại cả rồi, còn mỗi một mình tôi ngồi buồn mà chẳng biết làm gì, đành viết lách để giết thời gian vậy. Trong bài 21 này chúng ta sẽ tiếp tục nghiên cứu thêm một số kĩ thuật Anti-Debug khác. Target dùng để minh họa trong bài viết này là buggers3.exe, được chỉnh sửa bởi chính bác Ricardo. Theo như giới thiệu thì crackme này sẽ sử dụng các hàm API khác để detect process name, bao gồm việc phát hiện tên process lẫn tên class của OllyDbg. N0w let’s g0……:)

…..

Download toàn bộ bài viết:
http://www.mediafire.com/download.php?njjnjwngxzj

Regards
m4n0w4r

23 thoughts on “OllyDbg_tut21!!

  1. Bác kien cho hỏi tí nhé ???

    Tôi thấy trên net có chương trình debug/disasembly tên Syser kernel gì đó mà đọc thấy quảng cáo là olly + IDA + softice + tùm lum thứ trong 1 của mấy cha China. Tôi thử và bị treo máy 1 lần.

    Lang thang tiếp cũng nghe pà con mình nói nó mạnh và dùng cho dân pro hay có trình độ advanced không hè.

    Nhìn lại tình hình olly (tôi rất kết bé olly) mặc dù tác giả chậm nâng cấp quá trùi, hiện tại thấy ra bản v2.0 rồi nhưng không thấy tut nào sử dụng cả, không biết có mạnh bằng bản v1.10 hay không (đọc thấy lập trình lại từ đầu nghe cũng ngán).

    Vậy cho hỏi:
    1. Olly có thể là công cụ chính để debug được các chương trình sau này không (bao gồm .NET) ?
    2. Syser có mạnh thật như quảng cáo không ?
    3. Theo bác thì newbie có nên đào sâu nghiên cứa olly như hiện nay không ? (vì tôi xem olly là công cụ chính của mình hiện nay).

    Thank bác
    Chúc trâu cày khỏe như bác!

  2. _Chính xác thì là Syser Kernel Debugger, nó có mạnh như quảng cáo không thì tôi không biết vì tôi chưa sử dụng nó :D. Nhưng nhìn vào cái từ Kernel là biết nó hoạt động tương tự như SoftIce rồi. Olly thì debug ở Ring3 còn nó thì hoạt động ở Ring 0 (capable of suspending all operations in Windows when instructed. For driver debugging this is critical due to how hardware is accessed and the kernel of the operating system functions. Because of its low-level capabilities). <== Treo máy là chuyện bình thường lolz

    _Hiện tại bản 1.10 đã có đủ thứ mod + plugin rồi, Olly ra bản 2.0 thì phải cảm thấy mừng vì tác giả vẫn dành thời gian để nâng cấp nó. Còn ngồi chờ tut ư, đợi người ta viết thì sao không ngồi đọc hết cái help file của Olly2.0 để xem nó cải tiến những gì, sử dụng ra sao !!

    _Olly ko support cho .NET, muốn RE .NET phải sử dụng các công cụ khác. Muốn biết cụ thể thế nào mời đọc loạt bài RE .NET của bác RCA.

    _Đào sâu nghiên cứu về Olly để nhằm mục đích gì cái đã? Để crack suốt đời hay dùng nó để làm những thứ có nghĩa hơn : RE malware, RE bug của soft v..v.. Cá nhân tôi vì đam mê nhiều thứ nên tôi mới dành thời gian thế này, chứ không tôi cũng bỏ lâu rồi 😀

    Regards
    m4n0w4r

  3. Tất nhiên, khi hỏi bác tôi đã xác định hướng cho niềm đam mê của mình rồi (`.’).

    Tôi xem cracking là niềm đam mê, xem RE malware, virus như một ước mong phải thực hiện trong tương lai. (còn chuyện “thành tài” rồi truyền lửa lại cho newbie là một mong muốn khác). Chứ làm việc có nghĩa thì ai hõng muốn (chỉ sợ sức mình hõng có bi nhiêu mà thời gian lại không nhiều thì cũng bằng tiêu).

    Tôi hàng ngày dành rất nhiều thời gian học và nâng cao kiến thức về hệ thống (Win có, linux có), dạo này thấy ôm đồm nhiều quá không kam nên chơi thân với bác Bill hơn.

    Tôi hỏi bác nhiều vậy là sợ sau này bạn Olly died rồi mà tài năng chưa đủ để viết tools phục vụ cho mình thì nhục cho cái thuở đam mê.

    Cám ơn bác đã quan tâm và giải đáp những trăn trở trong lòng “ngộ” bấy lâu.

    Nhân dịp vợ con bác đi quê, chúc bác nhậu nhẹt be bét, ăn đường ngủ chợ nhé. Nhưng bác cố gắng khỏe để viết tut giúp anh em (lại sợ bác die giữa chừng thì biết kêu ai… hic hic).

    Regards(khò khò);

  4. Tôi có ý này nhé bác kien: mình fix thẳng class name và window text trong ollydbg thế này bác xem hộ có ổn không?

    B1: dùng ollydbg mở file ollydbg.exe, trong dump window sửa lại như sau:
    B2: fix Class name: 004B7218 (thay “ollydbg” = username).
    B3: fix Caption: 004B71EE (thay “ollydbg” = username).

    Tới đây là “not debugged” rồi, nếu muốn có thể fix thêm vài ba chổ nữa là thành “ollydbg 1.10 user modification” rồi nhỉ.

  5. À quên nữa: tut 20 bác hướng dẫn rename olly hình như còn thiếu 1 bước thì phải.

    DaXXoR.ExE run trong olly nhưng pause.

    Tôi vào debugging options > exceptions: check thêm mới run ok.

  6. Thanks a,
    Reaonline.net dạo này hình như bị VNPT chặn rồi 🙁
    E vào ở nhà và công ty dùng VNPT đều ko được (qua proxy thì ok).

    1. Tôi đã nói rồi mà :), nếu viết xong sẽ public ngay trong thời gian sớm nhất. Hiện tại, phần 22 cơ bản đã viết xong, tuy nhiên phần giải thích cơ chế chưa được chuẩn cho lắm lolz. Đang review lại để xem có cần chỉnh sửa thêm gì không 😀

      Regards
      m4n0w4r

  7. Hi anh
    Vậy là đã 8 tháng rồi anh ko viết tut mới 🙂

    Em đọc tới tut 21, thấy file buggers3.exe đã bị pack, nhưng không thấy anh hướng dẫn cách unpack
    E cũng thử dùng exeinfope mở file iexplorer.exe lên, cũng thấy là file đã bị pack, vậy có thể dùng tool nào để unpack?

    Mong hồi âm

  8. Mình không download được bạn ah, mình copy dán vào thanh địa chỉ cũng không được. Đồi IP reset modem cũng không được luôn, dùng proxy cũng không luôn

  9. Bac Kien co the up lai gium tut 16 den 20 khong vay, em hoi cham chan nen nhung tut nay cai link deu bi died het roi

Leave a Reply