OllyDBG_tut25

Trong phần 24, tôi đã cùng các bạn phân tích một crackme rất dị có tên là Antisocial1.exe, crackme này hội tụ lung tung các tricks Anti-Debug, và hi vọng nó không làm các bạn bực mình. Kết thúc phần 24 cũng đồng thời là chủ đề về Anti-Debug xin được dừng lại để dành đất cho các chủ đề khác. Kể từ phần 25 này và các phần tới đây (nếu tôi không bận ) chúng ta sẽ dành thời gian để tìm hiểu về Unpacking.

‘Packer’ được xem như là một chương trình nén, được sử dụng để nén một file thực thi (executable file). Các chương trình này ra đời bắt nguồn từ mục đích muốn làm giảm kích thước của file, làm cho việc tải file nhanh hơn, tương tự các trình nén file như WinZip/Winrar. Tuy nhiên, bên cạnh việc nén, các trình packer cũng thường che dấu file gốc (original file) và gây nhiều khó khăn trong việc phân tích một file đã bị packed.

Rất nhiều các coder hay các hãng phần mềm sử dụng packer nhằm mục đích khiến các tay cracker/reverser phải khó khăn hơn và tốn thời gian hơn trong việc crack hoặc reverse phần mềm của họ. Đối với những kẻ chuyên phát tán các phần mềm độc hại (malicious software) thì còn một mục đích nữa là kéo dài thời gian tồn tại của phần mềm càng lâu bị phát hiện càng tốt . Theo thời gian, các trình packers ngày càng trở nên phức tạp hơn, kéo theo đó là việc có rất nhiều thủ thuật nâng cao nhằm để bảo vệ chương trình. Phần 25 này tôi sẽ giới thiệu tới các bạn một số kiến thức cơ bản, là tiền đề tiếp nối cho các phần tiếp theo.

Download link:
https://mega.nz/#!n8chyY4S!i8jyaJTQUPut7aNZHonl7DkgoUE5DXrHQIsHsbQu-94

Regards,
m4n0w4r

15 thoughts on “OllyDBG_tut25

  1. Chào anh
    E đang reverse một app .NET mà hình như nó bị pack bởi Macrobject Obfuscator nên khi nhấn vào xem các method thì .NET Reflector bị crash. Anh cho em hỏi là có chương trình nào để unpack được không.

  2. @Kiên: Trong thảo luận tại phần 24, anh có đưa link full download toàn bộ các tuts trước đây rồi. Em xem lại nhé: http://kienmanowar.wordpress.com/2013/08/17/ollydbg_tut24/#comments

    @Lép: Em thử tìm thằng iMPROVE .NET xem. Anh thấy miêu tả của nó như sau:

    iMPROVE .NET it’s a deobfuscator for packers that de4dot can’t unpack. Current supported packers:

    -DotBundle (only main exe and dlls unpacking)
    -ExePack.NET
    -.NetZ .NET Packer
    -Macrobject Obfuscator .NET 2009
    -.netshrink

    Regards,
    m4n0w4r

  3. chào bác kiên ! em học crack lâu rồi nhưng ko khá lắm , còn rất yếu , hôm nay có 1 vấn đề muốn bác giúp đỡ ! em cũng thường crack các soft viết bằng borland delphi nhưng bây giờ em thấy hầu hết các chương trình có giá trị cao viết bằng delphi bây giờ có 1 kiểu bảo vệ rất là khó crack . nhìn thì có vẻ đơn giản nhưng thực ra ko dễ dàng ! người code đã dùng server để check serial key nhập vào vào vao dùng check ID computer để kiểm soát serial key ! nếu phát hiện serial key trên máy thứ tinhs thứ 2 , họ sẽ xóa key của mình . trong quá trình crack từ badboy ko thể reversing nơi check key fake , chỉ có 1 lệnh so sánh fake key nhập vào với 0 , có thể họ self-modifying code, rất khó để reserving ! em muốn hỏi những người có kinh nghiệm như bác ! cảm ơn bác!

  4. Bác Kiên ơi , bác up lại cho em tut 25 đến 27 đi ạ , em tổng hợp đc đến tut 24 rồi mà đa số chết link hết , e up lại lên google drive rồi đưa lại lên đây cho các bạn sau đọc . Em thấy thằng google drive là ko bị chết link nhất

  5. HIx…em biết đến trnag này trễ quá,A kiemma có link tổng hợp nào bắt đầu từ phần 1 ko a.
    cám ơn anh nhiều

Leave a Reply