WHITE HAT 2014 – RE 300
Hôm này chủ nhật rảnh rỗi nhân tiện lập blog mới. Mình sẽ viết write-up cho RE300 của cuộc thi WhiteHat 2014 do BKAV tổ chức vừa qua để mở hàng cho blog mới này. Có thời gian rảnh rỗi mình sẽ viết thêm nhiều tut nữa. 🙂
WHITE HAT 2014 – RE 300
Hôm này chủ nhật rảnh rỗi nhân tiện lập blog mới. Mình sẽ viết write-up cho RE300 của cuộc thi WhiteHat 2014 do BKAV tổ chức vừa qua để mở hàng cho blog mới này. Có thời gian rảnh rỗi mình sẽ viết thêm nhiều tut nữa. 🙂
Các công cụ sử dụng trong bài hướng dẫn này gồm có:
– VicOlly (Cần có hai plug-in OllyScript và Poison).
– Exe Info PE, PEiD
– ChimpREC
– CFF Explorer
Trong tut MUP Asprotect 1.xx này mình viết rất chi tiết để các bạn hiểu rõ cách thức tìm OEP và fix IAT thủ công của Asprotect. Trong tut mình đã nói rất tỉ mỉ và tự đưa ra câu hỏi & trả lời những câu hỏi “Tại sao?”, “Là gì”, “Tại sao fải làm như thế?”,…thay vì là những câu hướng dẫn nhấn phím tắt mà ko hiểu tại sao mình fải nhấn nvậy, học theo kiểu “bắt chước”, ko hiểu tại sao lại phải nhấn những nút đó như thế,… Ở những tut này mình đã nói để các bạn hiểu hết những vấn đề đó.
Tải video hướng dẫn unpack Asprotect 1.xx tại đây.
Chú ý: Nếu các bạn xem bị lỗi phông chữ thì tải phông chữ .VnAvant này rồi sao chép vào thư mục “C:\Windows\Fonts”.
PCHunter anti-rootkit is a free and handy toolkit for Windows with various powerful features for kernel structure viewing and manipulation.It offers you the ability with the highest privileges to detect, analyze and restore various kernel modifications and gives you a wide scope of the kernel.With its assistance, you can easily spot and neutralize malwares hidden from normal detectors.
Keygener Assistant is a full tool that combines several functions to facilitate the task and save time during the analysis of an algorithm.
Process Hacker is a free and open source process viewer. This multi-purpose tool will assist you with debugging, malware detection and system monitoring. It includes powerful process termination, memory viewing/editing and other unique and specialized features.
Created by Daniel Pistelli, a freeware suite of tools including a PE editor called CFF Explorer and a process viewer. The PE editor has full support for PE32/64. Special fields description and modification (.NET supported), utilities, rebuilder, hex editor, import adder, signature scanner, signature manager, extension support, scripting, disassembler, dependency walker etc. First PE editor with support for .NET internal structures. Resource Editor (Windows Vista icons supported) capable of handling .NET manifest resources. The suite is available for x86 and x64.
PEiD is an intuitive application that relies on its user-friendly interface to detect packers, cryptors and compilers found in PE executable files – its detection rate is higher than that of other similar tools since the app packs more than 600 different signatures in PE files.
RDG Packer Detector is a detector packers, cryptors, Compilers, Packers Scrambler, Joiners, Installers.
IDA is the Interactive DisAssembler: the world’s smartest and most feature-full disassembler, which many software security specialists are familiar with.
Written entirely in C++, IDA runs on the three major operating systems: Microsoft Windows, Mac OS X, and Linux.
IDA is also the solid foundation on which our second product, the Hex-Rays decompiler, is built.
The unique Hex-Rays decompiler delivers on the promise of high level representation of binary executables. It can handle real world code. It is real.