Các công cụ sử dụng trong bài hướng dẫn này gồm có:
– VicOlly (Cần có hai plug-in OllyScript và Poison).
– Exe Info PE, PEiD
– ChimpREC
– CFF Explorer
Day: October 11, 2014
[MUP] Manual UnPack Asprotect 1.xx
Trong tut MUP Asprotect 1.xx này mình viết rất chi tiết để các bạn hiểu rõ cách thức tìm OEP và fix IAT thủ công của Asprotect. Trong tut mình đã nói rất tỉ mỉ và tự đưa ra câu hỏi & trả lời những câu hỏi “Tại sao?”, “Là gì”, “Tại sao fải làm như thế?”,…thay vì là những câu hướng dẫn nhấn phím tắt mà ko hiểu tại sao mình fải nhấn nvậy, học theo kiểu “bắt chước”, ko hiểu tại sao lại phải nhấn những nút đó như thế,… Ở những tut này mình đã nói để các bạn hiểu hết những vấn đề đó.
Tải video hướng dẫn unpack Asprotect 1.xx tại đây.
Chú ý: Nếu các bạn xem bị lỗi phông chữ thì tải phông chữ .VnAvant này rồi sao chép vào thư mục “C:\Windows\Fonts”.
PCHunter
PCHunter anti-rootkit is a free and handy toolkit for Windows with various powerful features for kernel structure viewing and manipulation.It offers you the ability with the highest privileges to detect, analyze and restore various kernel modifications and gives you a wide scope of the kernel.With its assistance, you can easily spot and neutralize malwares hidden from normal detectors.
Keygener Assistant
Keygener Assistant is a full tool that combines several functions to facilitate the task and save time during the analysis of an algorithm.
Process Hacker
Process Hacker is a free and open source process viewer. This multi-purpose tool will assist you with debugging, malware detection and system monitoring. It includes powerful process termination, memory viewing/editing and other unique and specialized features.
CFF Explorer
Created by Daniel Pistelli, a freeware suite of tools including a PE editor called CFF Explorer and a process viewer. The PE editor has full support for PE32/64. Special fields description and modification (.NET supported), utilities, rebuilder, hex editor, import adder, signature scanner, signature manager, extension support, scripting, disassembler, dependency walker etc. First PE editor with support for .NET internal structures. Resource Editor (Windows Vista icons supported) capable of handling .NET manifest resources. The suite is available for x86 and x64.
PEiD
PEiD is an intuitive application that relies on its user-friendly interface to detect packers, cryptors and compilers found in PE executable files – its detection rate is higher than that of other similar tools since the app packs more than 600 different signatures in PE files.
RDG Packer Detector
RDG Packer Detector is a detector packers, cryptors, Compilers, Packers Scrambler, Joiners, Installers.