Chủ Nhật, 21 tháng 8, 2011

Hướng dẫn debug và lấy nội dung file showthread.php của stl bằng OllyDbg


Mở file SbieMgm.dll mà tôi đã up lên mediafire, trong file FadeSandboxie_17_08_2011.zip bằng OllyDbg, ver nào cũng được.

Đặt breakpoint tại DeleteFileW (không cần đặt breakpoint cho DeleteFileA vì DeleteFileA cũng phải call DeleteFileW). Cho an toàn, đặt thêm breakpoint cho CreateProcessA. Sau đó, các bạn run (F9 hay g).






Khi OllyDbg break tại DeleteFileW, nhìn vào cửa sổ stack, các bạn sẽ thấy file xxx.tmp. Trên máy tôi, %Temp% là C:\Temp. Khoan F9, các bạn nhảy qua Explorer, chép cái file xxx.tmp đó qua chỗ khác. Xong chưa, rồi thì F9.


OllyDbg sẽ break lần 2, và trong cửa sổ stack, các bạn sẽ thấy 1 file xxx.tmp nữa. Tương tự, chép nó qua chổ khác, terminate OllyDbg, không cần debug nữa.


Trong hai file .tmp đó, có 1 file nhỏ và 1 file lớn, 1k và 4k. Dùng notepad mở file 4k lên, sẽ thấy nội dung "đốt chích" của mấy anh stl.


Mở file xxx.tmp nhỏ 1k với WinRAR, 7Zip hay WinZip cũng sẽ thấy nội dung như file vừa mở = Notepad.


Vậy là xong, coder stl code cho cố, vẽ rồng vẽ phượng cho phức tạp, thì chúng ta chỉ cần break vài phát là lòi ra hết. Chia buồn mấy anh stl nhé smilie
Rút kinh nghiệm, đừng đặt mình ở vị trí coder, hãy đặt mình vào vị trí cờ rắc cơ như ThangCuAnh smilie

4 nhận xét:

  1. Chào anh TQN,

    Em vừa mới nhận được 1 link qua facebook chat, download xuống kiểm tra bằng avira thì ko phát hiện được gì, nhưng up lên virustotal thì có 3 phần mềm phát hiện là malware. Anh kiểm tra xem có phải là hàng mới của STL ko.
    Link down: http://www.mediafire.com/?lbzhxs2kg24tk6r
    Kết quả kiểm tra ở virustotal: http://www.virustotal.com/file-scan/report.html?id=9edbeee8430a450369140cd5f2a5948c98c64728fa9062bc353bfedfeb9fc75c-1314160708

    Trả lờiXóa
  2. ơ cái cm lúc trước của e đâu rồi nhỉ

    Trả lờiXóa
  3. Comment nào vậy cu em nặc danh. Bỏ cái trò giấu mặt mà comment bậy bạ đi.

    Trả lờiXóa
  4. sax... thế nào mà a lại bảo e cm bậy bạ? nặc danh là cách gọi của Google thôi, trên các forum thường gọi là khách. e ko có tài khoản nên mới để vậy

    Trả lờiXóa