Tag: download

Series Reversing/Cracking .NET cơ bản bằng tiếng Việt

Xin chào,

Tôi đã trở lại sau một thời gian vắng bóng. Chỉ là tôi ít viết blog hơn. Ít viết blog thôi nhé, chứ còn tôi vẫn viết, nhưng tôi viết và up ở nơi khác. Tôi viết cũng khá nhiều thể loại, từ văn học kích động quần chúng, công kích cá nhân, đả phá, xuyên tạc, bôi nhọ danh dự cũng như quyền lợi của các ông lớn (trong ngành phần mềm), nhiều khi tôi còn cổ súy một cách nồng nhiệt cho việc ngồi xổm lên luật pháp (vi phạm bản quyền), lúc hứng chí thì lại quay ra viết các thể loại ngôn tình sướt mướt, cũng ít nhiều lấy đi nước mắt người đọc và làm xao xuyến trái tím non nớt của nhiều bạn trẻ mới chập chững vào đời. Ôi chao…

Chính vì một trong các nguyên nhân đó mà đợt trước tôi có bị WordPress gọi lên cảnh cáo và yêu cầu rút kinh nghiệm sâu sắc, vì có những hành vi sai trái, không hợp chuẩn mực ứng xử của blogger trong thời gian vừa qua, nếu còn tái phạm chắc bị đình chỉ công tác và thuyên chuyển qua Blogspot, thế nên tôi sợ lắm, không dám manh động nữa, để giữ chắc cái ghế tôi đang ngồi, hoặc âm thầm tự diễn biến, tự chuyển hóa sang một dạng khác, lén lút hơn, tinh vi hơn và dĩ nhiên, có tổ chức hơn.

Nói nhiều như vậy nhưng nó chỉ xoay quanh một chủ thể chính: Những bài viết của tôi. Bởi vì tự nhiên hôm nay tôi giật mình ngồi nhìn lại, thấy trong những năm tháng qua, tôi viết nhiều papers, làm nhiều tuts, cố gắng giữ gìn rồi cũng rơi rụng bớt phần nào, là do mọi thứ thay đổi quá nhanh.

Có những cái host ngày xưa tôi đinh ninh rằng nó trường tồn lắm, như megaupload, rapidshare,…. Nhớ lại nhiều năm về trước, tôi cặm cụi làm rồi up, làm rồi up không ngừng nghỉ, hòng lưu giữ lại những thứ tôi coi là giá trị, những bài viết, những video tôi tự quay, những clip được dàn dựng cắt ghép công phu (tất nhiên là không che),…. Rồi một ngày đẹp trời, đám service provider bông nhiên lăn đùng ngã ngửa ra. Ngoảnh mặt lại, đã thấy mình trắng tay…

Giờ đây, đó đã là “vài năm về trước”, khi tôi còn hoang dại và thơ ngây, những bài viết non nớt. Ấy thế mà đó lại là một phần trong chuyến phiêu du của tôi, ghi lại những dấu ấn nhất định, và tôi rất tôn trọng chúng, chỉ tiếc rằng tôi không giữ nổi. Ngày đó nghèo, cái usb còn không có, chứ không đã lưu lại offline, để sau này truyền lại thành bài học cho con cháu, theo kiểu “Đấy, mày thấy chưa, thằng bố mày ngày xưa trẩu thế này này, đừng dại mà làm theo con nhé”.

Rồi tôi nghe phong phanh thấy thiên hạ đồn rằng up lên Github không sợ bị remove, nên tôi cũng thử một lần cho biết, bởi vì trước đây hình như có thằng cha nào up cả cái bộ IDA (leaked) lên, rồi bị report, Github mới biết và xóa đi. Cho nên chắc cũng ổn.

Xin giới thiệu với các bạn loạt tut về Reversing/Cracking .NET cơ bản dành cho người mới bắt đầu. Loạt tut này trước đây tôi làm rồi bán để lấy tiền mua cây đờn đặng tính học gảy để đờn cho người con gái nọ (đọc xong bài này bạn cuộn chuột lên dầu trang và liếc nhẹ sang bên phải). Thế rồi giờ em đã có người yêu, biết gảy đàn và hát hay, còn tôi thì phiêu bạt chân chời góc bể, đờn vẫn mang theo, những chẳng bao giờ gảy… Đó là cuộc đời…

Xin thứ lỗi, tôi không có ý định viết ngôn tình đâu, nhưng cứ động đến là cảm xúc nó lại cứ phọt ra như vậy đấy. Xin mô tả sơ qua về loạt tut này. Tut này là tut cũ, và tôi có share cách đây một thời gian trong một số channel mật. Thực ra nó không có gì đặc biệt để phải giấu diếm lâu như thế, chỉ bởi vì tôi tôn trọng những người hảo tâm đã mua đám tut này của tôi, nên tôi giữ kín trong một thời gian dài để đảm bảo quyền lợi cho họ. Còn bây giờ thì chắc là khấu hao nó cũng hết, nên tôi mới public.

Loạt tut này thuộc vào dạng “Hết sức cơ bản”, dành cho cả những người chưa biết gì. Trong mỗi tut tôi có cố gắng giải thích cặn kẽ hết sức có thể trong khả năng của tôi. Mỗi tut bao gồm:
– Video hướng dẫn
– Target được sử dụng trong mỗi video (crackme, apps,…)
– Các công cụ, tài liệu có liên quan đến nội dung video
– Bài tập: Các target khác tương tự như target trong video để người đọc sau khi xem xong có thể thực hành lại.

Mục lục:

  1. Gió
  2. Khởi đầu – Reflector và Serial Fishing
  3. Patching (Phiên bản văn minh với Reflexil)
  4. Patching (Phiên bản cồng kềnh với Hex Editor)
  5. Đọc code và Keygen (phần 1)
  6. Đọc code và Keygen (phần 2)
  7. Unpack .NET đơn giản
  8. Unpack .NET cùng Beloved Olly
  9. Tập cách kéo thả cùng de4dot
  10. Tạo keygen ứng dụng thương mại
  11. Vạn kiếm quy tông – Thử lửa với hần mềm đăng kí sim rác

Link download:

https://github.com/levisre/dotnettuts

Hi vọng nó sẽ có ích cho các bạn, ở một khía cạnh nào đó 🙂

Enjoy and best regards,

Levis

P/S: Về loạt bài Flare-on, tôi đình công vì phía FireEyes làm ăn cồng kềnh, gần nửa năm rồi mà không thấy giải thưởng gửi về. Bao giờ tôi nhận được giải thì biết đâu, bằng một biện pháp tâm linh nào đó, tôi lại có hứng để viết tiếp thì sao?

Reverse Engineering .NET – Advanced Patching, Playing with IL

Xin chào các bạn,

Đây là bài viết mới nhất của tôi về Reverse Engineering .NET. Trong bài viết này tôi sẽ nói về IL Code/IL bytecode và cách để patch IL code 1 cách “Advance” thay vì patch true,false thông thường (Cr@cking-related). Hi vọng các bạn sẽ hiểu thêm 1 chút về IL code, và cách mà 1 .NET file lưu trữ IL bytecode và các method như thế nào.

Các bạn có thể đọc bản online tại đây:

Link tải về (cho lưu trữ hoặc đọc offline):

DOWNLOAD LINK GOOGLE DRIVE

Best Regards,

Levis

[Show up] WhiteHat Grand Prix 2014 Final RE400 Challenge

Xin chào các bạn

Đây là 1 video show up tiếp theo, cũng là để kết thúc cho việc writeup GrandPrix.

Bài RE400 này cũng là trích xuất từ 1 loại malware .NET, 1 dạng dropper khá thông dụng, cho nên bên cạnh việc tìm flag, tôi đã cố gắng phân tích nhiều hơn để có thể chia sẻ với các bạn về phương pháp decrypt code, chắc chắn sẽ hữu dụng trong việc phân tích các loại malware .NET sau này.

Tôi đã từng gặp 1 số loại malware sử dụng phương pháp decrypt và drop/execute tương tự (điển hình là con malware được embed trong IDM Silent mà tôi đã có 1 bài phân tích ở ĐÂY).

Thể loại malware .NET càng ngày càng trở nên phổ biên hơn bởi vì chúng được build rất nhanh chóng và dễ dàng, lại được .NET Framework hỗ trợ quá mạnh về mặt tính năng, nên có thể nói là kẻ xấu chỉ cần nghĩ ra ý tưởng, sau đó click, click trong VS và .NET Framework sẽ hoàn thành nốt những gì chúng muốn.

Nếu nói rằng .NET malware không mạnh và nguy hiểm bằng các loại malware native khác, thì cũng không sai, nhưng cũng không hoàn toàn đúng. Cryptographic Locker là 1 loại ransomware tương tự như CryptoLocker, và nó được viết bằng Visual Basic .NET.

Vậy nên, bên cạnh việc tìm flag, hãy chú ý vào phương pháp thực hiện. FIle RE400 và code decrypt các bạn có thể down ở ĐÂY. Và dưới đây là video:

Enjoy and best Regards,

Levis

[Show-up] WhiteHat GrandPrix Final RE300 Challenge

Xin chào các bạn

Mấy bữa trước tôi nhận dược thông báo của BTC kêu réo là viết write-up cho mấy challenge trong phần thi jeopardy. Thực ra cũng không muốn viết đâu nhưng vì BTC gọi điện nhiều quá nên cũng đã write-up tạm bợ trong forum WhiteHat rồi. Nhưng tính tôi là thế, đã không làm thì thôi, đã làm thì phải làm cho hẳn hoi 1 tí. Âu cũng là để lưu giữ lại chút kỉ niệm chơi CTF, và chia sẻ với các bạn.

Tại sao lại gọi là “Show up”? Đơn giản bởi vì tôi không “Write” (viết) mà sẽ “show” (trình diễn, trình bày) cho các bạn thấy. Write-up nhiều quá nên chán rồi, nếu có viết ra nữa thì rất gượng gạo và mang tính đối phó, sẽ không kích thích cho lắm. Đây là 1 file video ghi lại quá trình phân tích, trace và tìm ra flag của bài RE300 (Link Download tại ĐÂY). Target có vẻ như là 1 phần của con malware nào đó được trích xuất ra, edit để embed flag vào trong, vì vậy các chương trình AV có thể sẽ detect và clean ngay lập tức (không phải lỗi của tôi, hãy hỏi BTC, lol xD).

Thôi không nói nhiều nữa, hãy cùng xem video phía dưới nhé:

Anyway, cảm ơn BTC đã tổ chức cuộc thi này để mọi người có thể “xích lại gần nhau hơn”, và tôi cũng đã quen được rất nhiều người bạn mới, và họ đều rất tuyệt vời.

Enjoy and best regards,

Levis

Radare – A Modern Reverse Engineering Framework

Radare is name of a Reverse Engineering Framework with full-featured tools, libraries which aims to create a completely reverse engineering environment for Reversers at any platform. I saw many members of MMD research group was using stuffs in this framework. and they’re really powerful. I think that in future, radare will be the most commonly used toolkit in Reverse Engineering.

Homepage: http://www.radare.org/

Features:
Multi-architecture and multi-platform
GNU/Linux, Android, *BSD, OSX, iPhoneOS, Windows{32,64} and Solaris
i8080, 8051, x86{16,32,64}, avr, arc{4,compact}, arm{thumb,neon,aarch64}, c55x+, dalvik, ebc, gb, java, sparc, mips, nios2, powerpc, whitespace, brainfuck, malbolge, z80, psosvm, m68k, msil, sh, snes, gb, dcpu16, csr, arc
pe{32,64}, te, [fat]mach0{32,64}, elf{32,64}, bios/uefi, dex and java classes
Highly scriptable
Vala, Go, Python, Guile, Ruby, Perl, Lua, Java, JavaScript, sh, ..
batch mode and native plugins with full internal API access
native scripting based in mnemonic commands and macros
Hexadecimal editor
64bit offset support with virtual addressing and section maps
Assemble and disassemble from/to many architectures
colorizes opcodes, bytes and debug register changes
print data in various formats (int, float, disasm, timestamp, ..)
search multiple patterns or keywords with binary mask support
checksumming and data analysis of byte blocks
IO is wrapped
support Files, disks, processes and streams
virtual addressing with sections and multiple file mapping
handles gdb:// and rap:// remote protocols

Filesystems support

allows to mount ext2, vfat, ntfs, and many others
support partition types (gpt, msdos, ..)
Debugger support
gdb remote and brainfuck debugger support
software and hardware breakpoints
tracing and logging facilities
Diffing between two functions or binaries
graphviz friendly code analysis graphs
colorize nodes and edges
Code analysis at opcode, basicblock, function levels
embedded simple virtual machine to emulate code
keep track of code and data references
function calls and syscall decompilation
function description, comments and library signatures
And more…

Download:
Binaries (compiled package) download link:
Binary packages for various platform download page (No ads)
Source code:
Source Code download section (No ads)
Documentations:
Documentation from official website(No ads)
Screenshot radare2 (r2 disassembler) running on Linux: