Guitar Solo - Multimedia - Malware Reverse Engineering - Craking - Make Money Online

Benina

Các Bước Hack Server

Download tại :

http://files.myopera.com/giadinhhuykieun/Hacker/Cac.buoc.hack.server.rar

Benina

Author: NamCr

Bài viết này nhằm giới thiệu với anh em 1 Protecter rất nổi tiếng: Armadillo, các kĩ thuật bảo vệ được sử dụng, điểm mạnh cũng như điểm yếu của chương trình này.

Pro thì chẳng lạ gì, chinh chiến sa trường không ít thì nhiều cũng đã đụng độ, thậm chí unpack ầm ầm, nhưng cũng có những Pro nhìn thấy em này là ngao ngán sự đời, lôi tool ra unpack cho khỏe. Nói như vậy là để cảnh báo anh em newbie mới vào chưa biết, tưởng Armadillo là ngôn ngữ lập trình nữa thì tiêu, nói các lão newbie đừng buồn chứ peid scan ra mà đã báo Armadillo thì các bác lên mạng tìm tool đi là vừa, tool mà bó tay nữa thì các bác quăng nó đi cho rảnh nợ, arm không phải là mục tiêu dùng để bắt đầu sự nghiệp cho các newbie.

Giới thiệu em này 1 chút cho anh em:

Armadillo là 1 trình Protecter, kiêm 2 nhiệm vụ:
NV1. Cái này là nhiệm vụ của packer: nén file (nhằm thu nhỏ dung lượng), cũng như Winrar hay Winzip chương trình cũng có các mức nén khác nhau từ thấp cho đến cao.
NV2. Đây mới là nhiệm vụ chính: bảo vệ file trước sự dòm ngó của cracker, với đủ kiểu kĩ thuật tà đạo, Arm đã khiến không ít cao thủ dừng chân ngay từ bước scan bằng Peid.
Armadillo có thể thao tác trên các định dạng file EXE, SCR, DLL, OCX

Các kiểu bảo vệ của Arm:

Standard protections (hoặc Minimum protections)
Bản chất 2 kiểu bảo vệ này không khác nhau là mấy, kĩ thuật duy nhất mà chương trình sử dụng trong kiểu bảo vệ này là Magic Call (ngày xưa là Magic Jump). Với kĩ thuật này 1 số hàm API sẽ được di dời nhà ở khỏi file được bảo vệ, bỏ lại 1 bảng IAT thủng lỗ chỗ, không cần nói thì các lão cũng tưởng tượng ra, với 1 IAT thiếu sót như vậy và arm là người duy nhất biết địa chỉ di dời (để khi soft cần đến thì còn gọi API ra mà làm việc chớ) thì tiêu diệt arm đồng thời cũng là tiêu diệt soft luôn, arm xuống mồ thì nó cũng mang theo bí mật về hững hàm API còn thiếu, còn chúng ta thì chỉ biết ngậm ngùi đứng khóc.
Tuy nhiên kĩ thuật này tỏ vẻ vô dụng đối với các Unpackme, đơn giản là vì Unpackme sử dụng quá ít các hàm API, Unpacker sẽ không mất quá nhiều thời gian để vá lại các chỗ còn thiếu. Còn đối với Soft sử dụng hàm trăm API thì vá bằng tay những gì còn thiếu không điên thì cũng quá là dư sức.

Phương pháp xử lí kiểu Protect này rất đơn giản: Diệt Magic Call là xong
Standard protections là kiểu bảo vệ mặc định cho các dự án mới khi khởi tạo bảo vệ.
Lưu ý: Dù sử dụng kiểu Protect nào đi nữa thì Magic call luôn được dử dụng (có 1 vài ngoại lệ không nhiều lắm)

Debugger-Blocker:
Kĩ thuật này tạo ra 2 Process trong bộ nhớ (1 cha và 1 con), nếu bạn bật Task Manager lên và thấy soft đang chạy với 2 Process có cùng tên mặc dù không đảm bảo 100% nhưng Arm chính là thứ cần nghi ngờ đầu tiên.
Với kĩ thuật này Process cha sẽ tạo ra, chăm nom và bảo vệ thằng con khỏi các Debugger tấn công (và chỉ lo có ngần đó việc mà thôi), trong khi đó thằng con sẽ thi hành chức năng của soft như bình thường. Kĩ thuật này hạn chế Debugger ở chỗ không thể nào can thiệp vào quá trình hoạt động của thằng con khi mà 2 "cha con" vẫn còn liên hệ với nhau.

Phương pháp tiêu diệt: rất đơn giản, xài tools, bạn có thể dùng tay nếu thích, tuy nhiên dùng tay mất rất nhiều thời gian và hay hư hỏng, không an toàn như dùng soft. Tuy nhiên dùng tay hay dùng soft cũng có nguyên lý làm việc như nhau: Patch thằng con tại EP (lệnh EB FE) để nó "chạy tại chỗ", trong khi đó thì ngắt kết nối cha-con, sau khi ngắt thì thằng con không còn được bảo kê nữa, ta có thể mần thịt.

Strategic Code Splicing: Chiêu này gọi là chiêu ăn trộm, Armadillo sẽ chôm chỉa 1 vài đoạn code của chương trình, đá văng đoạn code này sang 1 vùng nhớ bất trì trong bộ nhớ, sau đó thay vào vị trí đoạn code bị chôm 1 lệnh nhảy hoặc hàm call gọi đến đoạn code đã bị di dời. Chiêu này có 2 lợi thế, 1 là chương trình vẫn hoặt động bình thường (do đoạn lệnh di dời vẫn được thực thi qua lệnh Jump hoặc hàm call gọi tới), thứ 2 là nó chống được việc chúng ta dump. Khi dump file như bình thường thì chúng ta chỉ dump được hàm call hay lệnh jump nhảy tới mà thôi, đoạn code đã nằm ở 1 vùng nhớ khác và không được dump xuống --> như vậy là soft thiếu code sẽ không chạy bình thường được

Fix: có 2 cách xử lý em này
Cách 1: tìm vùng nhớ nơi mà đám code lạc đàn đang cư ngụ, dump thêm chúng xuống, nối nó vào file dump của soft, Fix IAT sau đó vá lại các hàm call và lệnh jump cho khớp nữa là xong.
Cách 2: Xài tool, chúng ta cung cấp các thông tin cần thiết và tool sẽ mang những đoạn code trở về chỗ cũ, như vậy chương trình sẽ quay về dạng ban đầu trước khi được bảo vệ, cách làm này thường nhanh và ít thiếu sót hơn.

Import Table Elimination:
Có tác dụng tương tự như Strategic Code Splicing, nhưng thằng này thao tác với API thay vì code. Cách hoạt động cũng tương tự, đá văng các hàm API đi khắp nơi khiến chúng ta không tìm được bản IAT đầy đủ, không fix được file dump. Tuy nhiên không như Strategic Code Splicing chỉ đưa các đoạn code vào 1 vùng nhớ, Import Table Elimination đưa các API đi khắp nơi trong bộ nhớ, số lượng các API cũng quá nhiều, do vậy cách fix như cách 1 của Strategic Code Splicing không thể áp dụng ở đây, chỉ còn cách 2 đó là đưa các API trở về chỗ cũ, với lượng API quá lớn xài tool là điều không tránh khỏi.

Công nghệ Anti-dumping protections: Không phải chống chúng ta Dump xuống đâu, nó vẫn cho ta dump, nhưng dump xuống 1 đống ....rác
Bao gồm các kiểu bảo vệ sau:

CopyMem-II:
Chỉ có thể áp dụng khi có Debug Blocker, dường như nhận thấy Debug Blocker hơi sơ sài, Arm tăng cường thêm công nghệ

CopyMem II, thằng này trang bị cho Process cha, nó sẽ phá nát OEP của Process con, thay vào đó 1 đống code chẳng đâu vào đâu nhằm tránh việc Dump file, và dĩ nhiên chỉ có Process cha mới biết cách mã hóa trở lại như cũ, điều này thực sự khó chịu vì cho dù có mò được đến OEP của Process con thì nó cũng đã bị phá nát, dump xuống cũng chỉ là 1 đống rác mà thôi.

Tiêu diệt: cái này có rắc rối hơn 1 chút, căn bản là thế này:
[B]Bước 1:/[B] dùng tool để loại bỏ CopyMem (dùng tay cũng được tuy nhiên khá vất vả), chúng ta sẽ đứng ngay tại OEP của process con, 1 OEP nguyên vẹn, nhưng IAT đã bị phá nát (do Magic call và có thể kèm theo các kĩ thuật sắp nói bên dưới)
Bước 2: vẫn dùng tool, nhưng chỉ tiêu diệt Debug Blocker,sau đí lần lượt xử lí Magic call, kill các kĩ thuật khác nếu có, lần tới OEP, dĩ nhiên OEP đã tòe loe dưới tác dụng của Copymem, tuy nhiên chúng ta lại có bảng IAT nguyên vẹn.
Bước 3: Vá IAT nguyên vẹn ở bước 2 vào OEP nguyên vẹn ở bước 1, chúng ta có 1 chương trình ngon lành. hehe

Nanomites:Vẫn phải đi kèm Debug Blocker tuy nhiên CopyMem có hay không gì cũng được, được hãng dùng dưới cái tên: Enable Selected Code Encryption (Nanomites), trong tài liệu đi kèm không thấy nhắc nhỏm gì nhiều tới em này (chắc là muốn giấu ). Theo tui được biết Nano là tuyến phòng ngự cuối cùng của Armadillo, bất chấp các kiểu kĩ thuật khác đã bị vô hiệu hóa, file được Nano bảo kê cho dù đã được fix IAT và OEP ngon lành vẫn không tài nào chạy được, nếu load trong Olly sẽ nhìn thấy rất nhiều các lệnh ngắt INT3 khiến soft chết đứng ngay tại những câu lệnh đầu tiên( có hàng ngàn cái INT3 như vậy rải rác khắp nơi trong chương trình).

Phần tiêu diệt: Tui chưa thấy ai vá Nano bằng tay hết, thường là xài tool. Lý thuyết khá lằng nhằng, bản thân tui cũng không biết phải dịch ra sao cho đúng ý nữa.

Các kiểu bảo vệ đi kèm:
Memory-Patching Protections: chống patch trong bộ nhớ, Loader mà gặp em này coi như tiêu
Random PE Section Names: cái tên nói lên tất cả rồi, kĩ thuật này gây khó chịu trong Unpack nhiều hơn là có chức năng bảo vệ
SoftICE Detection: phát hiện SoftIce, chúng ta xài olly không cần sợ

Nhược điểm cơ bản của Armadillo:

Đầu tiên, nếu tui là giám đốc công ty này tui sẽ đuổi hết mấy thằng cha lo vụ antidebug, arm có cơ chế antidebugger quá đơn giản, chỉ cần 1 bản mod olly, 1 vài plugin là qua mặt ngon lành. Két sắt có tốt tới mấy mà cứ mở rộng cửa cho trộm thử phá thì kiểu gì cũng thua, vấn đề là bao lâu thôi.

Thứ 2: Arm có các kiểu bảo vệ rất tốt, nhưng cái giá phải trả chính là tốc độ thực thi của chương trình, Debug Blocker, copymem, Strategic Code Splicing, Import Table Elimination, Nanomites đều là những sát thủ tốc độ cực tốt, soft được bảo vệ với tất cả tùy chọncủa Arm sẽ "bò" chứ không chạy, quá trình khởi động rất lâu, quá trình hoạt động cũng rất chậm, vì vậy mà các hãng phần mềm chẳng ai dại mà chọn hết kiểu bảo vệ cho soft của mình cả, điều này làm arm mạnh nhưng không phát huy hết được sức mạnh của mình

Thứ 3: File được pack có dung lượng quá lớn, nhiều khi còn lớn hơn cả file gốc, điều này là do mức nén thấp trong khi đó arm lại thêm khá nhiều mã lệnh vào soft để thực hiện chức năng Protect của mình

Link:http://cin1team.biz/showthread.php?t=123

Benina

System Explorer (Download)
Quan Sát và Diệt Malware triệt để hơn.
--------

Các tính năng:

_ Quản lý Process tương tự Task Manager

_ “Hide All Microsoft Entries” (ẩn các process “an toàn” của Windows) giúp kiểm tra Process lạ dễ dàng hơn.

_ Autorun – StartUp : giúp kiểm tra các ứng dụng khởi động cùng Windows.

_ Monitoring - Modules : xem những file *.dll đã đang được Load. Từ đây mình có thể "nghi ngờ" những file dll lạ, hoặc đôi khi có thể dựa vào nội dung của 2 cột (Product Name & Company Name) (thường nên nghi ngờ những dll nào trống 2 cột này).

_ Monitoring - Connections : liệt kê các cổng kết nối internet.

*** Monitoring - SnapShot : Chức năng quan trọng nhất của System Explorer trong việc quan sát Malware.

--------------

Các bước quan sát Malware bằng SnapShot của System Explorer:

Bước chuẩn bị) Nên tắt hết các chương trình khác nhằm tăng tốc độ quan sát và giảm bớt kết quả, sẽ tiện hơn khi đọc Log file.
Tắt hết như thế này càng tốt.

Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên.
Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé)

Bước 1) Chụp tấm ảnh thứ 1 về thông tin File & Registry toàn máy tính:

Bước 2) Tiến hành cho dính Malware vào máy tính.
Malware khi được kích hoạt, sẽ tạo - xóa - sửa các Files - Folders - Registry.
Tùy vào mỗi loại Malware mà chúng sẽ tạo - xóa - sửa những gì trong những khoảng thời gian nào.

Bước 3) Tiếp tục chụp tấm ảnh thứ 2 về thông tin File & Registry toàn máy tính:

Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files - Folders - Registry khác nhau trong những khoảng thời gian khác nhau, nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới tiến hành chụp tiếp tấm ảnh thứ 2 này.
Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 ....

Bước 4) So sánh 2 tấm ảnh đã chụp với nhau: (dưới đây mình cho dính thử malware Phimnguoilon.exe)

This image has been resized. Click this bar to view the full image. The original image is sized 939x744.

Bước 5) Đã nắm thông tin Malware tạo - xóa - sửa các Files - Folders - Registry chỗ nào, ta bắt đầu:
_ Tiến hành tắt tiến trình (process) của Malware.
_ Xóa các File - Folder - Registry Key do Malware tạo.
_ Hồi phục lại các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi).

*** Chú ý: Nếu gặp loại Malware nào khó có thể xóa trong Windows. Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy được từ Snapshots).
Đây chỉ là công cụ hỗ trợ diệt Malware bằng tay. Và nên nhớ rằng, Malware nào lây file thì khó có thể giải quyết bằng tay được.

--------------
+ Định nghĩa thêm về 2 từ "Malware":
Đó là từ gọi chung, là "Phần mềm độc hại".
Nó bao gồm : Virus (PE lây file), Worm, Trojan, gộp luôn Spyware, Adware ...

Link: http://flobg88.blogspot.com/2009/08/tut-dung-system-explorer-e-quan-sat.html

Benina

Hiện nay, ngày càng có nhiều loại malware mới tinh vi hơn, độc hại hơn xuất hiện. Ai cũng có thể biết đến những tác hại mà malware gây ra, nhưng không phải ai cũng biết đến cách thức hoạt động của chúng. Bài viết này sẽ điểm ra 10 loại malware được cho là nguy hiểm nhất từ trước tới nay.

Dưới đây là một số thuật ngữ được sử dung jtrong bài viết:

Malware: là một phần mềm độc hại được viết ra chuyên để xâm nhập và phá hủy hệ thống máy tính mà người dùngkhông hề hay biết.
Malcode: là một mã lập trình độc hại được giới thiệu trong suốt giai đoạn phát triển của một ứng dụng phần mềm và thường liên quan tới số lượng malware.
Anti-malware: Bao gồm những chương trình chống lại malware, giúp bảo vệ, phát hiện và gở bỏ malware. Ứng dụng antivirus, anti-spyware và ứng dụng phát hiện malware là những ví dụ của anti-malware.

1. Virus

Virus máy tính là một malware có thể lây nhiễm nhưng phải dựa vào những phương tiện khác để phát tán. Một loại virus thật sự có thể lan tràn từ những máy tính bị nhiễm tới một máy tính chưa nhiễm bằng cách đính một mã vào file thực thi được truyền qua nhau. Ví dụ, một virus có thể ẩn trong một file PDF được đính vào một email. Hầu hết virus đều gồm có 3 thành phần sau:

Replicator: Khi kích hoạt chương trình chủ thì đồng thời virus cũng được kích hoạt, và ngay lập tức chúng sẽ phát tán malcode.
Concealer: Biện pháp virus sử dụng để lẩn tránh anti-malware.
Payload: Lượng malcode của một virus có thể được sử dụng để hủy chức năng của máy tính và phá hủy dữ liệu.

Một số mẫu virus máy tính gần đây gồm W32.Sens.A, W32.Sality.AM, và W32.Dizan.F. Hầu hết những phần mềm chống virus tốt sẽ gỡ bỏ virus khi chúng được đăng ký.

2. Sâu (Worm)

Sâu máy tính tinh vi hơn nhiều so với virus. Chúng có thể tự tái tạo mà không cần tới can thiệp của người dùng. Malware sẽ giống sâu hơn virus nếu sử dụng Internet để phát tán. Những thành phần chính của sâu bao gồm:

Penetration tool: Là malcode khai thác những lỗ hổng trên máy tính của nạn nhân để dành quyền truy cập.
Installer: công cụ thâm nhập giúp sâu máy tính vượt qua hệ thống phòng thủ đầu tiên. Lúc đó, installer đưa và chuyển thành phần chính của malcode vào máy tính của nạn nhân.
Discovery tool: Khi đã xâm nhập vào máy, sâu sử dụng cách thức để truy lục những máy tính khác trên mạng, gồm địa chỉ email, danh sách máy chủ và các truy vấn DNS.
Scanner: Sâu sử dụng một công cụ kiểm tra để xác định những máy tính mục tiêu mới trong penetration tool có lỗ hổng để khai thác.
Payload: Lượng malcode tồn tại trên mỗi máy tính của nạn nhân. Những malcode này có thể từ một ứng dụng truy cập từ xa hay một key logger được dùng để đánh cắp tên đăng nhập và mật khẩu của người dùng.

Thật không may loại malware này lại sinh sôi rất nhanh. Khởi đầu với sâu Morris vào năm 1988 và hiện nay là sâu Conficker. Hầu hết sâu máy tính có thể gỡ bỏ bằng chương trình quét malware, như MBAM hay GMER.

3. Backdoor

Backdoor giống với những chương trình truy cập từ xa mà chúng ta thường sử dụng. Chúng được coi như malware vì khi cài đặt mà không cần được cho phép, đây lcách mà tin tặc sử dụng, theo các phương thức sau:

Khai thác lỗ hổng trên máy tính mục tiêu.
Bẫy người dùng cài đặt backdoor thông qua một chương trình khác.

Sau khi được cài đặt, backdoor cho phép tin tặc toàn quyền kiểm soát từ xa những máy tính bị tấn công. Những loại backdoor, như SubSeven, NetBus, Deep Throat, Back Orifice và Bionet, đã được biết đến với phương thức này.

4. Trojan horse

Theo Ed Skoudis và Lenny Zelter, Trojan horse là một chương trình thoạt nhìn có vẻ hữu dụng nhưng trong nó lại ẩn chứa nhiều “tính năng” độc hại.

Trojan horse malware chứa đựng nhiều payload cản trở cài đặt và chạy chương trình, như ngăn cản malware nhận ra malcode. Một số kĩ thuật che giấu bao gồm:

Đổi tên malware thành những file giống với file bình thường trên hệ thống.
Cản trở cài đặt anti-malware để không thể thông báo vị trí của malware.
Sử dụng nhiều loại mã khác nhau để thay đổi đăng ký của malware nhanh hơn những phần mềm bảo mật.

Vundo là loại Trojan horse điển hình. Nó tạo ra nhiều quảng cáo popup để quấy rối những chương trình chống spyware, làm suy giảm khả năng thực thi của hệ thống và cản trở trình duyệt web. Đặc biệt, nó cản trở cài đặt chương trình quét malware trực tiếp đĩa CD.

5: Adware/spyware

Adware là phần mềm tạo ra trình đơn quảng cáo popup mà không có sự cho phép của người dùng. Adware thường được cài đặt bởi một thành phần của phần mềm miễn phí. Ngoài việc làm phiền, adware có thể làm giảm đáng kể sự thực thi của máy tính.
Spyware là một phần mềm thực hiện đánh cắp thông tin từ máy tính mà người dùng không hề hay biết. Phần mềm miễn phí thường có rất nhiều spyware, vì vậy trước khi cài đặt cần đọc kĩ thỏa thuận sử dụng. Một trường hợp đáng chú ý nhất về spyware liên quan tới vụ tai tiếng chống copy đĩa CD BMG của Sony.

Đa số những chương trình chống spyware tốt sẽ nhanh chóng tìm ra và gỡ bỏ adware/spyware khỏi máy tính. Bạn cũng nên thường xuyên xóa những file tạm, cookies và history từ chương trình trình duyệt Web.

Malware stew

Cho đến nay, tất cả các loại malware được biết đến đều khá khác nhau, giúp có thể phân biệt từng loại. Tuy nhiên, loại malware stew này không giống như vậy. Những người viết nó đã nghiên cứu làm thể nào để kết hợp những đặc tính tốt nhất của nhiều loại malware khác nhau để nâng cao khả năng của nó.

Rootkit là một ví dụ điển hình của loại malware này, nó gồm các đặc tính của một Trojan horse và một Backdoor. Khi được sử dụng kết hợp, tin tặc có thể giành quyền kiểm soát máy tính từ xa mà không bị nghi ngờ.

Rootkits

Rootkit là loại hoàn toàn khác biệt, chúng thường sửa đổi hệ điều hành hiện thời thay vì bổ sung những phần mềm ở mức ứng dụng mà những loại malware khác thường làm. Điều này rất nguy hiểm bởi vì những chương trình chống malware sẽ rất khó phát hiện được chúng.

Có nhiều loại rootkits, trong đó có 3 loại được cho là nguy hiểm nhất, gồm: user-mode, kernel mode và firmware rootkits.

6. User-mode rootkits

User-mode gồm những đoạn mã giới hạn truy cập vào tài nguyên phần mềm và phần cứng trên máy tính. Hầu hết những mã chạy trên máy tính sẽ chạy trên chế độ user-mode. Vì truy cập bị giới hạn nên những phá hủy trong user-mode là không thể phục hồi.

User-mode rootkit chạy trên máy tính với quyền admin. Điều đó có nghĩa:

User-mode rootkits có thể thay đổi tiến trình, file, ổ hệ thống, cổng mạng và thậm chí là dịch vụ hệ thống.
User-mode rootkit tự duy trì cài đặt bằng cách sao chép những file yêu cầu vào ổ cứng máy tính và tự động khởi chạy mỗi khi hệ thống khởi động.

Hacker Defender là một user-mode rootkit điển hình. Loại rootkit này và nhiều loại khác bị phát hiện và gở bỏ bởi ứng dụng nổi tiếng của Luckily Mark Russinovich.

7. Kernel-mode rootkits

Kernel-mode gồm những mã hủy giới hạn truy cập vào mọi tài nguyên phần cứng và phần mềm trên máy tính. Kernel-mode thường được dùng để lưu trữ những chức năng tin cậy nhất của hệ điều hành. Những hủy hoại trong kernel-modecũng không thể phục hồi.

Từ khi rootkit chạy trong chế độ user-mode bị phát hiện và gỡ bỏ, những người lập trình rootkit đã thay đổi tư duy và phát triển kernel-mode rootkit. Kernel-mode có nghĩa là rootkit được cài đặt đồng mức với hệ thống và những chương trình phát hiện rootkit. Vì vậy rootkit có thể làm cho hệ thống không còn đáng tin cậy nữa.

Không ổn định là một dấu hiệu sa sút của hệ thống một kenel-mode rootkit gây ra, thậm chí dẫn đến những hủy hoại không rõ nguyên nhân hay treo màn hình. Lúc đó, bạn nên thử GMER, một trong số ít công cụ gỡ bỏ rootkit có thể tin cậy, để chống lại kernel-mode rootkit như Rustock.

8. Firmware rootkits

Firmware rootkit là loại rootkit cài đặt tinh vi vì những người phát triển loại rootkit này đã nghiên cứu phương pháp lưa trữ malcode của rootkit trong firmware. Mọi firmware đều có thể bị thay đổi, từ mã vi xử lý cho tới firmware của khe cắm mở rộng. Điều đó có nghĩa:

Khi tắt máy, rootkit ghi malcode hiện thời vào những firmware khác nhau.
Khi khởi động lai máy tính rootkit cũng tự thực hiện cài đặt lại.

Thậm chí, nếu một chương trình phát hiện và gỡ bỏ được firmware rootkit, thì lần khởi động máy tính sau, firmware rootkit này vẫn xuất hiện hoạt động trở lại bình thường.

9. Malicious mobile code (Mã độc di động – MMC)

MMC nhanh chóng trở thành phương pháp cài đặt malware vào máy tính hiệu quả nhất. Chúng có thể:

Chiếm quyền máy chủ từ xa.
Di chuyển trong mạng.
Tải và cài đặt trên một hệ thống cục bộ

MMC gồm Javascript, VBScript, ActiveX Controls và Flash Animations. Mục đích chính rất dễ nhận ra của MMC là cách thức hoạt động, nó làm nội dung trang của trình duyệt web trở nên tương tác hơn.

Tại sao MMC lại độc hại? Vì việc cài đặt nó không cần đến sự cho phép của người dùng và gây hiểu lầm cho nguời dùng. Ngoài ra nó thường là bước đệm cho một cuộc tấn công kết hợp giống như công cụ xâm nhập mà Trojan horse malware sử dụng. Sau đó tin tặc có thể tiến hành cài đặt thêm nhiều malware.

Cách tốt nhất để chống lại MMC là luôn cập nhật hệ thống và tất cả chương trình phụ.

10. Blended threat (Mối đe dọa hỗn hợp)

Malware được cho là một blended threat khi nó gây ra những tổn hại lớn và phát tán nhanh chóng thông qua những phần kết hợp của nhiều malcode có mục tiêu riêng. Blended threat xứng đáng là mối lo ngại đặc biệt vì nhiều chuyên gia bảo mật cho rằng chúng là “những chuyên gia trong công việc của chúng”. Một blended threat điển hình có thể:

Khai thác và tạo ra nhiều lỗ hổng.
Sử dụng nhiều phương thức tái tạo khác nhau.
Tự động chạy mã hủy can thiệp của người dùng.

Ngoài ra, blended threat malware có thể gửi một email dạng HTML nhúng Trojan horse cùng với một file PDF đính kèm chứa một loại Trojan horse khác. Một số loại blended threat khá quen thuộc là Nimda, CodeRed và Bugbear. Để gỡ bỏ blended threat khỏi máy tính cần đến nhiều chương trình chống malware, cũng như sử dụng chương trình quét malware được cài đặt chạy trực tiếp từ đĩa CD.

Xian (Theo TechRepublic)

Benina

Link: http://flobg88.blogspot.com/2009/08/huong-dan-gui-full-log-e-tim-diet.html

Giới thiệu:

Ngày nay, nhiều dòng Malware mới dễ dàng qua mặt những Antivirus mạnh bằng cách dùng kĩ thuật Rootkit.
Một số AntiVirus nổi tiếng có kèm chức năng tìm diệt Rootkit nhưng cũng chỉ ở mức vừa. Bởi thế, gặp những Malware dùng Rootkit mạnh sẽ gây khó khăn cho Antivirus. Antivirus lúc ấy chỉ bắt được đàn em lâu la của Malware (không được bảo vệ bởi rootkit).

Tôi mở topic này để hướng dẫn các bạn cách lấy được nhiều Log (thông tin) trong máy hơn, và chú trọng ở mảng Rootkit.
Từ bộ Log đồ sộ đó, nhiều khả năng sẽ thấy được Rootkit để trừ khử nó "bằng tay", làm nhẹ gánh cho Antivirus trong việc trừ khử Malware.

Tôi mạn phép xóa Topic "Lấy log HijackThis" bên kia, gộp chung qua bên này. Ai có nhã hứng với HijackThis.Log thì nó có ở file "log.txt" nằm trong thư mục Rsit của bộ log.

Thời gian để lấy Full Log này hơi lâu (khoảng gần nửa tiếng, nhưng thao tác ít, chỉ cần ngồi chờ thôi).
Bù lại sẽ có được bộ Log khá chi tiết.
Nếu ai thực sự quan tâm đến việc trừ khử triệt để Malware trong máy mình thì nên có bộ Log này.

-----------

Lưu ý: Trong suốt quá trình từ lúc bắt đầu lấy Full Log cho tới khi diệt Malware xong, yêu cầu các bạn không tự ý cài thêm Removal Tool hoặc Antivirus để cố gắng diệt Malware, vì có thể sẽ làm sai lệch thông tin một cách mà chúng tôi khó giải thích. Điều đó gây bất lợi cho việc tìm diệt chính xác và triệt để Malware trong máy bạn.

-----------

Dọn rác trước:

Tắt tất cả các chương trình trên các cửa sổ màn hình

1) Tải ATF Cleaner vào desktop
Chạy ATF-Cleaner.exe, chọn Select All, click Empty Selected.

2) Cài đặt Ccleaner
Chạy Ccleaner và click "Run Cleaner".

-----------

Bắt đầu lấy Full Log:

1) Tải MGtools.exe và save vào thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy nó.
Khi chạy, nó hỏi gì thì cứ Yes - OK - Continue ...
Chạy xong (Finish), bạn upload file MGLogs.zip ở cùng ổ đĩa và đưa link lên đây.

2) Tải GetSystemInfo
Tắt tất cả các chương trình mà bạn đang dùng, chỉ chừa lại các chương trình về security (Antivirus,Firewall..)
Chạy file GetSystemInfo.exe, chọn Settings, chọn Maximum => OK => Create report.
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link lên đây.

3) Tải AVZ
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start.
Sau khi Update xong, trở lại màn hình chính của AVZ, click chọn tất cả các ổ đĩa trong máy bạn, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start.
Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link lên đây .

4) Tải và chạy GMER.exe
Khi chạy, nếu Gmer hỏi bạn chọn NO. Sau đó thiết lập và làm theo như hình (ở hình chỉ chọn ổ C:\ vì ổ C:\ là ổ cài Win).

Scan xong thì click Save và đặt tên là "gmer.txt".
Upload file này và đưa link lên đây.

5) Tải vào Desktop và chạy RootRepeal.exe
Chọn tab Files, chọn Scan , chọn tiếp tất cả các ổ trong máy rồi OK.
Chạy xong,click Save report , save với tên RootRepeal.txt , upload và đưa link file này lên đây.

6) Tải vào Desktop và chạy DDS
Nén, Upload và đưa link 2 file DDS.txt , Attach.txt lên đây.

7) Tải vào Desktop và chạy RSIT
Chạy xong, nén 2 file info.txt và log.txt, upload và đưa link lên đây.

8) Tải vào Desktop và chạy SystemScan.exe
Chọn Scan Now.
Scan xong, upload và đưa link file *report.zip vừa được tạo ra lên đây.

---------

Nếu bạn nào cảm thấy máy ổn và chỉ muốn kiểm tra sơ thôi, thì chỉ cần làm bước 7 (trong ấy có kèm HijackThis.log).

Benina

Link: http://forum.bkav.com.vn/showthread.php?t=132
Author:

Wave_Alpha

Hiện nay, ý thức cảnh giác trước mối nguy hiểm từ virus của chúng ta chưa cao nên chúng ta thường coi việc cài đặt Windows đã hoàn thành khi setup xong Windows, vào được màn hình Desktop. Chúng ta đã quên mất còn một việc rất quan trọng đó là cài đặt bản vá lỗi cho Windows.
Chúng ta hãy hình dung, việc setup Windows như là việc xây nhà, còn việc cài đặt bản vá lỗi là việc chúng ta xây cửa, lắp khoá... đảm bảo an toàn cho ngôi nhà của mình.

Mặc dù Microsoft đã cho ra mắt Windows Vista và Windows7 nhưng số lượng máy tính cài đặt Windows XP vẫn còn rất nhiều. Vì vậy trong bài viết này mình hướng dẫn bạn cách kiểm tra xem máy tính của mình đã cập nhật bản vá lỗi cho hệ điều hành chưa. Cụ thể, mình hướng dẫn bạn kiểm tra xem máy tính đã được cài đặt bản vá lỗi chống sự xâm nhập của virus Conficker, OnGamesJIFdll01, OnlinegameDMBG và các loại virus lây lan qua lỗ hổng bảo mật của Windows XP. Các bước tiến hành:

_ Bước 1: Vào Control Panel, tick vào mục Show Updates.

_ Bước 2: Kiểm tra trong danh sách phần mềm cài đặt trên máy đã có bản cập nhật có tên: Security Update for Windows XP (KB958644)

Nếu bạn thấy trong danh sách phần mềm trên máy đã có tên bản update này có nghĩa là máy tính của bạn đã cài đặt thành công bản vá lỗi.
Nếu bạn không thấy, bạn có thể kick vào những đường link dưới đây để download bản vá lỗi tương ứng với hệ điều hành bạn đang sử dụng:

Windows XP Service Pack 2 / Windows XP Service Pack 3

http://download.microsoft.com/downlo...44-x86-ENU.exe

Windows XP Professional x64 Edition / Windows XP Professional x64 Edition Service Pack 2

http://download.microsoft.com/downlo...44-x64-ENU.exe

Windows Vista / Windows Vista Service Pack 1

http://download.microsoft.com/downlo...958644-x86.msu

Windows Vista x64 Edition / Windows Vista x64 Edition Service Pack 1

http://download.microsoft.com/downlo...958644-x64.msu

Windows 2000 Service Pack 4

http://download.microsoft.com/downlo...44-x86-ENU.EXE

Windows Server 2003 Service Pack 1 / Windows Server 2003 Service Pack 2

http://download.microsoft.com/downlo...44-x86-ENU.exe

Windows Server 2003 x64 Edition / Windows Server 2003 x64 Edition Service Pack 2

http://download.microsoft.com/downlo...44-x64-ENU.exe

Windows Server 2003 with SP1 for Itanium-based Systems / Windows Server 2003 with SP2 for Itanium-based Systems

http://download.microsoft.com/downlo...4-ia64-ENU.exe

Windows Server 2008 for 32-bit Systems

http://download.microsoft.com/downlo...958644-x86.msu

Windows Server 2008 for x64-based Systems

http://download.microsoft.com/downlo...958644-x64.msu

Windows Server 2008 for Itanium-based Systems

http://download.microsoft.com/downlo...58644-ia64.msu

__________________

Benina

1. Thông tin chung

Sâu Conficker sử dụng nhiều kỹ thuật để phát tán như phát tán qua USB, qua giao thức HTTP, qua khai thác lỗ hổng hệ điều hành... Điều này cho phép Conficker có khả năng phát tán mạnh. Bài viết này sẽ đề cập đến kỹ thuật lây lan của Conficker lợi dụng lỗ hổng của hệ điều hành, cụ thể là khai thác lỗ hổng MS08-067 trong dịch vụ Server Service của hệ điều hành Windows.

2. Mô tả chi tiết lỗ hổng trong MS08-067

Tháng 10/2008, ngay sau khi Microsoft công bố khẩn cấp bản vá MS08-067, Bkis đã có bài viết mô tả sơ lược về lỗi cũng nhưng khuyến cáo cập nhật bản vá tới người sử dụng máy tính tại Việt Nam. Trong bài viết lần này, chúng tôi sẽ mô tả chi tiết hơn về lỗ hổng trong MS08-067.

Giao thức RPC của dịch vụ Server Service trong Windows hỗ trợ một thủ tục được gọi từ xa và xử lý các yêu cầu đổi đường dẫn (ví dụ \\C\Program Files\..\Windows) về định dạng đường dẫn Canonicalization ngắn gọn hơn (\\C\Windows). Tuy nhiên, với một đường dẫn quá dài, Windows xử lý không tốt dẫn đến tràn bộ đệm.

Cụ thể, Windows (svchost process) sử dụng hàm NetpwPathCanonicalize trong thư viện netapi32.dll để thực hiện chức năng kể trên. Đây là Pseudo-code (đoạn mã mô phỏng) :

Code:

    func _NetpwPathCanonicalize(wchar_t* Path)
   {
   // kiểm tra độ dài của Path
   if( !_function_check_length(Path) )
   return;
   …
   _CanonicalizePathName(Path);
   …
   return;
   }

   func _CanonicalizePathName(wchar_t* Path)
   {
   // Bảo vệ Stack với cookie - /GS
   _save_security_cookie();
   …
   wchar _wcsBuffer[420h];
   …
   // đây chính là hàm gây tràn bộ nhớ
   wcscat(wcsBuffer,Path);
   …
   // Hàm chuyển đổi
   _ConvertPathMacros(wcsBuffer);
   …
   return;
   }

Theo Pseudo-code trên thì hàm NetpwPathCanonicalize() đã thực hiện kiểm độ dài của đường dẫn đưa vào hàm CanonicalizePathName(). Tuy nhiên, hàm CanonicalizePathName() lại sử dụng wcscat để thực hiện copy đường dẫn vào biến cục bộ (wcsBuffer). Điều này dẫn đến vấn đề là hàm này sẽ không bị tràn trong lần thực thi đầu tiên nhưng sẽ bị tràn trong các lần gọi tiếp sau, ví dụ nội dung của wcsBuffer trong các lần gọi như sau :

- Lần 1 : wcsBuffer = “\\a\aaaaa\aaaa\..\..\a”
- Lần 2 : wcsBuffer = “\\a\aaaaa\aaaa\..\..\a\\a\aaaaa\aaaa\..\..\a ”
- Lần 3 : wcsBuffer = “\\a\aaaaa\aaaa\..\..\a\\a\aaaaa\aaaa\..\..\a\\a\a aaaa\aaaa\..\..\a”
- …

Như vậy, chắc chắn có thể gây tràn Server Service bằng một vài lời gọi hàm NetpwPathCanonicalize() từ xa với độ dài đường dẫn hợp lý.

Tuy nhiên, để khai thác lỗ hổng này Conficker gặp phải hai rào cản:

*

Cookie : Vấn đề thực sự là hàm CanonicalizePathName() được build với tham số /GS. Điều này nhằm bảo vệ hàm với một cookie đặt trước địa chỉ trả về. Bất cứ khi nào địa chỉ trả về bị ghi đè, cookie cũng bị ghi đè và hệ thống biết được hàm bị tràn.
*

DEP : Tiến trình của Server Service là svchost.exe được mặc định bảo vệ bởi cơ chế DEP. Vì thế nếu Shellcode đặt trên stack thì DEP không cho phép thực thi lệnh.

3. Conficker sử dụng những kỹ thuật khai thác nào ?

Trong Pseudo-code, hãy chú ý đến một hàm sử dụng trong CanonicalizePathName(). Microsoft gọi hàm này là ConvertPathMacros(). Hàm này không kiểm tra cookie nên Conficker đã lợi dụng nó để chuyển điều khiển tới Shellcode.

Còn việc vượt qua cơ chế bảo vệ DEP, Conficker lợi dụng hàm ZwSetInformationProcess() để tắt (disable) DEP ở chế độ runtime. Sau đó, Conficker mới chuyển điều khiển đến Shellcode nằm trên stack.

Các hàm trên đều đã được gọi sẵn trong thư viện AcGenral.dll được nạp bởi shvshost, vì vậy Conficker chỉ cần sử dụng thư viện này để vượt qua cả hai cơ chế bảo vệ trên.

Hệ điều hành có thể bị Conficker tấn công khai thác MS08-067 là các hệ điều hành Windows XP SP2, SP3 và Windows 2003 SP1, SP2. Chúng tôi, một lần nữa, khuyến cáo người sử dụng cần nhanh chóng thực hiện việc cập nhật các bản vá an ninh của Microsoft.

Ngoài ra, bạn có thể tìm hiểu thêm về module phát tán lợi dụng MS08-068 của Conficker, phân tích shellcode của Conficker và thông tin các hệ điều hành có thể bị khai thác bởi Conficker tại Security Blog của Bkis.

Benina

1/-Tut Unpack Armadillo có Nanomities

Tut film này thực hiện cũng đã lâu, hiện tại đang chứa trên host của Ricardo Narvaja.

Link: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/501-600/529-VIDEO%20TUT%20Kill_Nanomites_benina.rar

2/-VIDEO TUTE ARMADILLO CON COPYMEM2 GETRIGHT 5

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/501-600/522-VIDEO%20TUTE%20ARMADILLO%20CON%20COPYMEM2%20GETRIGHT%205.rar

Benina

Benina

Để AutoIt không bị Bkav báo là virus, vậy chúng ta tìm hiểu xem cách BKAV nhận diện ra một chương trình AutoIT là gì?. Thường cách nhận diện là một chuổi bytes giống nhau (ta thường gọi là signature) mà bất kỳ chương trình AutoIT nào sau khi biên dịch thành file exe đều có. Muốn tìm được chuổi bytes này thường chúng ta dùng phương pháp ..."mò". Vậy mò bằng cách nào ?. Chúng ta thử biên dịch các chương trình AutoIT ra file exe và so sánh tuần tự xem 2 file exe dịch từ AutoIT có các bytes nào giống nhau tại offset nào. Cứ mò mò như vậy từ từ thì có thể tìm ra được signature. (Đây là ngu ý của tui, các bạn có phương pháp nào thì share nhe, cùng học hỏi).
Tôi ko biết chính xác BKAV nhận diện như thế nào. Nhưng lúc trước có 1 bài viết trên mạng cho rằng khi thay icon của file exe dịch từ AutoIT thì có thể qua mặt được BKAV. Vậy suy ra rằng, khi biên dịch chương trình AutoIT thì các chương trình exe sau khi biên dịch đều có icon giống nhau (các bytes chứa icon trong resource của file exe giống nhau). Vì vậy BKAV nhận diện các chương trình AutoIT qua signature là các bytes icon này. (Đây là suy luận, ko biết chính xác nhe, chỉ đưa ra giúp lý luận mà thôi).
Để BKAV không nhận diện được là virus?, chúng ta có nhiều cách , cách đơn giản là dùng các chương trình packer, protector nén (pack) file exe, hay protect file exe lại để phá bỏ signature nhận diện đi. Thậm chí tôi có viết 1 bài dùng WINRAR để qua mặt BKAV. Còn siêu nữa thì sau khi tìm ra signature nhận diện mà BKAV sử dụng thì với kiến thức file PE, asm bạn có thể phá signature "bằng tay " bằng cách dùng tool edit file PE.
Nếu bạn nào chưa biết pack, unpack là gì thì tôi xin nói sơ qua để các bạn tham khảo:

Để giải thích về unpack là gì, tôi xin nói qua 1 file bị pack (nén). Để chống lại các cracker, các coder viết ra 1 chương trình packer, nó có nhiệm vụ nén file .exe lại thành 1 file mới cũng có đuôi là .exe ( khác với các file nén thông thường là .zip và .rar). Vì là file .exe nên nó có thể tự động run và khi run nó cũng tự động giải nén file lúc đầu bị pack vào memory. Sau khi giải nén xong, nó chuyển điều khiển control đến vùng memory chứa phần code giải nén và cho thực thi . Điểm đầu tiên trong memory giải nén sẽ thực thi gọi là OEP (Original Entry Point) . Các bạn nên phân biệt OEP và EP. EP là điểm đầu tiên trong memory mà Windows chuyển quyền điều khiển cho file exe thực thi sau khi Windows mapping file .exe vào vùng nhớ . Vậy EP là nói về Entry Point của file sau khi pack xong, còn OEP là Entry Point của file gốc bị pack sau khi được giải nén vào memory.

Các cracker cũng ko chịu thua các coder, để crack được, họ tìm cách xây dựng lại một file .exe từ code sau khi giải nén trong memory. Hành động này gọi là unpack. Vậy unpack tức là sau khi file pack giải nén vào memory và chuyển điều khiển đến OEP thì ta cho chương trình dừng lại tại OEP ( ko thực thi lệnh tại OEP) và copy vùng nhớ giải nén ra thành 1 file .exe. hành động copy này gọi là DUMP. Sau khi dump vùng nhớ ra thành file .exe, file này vẫn chưa run được, ta cần phải fix IAT (IAT là Import Address Table :bảng địa chỉ hàm nhập khẩu), các bạn sẽ tìm hiểu đề tài này sau, các bạn chỉ biết fix IAT tức là sửa chửa bảng quản lý các hàm “nhập khẩu” từ các file thư viện .dll thì file sau khi dump mới run được.

Còn protector là gì thì để các bạn khác cho ý kiến cho sinh động
Vài lời tham gia diễn đàn, xin các bạn đừng cười
Benina

Ps: Pack phải hỗ trợ overlay vì code của autoit nằm ở phần overlay (snowflake)

Benina

Author: Coder_gate (vvn)
Nếu ai để ý thì những chú virus thường hay sử dụng kỹ thuật này để gắn đồng bọn virus hoặc những File DLL vào File exe,VD như chú ckvo chẳng hạn ,chỉ 1 File exe thôi nhưng hễ bị kích hoạt là sinh ra liền mấy em DLL ….
Ngoài ra mình cũng thấy như winrar cũng có khả năng kết hợp các File khác nhau lại thành 1 File exe ( nhưng không rõ họ làm thế nào nữa

)
ở đây mình dung cách là đem tất cả các dữ liệu cần add vào File Resource để lưu ,và khi nào kích hoạt vào thì chương trình sẽ tự tìm trong chính nó File Resource và đọc dữ liệu lên bộ nhớ rồi ghi ra File

các bạn có thể tham khảo code mẫu ở đây

Mã PHP

  // giau File bat ky trong File exe

//

#include 

#include 

#include 

#include 

using namespace std;

#include "resource.h"

int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd )

{

    HRSRC hr;

    DWORD sizeIco;    

    HMODULE hmod = GetModuleHandle(0);

    if(hmod ==NULL) //neu khong the tim thay FIle

    {

        return 0;

    }

    hr= FindResource(hmod,MAKEINTRESOURCE(IDR_RCDATA1), RT_RCDATA);//Tim Resource cua File 

    if(hr==NULL)

        return 0;

    sizeIco = SizeofResource(hmod,hr); //tinh dung luong cua Resource

    HGLOBAL hg = LoadResource(hmod, hr); //load len bo nho

    void *szRes  = LockResource(hg);  //dua bao bien szRes ( 1 luu lai du lieu cua  Resource  )

    ////

    fstream f;  //mo File de ghi ra du lieu

    f.open("son.jpg", ios::out | ios::binary); 

    if (!f)

    {

        return 0; //neu khong the mo File

    }//if

    

    bool bFail = !f.write(reinterpret_castchar*>(szRes), sizeIco);  //ghi File 

    f.close();

    return 0;

}

cách làm như sau

còn đây là project

Benina

Benina’s TutASM # 2

Changing Colours of a Dialog

Author: Benina

Tut này tôi sẽ cùng bạn khám phá cách thay đổi màu sắc giao diện của một chương trình dùng Dialog làm cửa sổ chính.

Đây là Demo hòan khi hòan tất tut này:

Link: http://d.violet.vn/uploads/resources/597/551151/preview.swf

Benina

DETACH FARTHER - METHOD RICARDO - VER 0.1
AUTHOR: BENINA

Link: http://www.pediy.com/tools/Debuggers/ollydbg/script/copymem.txt

Benina

Benina’s TutASM # 3

PLAYING XM MUSIC FROM MASM’S EXE

Author: Benina

Phần này tôi sẽ hướng dẫn các bạn cách add data XM music vào resource của file EXE và chơi nhạc khi chương trình Runing.

Tool : RadASM+MASM32

Link: http://d.violet.vn/uploads/resources/597/551152/preview.swf

Benina

Benina’s TutASM # 3

PLAYING XM MUSIC FROM MASM’S EXE

Author: Benina

Phần này tôi sẽ hướng dẫn các bạn cách add data XM music vào resource của file EXE và chơi nhạc khi chương trình Runing.

Tool : RadASM+MASM32

Link: http://d.violet.vn/uploads/resources/597/551152/preview.swf

Benina

Link: http://www.mpcforum.com/showthread.php?t=92936

Một tut quá cũ về Unpack Armadillo mà tôi đã tìm lại được trên mạng. Tut này tôi viết rất lâu (2005) và ko còn lưu trữ. Các bạn có thể tham khào tại đây: http://www.mpcforum.com/showthread.php?t=92936

(Beta) Unpack Armadillo

Author : Benina

Target........: FlashFavorite v1.4.5

Website......: http://www.pipisoft.com/

Protection..: ARMADiLLO + Standard protection only
Difficulty....: For Newbie

Tools Needed:
1.) Olly Debug v1.10 or better
2.) LordPE Deluxe
3.) Import Reconstructor v1.6 Final

Sorry, My English is very bad.

Step 1: Find OEP

Load file FashFavorite.exe in Olly, appear a message :

Press button “NO”.
Now, this is Armadillo's Entry Point :

0044D000 > 60 PUSHAD
0044D001 E8 00000000 CALL FlashFav.0044D006
0044D006 5D POP EBP
0044D007 50 PUSH EAX
0044D008 51 PUSH ECX
0044D009 0FCA BSWAP EDX
0044D00B F7D2 NOT EDX
0044D00D 9C PUSHFD
0044D00E F7D2 NOT EDX
0044D010 0FCA BSWAP EDX
0044D012 EB 0F JMP SHORT FlashFav.0044D023
0044D014 B9 EB0FB8EB MOV ECX,EBB80FEB
0044D019 07 POP ES ; Modification of segment register
0044D01A B9 EB0F90EB MOV ECX,EB900FEB
0044D01F 08FD OR CH,BH
0044D021 EB 0B JMP SHORT FlashFav.0044D02E
0044D023 F2: PREFIX REPNE: ; Superfluous prefix
0044D024 ^ EB F5 JMP SHORT FlashFav.0044D01B
0044D026 ^ EB F6 JMP SHORT FlashFav.0044D01E
0044D028 F2: PREFIX REPNE: ; Superfluous prefix
0044D029 EB 08 JMP SHORT FlashFav.0044D033
0044D02B FD STD
0044D02C ^ EB E9 JMP SHORT FlashFav.0044D017
0044D02E F3: PREFIX REP: ; Superfluous prefix
0044D02F ^ EB E4 JMP SHORT FlashFav.0044D015
0044D031 FC CLD
0044D032 - E9 9D0FC98B JMP 8C0DDFD4

First off, in Olly, we select menu Options/Debugging options

And Options of Plugins HideDebugger

Armadillo will decompresses data to section .text and executes the directions in that section. So, OEP will be in the this section (.text). For this reason, we will set break-on-access at the section .text.
In Olly, open window [Memory map] (Alt+M), click on section .text and press F2.

Now, Press Shift+F9 , and it will stops at :

004154A2 55 PUSH EBP
004154A3 8BEC MOV EBP,ESP
004154A5 6A FF PUSH -1
004154A7 68 38934100 PUSH FlashFav.00419338
004154AC 68 06564100 PUSH FlashFav.00415606 ; JMP to msvcrt._except_handler3
004154B1 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004154B7 50 PUSH EAX
004154B8 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004154BF 83EC 68 SUB ESP,68
004154C2 53 PUSH EBX
004154C3 56 PUSH ESI
004154C4 57 PUSH EDI
004154C5 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
004154C8 33DB XOR EBX,EBX
004154CA 895D FC MOV DWORD PTR SS:[EBP-4],EBX
004154CD 6A 02 PUSH 2
004154CF FF15 50754100 CALL DWORD PTR DS:[417550] ; msvcrt.__set_app_type

Because “Break-on-access when executing [004154A2]” and .text have information as follows:
Address=00401000
Size=00016000 (90112.)
So, Address [004154A2] is OEP

Step 2: Find a address of IAT of original program decompressed and set breakpoint at that address:

Armadillo scrambles IAT of original program decompressed. So, we will find a address of IAT so that set break Hardware, on write at that address. Ours purpose at here is : when Armadillo write bytes to IAT , Olly will be stopped so that we look for directions that scrambles IAT of original program.

We see in window CPU of Olly at address 004154CF :
004154CF FF15 50754100 CALL DWORD PTR DS:[417550] ; msvcrt.__set_app_type

So, the address [417550] is in IAT of original program decompressed.
Now, we dump it to window dump of Olly. Right click on direction 004154CF, select Folow in dump/Memory address.

In window dump of Olly,we set breakpiont Hardware, on write / Dword at the address 00417550

Now, we close Olly.

Step 3: Look for directions that scrambles IAT of original program.

Load file FashFavorite.exe in Olly again . RUN by Shift+F9. Stop at breakpoint that we set set breakpiont Hardware, on write / Dword. U will see:

77C42F43 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
77C42F45 FF2495 5830C477 JMP DWORD PTR DS:[EDX*4+77C43058]
77C42F4C 8BC7 MOV EAX,EDI
77C42F4E BA 03000000 MOV EDX,3
77C42F53 83E9 04 SUB ECX,4
77C42F56 72 0C JB SHORT msvcrt.77C42F64
77C42F58 83E0 03 AND EAX,3
77C42F5B 03C8 ADD ECX,EAX
77C42F5D FF2485 702FC477 JMP DWORD PTR DS:[EAX*4+77C42F70]
77C42F64 FF248D 6830C477 JMP DWORD PTR DS:[ECX*4+77C43068]
77C42F6B 90 NOP
77C42F6C FF248D EC2FC477 JMP DWORD PTR DS:[ECX*4+77C42FEC]
77C42F73 90 NOP
77C42F74 802F C4 SUB BYTE PTR DS:[EDI],0C4
77C42F77 ^ 77 AC JA SHORT msvcrt.77C42F25

Now, in window dump, we goto address 00417550 that be set breakpoint.
Click on window dump, Ctrl+G, type “00417550”

Press OK.

In window dump:

00417550 46 BC 01 00 38 BC 01 00 F¼.8¼.
00417558 28 BC 01 00 18 BC 01 00 (¼.¼.
00417560 00 00 00 00 00 00 00 00 ........
00417568 00 00 00 00 00 00 00 00 ........

because value of address 00417550 is incorrect address of API functions (its value=0001BC46), so , we press F9 to run . It stop at below code area :

003C70B3 8B85 04C8FFFF MOV EAX,DWORD PTR SS:[EBP-37FC] ; FlashFav.00417550
003C70B9 83C0 04 ADD EAX,4
003C70BC 8985 04C8FFFF MOV DWORD PTR SS:[EBP-37FC],EAX
003C70C2 ^ E9 CEFCFFFF JMP 003C6D95
003C70C7 FF15 9C023D00 CALL DWORD PTR DS:[3D029C] ; kernel32.GetTickCount

Look at window dump :

00417550 32 36 C3 77 38 BC 01 00 26Ãw8¼.
00417558 28 BC 01 00 18 BC 01 00 (¼.¼.
00417560 04 BC 01 00 F8 BB 01 00 ¼.ø».

Value [77C33632] of address 00417550 is correct address of API funtions . Thus, this code area is derections area that we need find:

003C70B3 8B85 04C8FFFF MOV EAX,DWORD PTR SS:[EBP-37FC] ; FlashFav.00417550
003C70B9 83C0 04 ADD EAX,4
003C70BC 8985 04C8FFFF MOV DWORD PTR SS:[EBP-37FC],EAX
003C70C2 ^ E9 CEFCFFFF JMP 003C6D95
003C70C7 FF15 9C023D00 CALL DWORD PTR DS:[3D029C] ; kernel32.GetTickCount

At direction 003C70B3 , Armadillo write correct value to IAT. Thus, directions that scrambles IAT will be above this area. In window CPU of Olly, look upward , we see:

003C6F30 FF15 5C033D00 CALL DWORD PTR DS:[3D035C] ; msvcrt._stricmp
003C6F36 59 POP ECX
003C6F37 59 POP ECX
003C6F38 85C0 TEST EAX,EAX
003C6F3A 75 11 JNZ SHORT 003C6F4D
003C6F3C 8B85 4CC2FFFF MOV EAX,DWORD PTR SS:[EBP-3DB4]
003C6F42 8B40 08 MOV EAX,DWORD PTR DS:[EAX+8]
003C6F45 8985 58C2FFFF MOV DWORD PTR SS:[EBP-3DA8],EAX
003C6F4B EB 02 JMP SHORT 003C6F4F
003C6F4D ^ EB 9D JMP SHORT 003C6EEC
003C6F4F 8B85 98C4FFFF MOV EAX,DWORD PTR SS:[EBP-3B68]
003C6F55 40 INC EAX
003C6F56 8985 98C4FFFF MOV DWORD PTR SS:[EBP-3B68],EAX
003C6F5C 83BD 58C2FFFF 0>CMP DWORD PTR SS:[EBP-3DA8],0
003C6F63 75 42 JNZ SHORT 003C6FA7
003C6F65 0FB785 5CC2FFFF MOVZX EAX,WORD PTR SS:[EBP-3DA4]
003C6F6C 85C0 TEST EAX,EAX
003C6F6E 74 0F JE SHORT 003C6F7F
003C6F70 0FB785 5CC2FFFF MOVZX EAX,WORD PTR SS:[EBP-3DA4]
003C6F77 8985 5CADFFFF MOV DWORD PTR SS:[EBP+FFFFAD5C],EAX
003C6F7D EB 0C JMP SHORT 003C6F8B
003C6F7F 8B85 54C2FFFF MOV EAX,DWORD PTR SS:[EBP-3DAC]
003C6F85 8985 5CADFFFF MOV DWORD PTR SS:[EBP+FFFFAD5C],EAX
003C6F8B 6A 01 PUSH 1
003C6F8D FFB5 5CADFFFF PUSH DWORD PTR SS:[EBP+FFFFAD5C]
003C6F93 FFB5 90C4FFFF PUSH DWORD PTR SS:[EBP-3B70]
003C6F99 E8 6E31FEFF CALL 003AA10C
003C6F9E 83C4 0C ADD ESP,0C
003C6FA1 8985 58C2FFFF MOV DWORD PTR SS:[EBP-3DA8],EAX
003C6FA7 83BD 58C2FFFF 0>CMP DWORD PTR SS:[EBP-3DA8],0
003C6FAE 75 42 JNZ SHORT 003C6FF2
003C6FB0 0FB785 5CC2FFFF MOVZX EAX,WORD PTR SS:[EBP-3DA4]
003C6FB7 85C0 TEST EAX,EAX
003C6FB9 74 0F JE SHORT 003C6FCA
003C6FBB 0FB785 5CC2FFFF MOVZX EAX,WORD PTR SS:[EBP-3DA4]
003C6FC2 8985 58ADFFFF MOV DWORD PTR SS:[EBP+FFFFAD58],EAX
003C6FC8 EB 0C JMP SHORT 003C6FD6
003C6FCA 8B85 54C2FFFF MOV EAX,DWORD PTR SS:[EBP-3DAC]
003C6FD0 8985 58ADFFFF MOV DWORD PTR SS:[EBP+FFFFAD58],EAX
003C6FD6 6A 00 PUSH 0
003C6FD8 FFB5 58ADFFFF PUSH DWORD PTR SS:[EBP+FFFFAD58]
003C6FDE FFB5 90C4FFFF PUSH DWORD PTR SS:[EBP-3B70]
003C6FE4 E8 2331FEFF CALL 003AA10C
003C6FE9 83C4 0C ADD ESP,0C
003C6FEC 8985 58C2FFFF MOV DWORD PTR SS:[EBP-3DA8],EAX
003C6FF2 83BD 58C2FFFF 0>CMP DWORD PTR SS:[EBP-3DA8],0
003C6FF9 0F85 98000000 JNZ 003C7097
003C6FFF 0FB785 5CC2FFFF MOVZX EAX,WORD PTR SS:[EBP-3DA4]
003C7006 85C0 TEST EAX,EAX
003C7008 74 54 JE SHORT 003C705E
003C700A FF15 E4003D00 CALL DWORD PTR DS:[3D00E4] ; ntdll.RtlGetLastWin32Error

At direction 003C6F63, Armadillo will scrambles IAT.

Now, we clear breakpoint that we are set above:
Select menu Debug/Hardware breakpoints :

Press button “Delete 1”, and OK

Let us set breakpiont Hardware, on execute at 003C6F63:

Right click on direction 003C6F63 and to perform

Let’s close Olly.

Step 4: Run a ollyscript in order that prepare IAT :

Load file FashFavorite.exe in Olly again. RUN by Shift+F9. Stop at breakpoint that we set set breakpiont Hardware,on execute . We will see here :

Before run ollyscript, we set breakpoint Hardware, on execute at OEP (004154A )(found out at step 1) .

Note : Before execute ollyscript
If flag Zero = 0 then let us set it equal 1 (set ZF=1)

Ollyscript that prepare the IAT is a file IATscript.osc :

IATscript.osc
dbh
eoe LABEL
eob BABEL
run

LABEL:
esto
jmp LABEL

BABEL:
cmp eip, 003C6F63
jne FIN
mov !ZF, 1
run
jmp BABEL

FIN:
ret

Address 003C6F63 in script is the direction that we found out in step 3

Now, we execute IATscript.osc and after stop at OEP :

Step 5: Dump :

Let’s dump full the process fashfavorite.exe by LordPE to file dumped.exe

Step 6: Fix IAT :

Open ImpRec, select proccess flashfavarite.exe.
Set OEP = 154A2

Press button “Get Imports” and after press button “Show Invalid”

Right click on a invaild Fthunk , Choice Advanced Commands / Get API Calls

a message box appear :

Press “OK”

After, press button “Show Invalid” again, and “Cut thunks”

We will see :

Press button “Fix Dump” to fix IAT of file dumped.exe.

Run file dumped_.exe not scrash.

Benina 15/5/2005

Benina

Benina’s TutASM #1

Basic template Keygen

Hôm nay tui sẽ hướng dẫn các bạn cách làm một template Keygen cơ bản trong RadASM.

Nói sơ qua về Keygen cho ai chưa biết về nó: Keygen chính là một chương trình nhỏ có tác dụng cho người dùng nhập vào một name user, từ đó nó sẽ tính tóan ra một số serial để đăng ký sử dụng 1 soft nào đó. Các cracker trên thế giới hay sử dụng lọai chương trình này để cung cấp cho người sử dụng. Vậy giao diện của 1 Keygen về căn bản như sau :

Link: http://d.violet.vn/uploads/resources/597/551148/preview.swf

Benina

Benina’s TutASM #1

Basic template Keygen

Hôm nay tui sẽ hướng dẫn các bạn cách làm một template Keygen cơ bản trong RadASM.

Nói sơ qua về Keygen cho ai chưa biết về nó: Keygen chính là một chương trình nhỏ có tác dụng cho người dùng nhập vào một name user, từ đó nó sẽ tính tóan ra một số serial để đăng ký sử dụng 1 soft nào đó. Các cracker trên thế giới hay sử dụng lọai chương trình này để cung cấp cho người sử dụng. Vậy giao diện của 1 Keygen về căn bản như sau :

Link: http://d.violet.vn/uploads/resources/597/551148/preview.swf

Benina

Tên sản phẩm : tinyPEiD
Tác giả :
DungCoi + MeoConLongVang

Chân thành cảm ơn : anh T4mQu0c , khanhduy301 , anh FireDragon , anh Benina , anh TQN , anh NhatPhuongLe, anh HaiPT, anh Pete ...

Ngôn ngữ : VB6
Hình thức công bố : Open Source
Mọi hình thức sử dụng một phần hay toàn bộ code yêu cầu phải có sự đồng ý của tác giả

Làm gì ?
Đây là một tool nhỏ để scan nhận ra file được pack bằng công cụ nào. Tóm lại là tương tự PEiD (Nên mình để cái tên tinyPEiD luôn cho dễ hiểu).

Cấu trúc base file như sau :

Quote:

; Made with Add Signature v2.00 by BoB / BobSoft ..
; 4445 Signatures in list ..

[!EP (ExE Pack) V1.0 -> Elite Coding Group]
signature = 60 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? FF 10
ep_only = true

[!EP (ExE Pack) V1.0 -> Elite Coding Group]
signature = 25 ?? ?? ?? ?? 61 87 CC 55 45 45 55 81 ED CA 00 00 00 55 A4 B3 02 FF 14 24 73 F8 33 C9 FF 14 24 73 18 33 C0 FF 14 24 73 1F B3 02 41 B0 10 FF 14 24 12 C0 73 F9 75 3C AA EB DC FF 54 24 04 2B CB 75 0F FF 54 24 08 EB 27 AC D1 E8 74 30 13 C9 EB 1B 91 48 C1 E0 08 AC FF 54 24 08 3D 00 7D 00 00 73 0A 80 FC 05 73 06 83 F8 7F 77 02 41 41 95 8B C5 B3 01 56 8B F7 2B F0 F3 A4 5E EB 99 BD ?? ?? ?? ?? FF 65 28
ep_only = true

Như các bạn thấy là bợ nguyên các userdb của PEiD luôn
Hiện mình sài ké của PEiD và chưa có ý định tự làm

Bạn có thể kéo thả file muốn scan vào TextBox (Hoặc nhập bằng tay đường dẫn) rồi tiến hành scan

Mình có viết hàm để scan cả 2 trường hợp :

Quote:

ep_only = true
ep_only = false

Nhưng mà phần xử lý với fasle (Scan nguyên file) chậm quá nên mình tạm vứt đi

Hiện không biết sao chứ cái userdb mình dùng scan trùng hơi bị nhiều (Không biết do cái db có vấn đề hay code mình có vấn đề nữa)

Tốc độ scan thì hơi chậm

Hình ảnh demo :

Pass : vvn
Download: http://virusvn.com/forum/showthread.php?p=10625#post10625

Benina

Detecting operating systems without

Microsoft Advanced Programming Interface

Author: Thomas Krue – Universitas Virtualis

The Assembly-Programming-Journal, Vol. 1, No. 1 (2004)

Tranz by: Benina

Tiếp theo bài tut PEB&TEB structure, tôi xin dịch bài tut này để cho các bạn thấy được rõ hơn những kiến thức mà ta đã tìm hiểu được trong tut vừa qua. Vì là bài dịch, nên câu cú có thể ko hòan hảo, thậm chí hơi khó hiểu, mong các bạn thông cảm và nhớ đọc lại nhiều lần tôi đảm bảo các bạn sẽ hiểu thôi.

Bài viết này sẽ chỉ cho bạn cách dò tìm version của OS Mirosoft : Windows 95,98,Me – hệ điều hành non NT-based và Windows NT4,2000,XP,2003 – hệ điều hành NT-based- mà ko cần dùng hàm APIs để tránh kỷ thuật đảo mã (Reverse Engineer) set breakpoint trên hàm APIs.

Link: http://www.docstoc.com/docs/741367/DetectingOS

Benina

Link: http://nhatnghe.com/forum/showthread.php?p=214989#post214989

Giới thiệu:
Trong bài viết trước, tôi đã giới thiệu cách tạo 1 Hotspot dùng để quản lý kết nối Wireless bằng phần mềm Antamedia, tuy nhiên đó là giải pháp sử dụng phần mềm có bản quyền, cần thiết bị như Access Point, bạn có thể tham khảo tại http://nhatnghe.com/forum/showthread.php?t=31819.

Trong bài viết này, tôi sẽ giới thiệu 1 phương pháp thiết lập Hotspot nhanh với chỉ 1 Laptop có kết nối Internet. Bạn có thể dùng phương pháp này để chia sẻ và quản lý kết nối Internet của mình thông qua Wireless Card (sử dụng phần mềm 2HotSpot) cho bạn bè, người thân trong gia đình hay phục vụ mục đích kinh doanh là tùy bạn

Mọi máy tính có Wireless Card nằm trong phạm vi phủ sóng có quyền kết nối vào Hotspot của bạn, tuy nhiên khi truy cập Internet, họ cần nhập đúng UserID và Password. Hotspot của bạn sẽ dựa vào UserID để thu phí sử dụng Internet hay theo dõi lưu lượng kết nối hoặc hoàn toàn miễn phí. Ví dụ cô bạn tên Gái nhà đối diện nhà tôi được sử dụng Internet hoàn toàn miễn phí, thằng Tí em tôi cũng miễn phí, tuy nhiên cần theo dõi lưu lượng kết nối, còn lại các gia đình hàng xóm thì phải trả tiền 50 nghìn/1 tháng.

Ngoài ra, bạn có thể thiết lập nhiều chức năng khác như chỉ định trang Web miễn phí (có nghĩa là ai cũng truy cập được mà không cần UserID) để quảng cáo cho quán Cafe của bạn, định băng thông download và upload, lên kế hoạch tính tiền hàng tháng, hàng tuần hay hàng ngày, chứng thực bằng IP hay MAC Address, cấu hình proxy, qui định số lượng kết nối tối đa.... nói chung là nhiều quá

Mô hình:
- 1 Laptop (hay máy tính có gắn Wireless Card) có kết nối Internet. Máy tính này có 2 Card mạng. 1 Card Wireless dùng kết nối với các máy Client và 1 Card dùng kết nối Internet thông qua Router ADSL
- 1 máy Client sử dụng Card Wireless
(nếu bạn có thêm Access Point thì dĩ nhiên càng tốt nhưng cũng không cần thiết, trong bài biết này tôi sẽ cấu hình cho Card Wireless sử dụng Ad-hoc để tiếp nhận sóng kết nối từ các Client)
Thực hiện:
1. BƯỚC 1: Cấu hình Card Wireless
-Mở Network Connection, chọn Properties cho Card Wireless

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x600

Bạn có thể cấu hình Wireless Card bằng cách sử dụng phần mềm đi kèm của nhà sản xuất (tham khảo tại http://nhatnghe.com/forum/showthread.php?t=34361). Tuy nhiên bạn cũng có thể dùng Windows để làm điều này
- Sang Tab Wireless Network, đánh dấu Check: Use Windows to configure wireless net work settings
- Nhấn nút Add

- Đặt SSID
- Mục Network Authentication, bạn chọn Open hay None để các Client kết nối dễ dàng mà không cần nhập Key

- Nhấn nút Advanced

- Chọn Computer to Computer (Adhoc network Only)

2. BƯỚC 2: CẤU HÌNH DHCP
Bước này tôi không trình bày chi tiết ở đây vì đã có nhiều bài viết liên quan chuyện này. Nếu có thiết bị Access Point, bạn có thể dùng DHCP tích hợp sẵn trên đó, nếu không, bạn cần cài đặt và cấu hình DHCP của Windows (tham khảo tại http://nhatnghe.com/forum/showthread.php?t=31819)
Bạn cũng có thể bỏ qua bước này, nếu vậy thì sau khi kết nối, các Client sẽ tự đặt IP tĩnh

(cũng không sao, hàng xóm nhà tôi cũng toàn dân IT Pro mà)

3: BƯỚC 3: CẤU HÌNH INTERNET CONNECTION SHARING (ICS)
Để chia sẻ kết nối Internet của mình, bạn cần phải Share Internet. Nếu bạn dùng Windows Server 2003, bạn có thể cấu hình NAT Outbound, tuy nhiên Windows XP có hỗ trợ chức năng ICS, thực chất đây là một bản mini-NAT, tôi dùng cái này cho nhanh (vả lại tôi cũng đang dùng XP mà

)
- Mở Network Connection, vào Properties của Card mạng dùng kết nối Internet, máy tôi thì Card này được đặt tên là LAN

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x600

- Sang Tab Advanced, đánh dấu các mục chọn theo hình

- Sau khi hoàn tất, Card Wireless của bạn sẽ được đặt IP là 192.168.0.1. Bạn có thể kiểm tra theo các bước bên dưới:

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x600

Tới đây ta có thể cho máy Client thử kết nối xem sao.
Từ Client của cô Gái (máy cô này xịn hơn máy tôi nên sử dụng Windows Vista) ta thử bắt sóng và kết nối:

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x600

- Đã "phát hiện" cái Hotspot của tôi, chọn vào và Connect thôi

- Kết nối này không bảo mật, càng tốt, kết nối luôn

- Đang kết nối, hồi hộp quá

- Kế nối thành công

-Kiểm tra IP xem sao. Lưu ý rằng bạn chỉ có IP ngon lành như thế này nếu bạn đã có cài đặt và sử dụng DHCP ở bước 2, nếu không, bạn có thể đặt IP tĩnh như thông số hình bên dưới.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 677x340

- Tới đây, Client truy cập Internet thoải mái mà không cần nhập bất cứ UserID nào

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 943x591

3: BƯỚC 4: CÀI ĐẶT PHẦN MỀM 2HOTSPOT
Bạn có thể Download phần mềm này tại trang Web http://2hotspot.com/ sau đó thực hiện các bước cài đặt rất đơn giản như bên dưới

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 740x334

Bạn sẽ phải nhấn Continue Anyway khá nhiều lần đấy

Bạn nhớ chọn đúng Card Wireless

Khi việc cài đặt hoàn tất, một trang Web sẽ xuất hiện và hướng dẫn bạn đăng ký tạo 1 Account, bạn cứ theo cac hướng dẫn này mà đăng ký

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024x742

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024x742

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024x742

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024x742