IDA Pro Advanced_N0w 0r N3v3r
Author: _[kienmanowar]_
“Sóng gió cuộc đời chợt đến có ai chờ đợi.
Biết đâu một ngày phận người que diêm trước gió.
Lụi tàn trong một sớm không ngoài ai.
Nhưng với một triệu người
Hơi ấm sẻ chia từng người
Những đôi tay trần dìu nhau qua cơn khốn khó
Tầm hồn luôn rộng mở rất chân thành”
“Rock
mang đến cho tôi sự hứng khởi, lòng đam mê, tình yêu cháy bỏng, sự
cuồng nhiệt và niềm tin vào cuộc sống. Giúp tôi vững bước trước mọi khó
khăn sóng gió cuộc đời.”
I. Intro :
Chào tất cả các anh em REA, chúng ta lại gặp nhau trong phần tiếp theo tôi viết về IDA. Đây là bài viết của tác giả Medardus, có
thể coi đây như là một “đơn đặt hàng” của anh Be, và tôi là người đứng
ra nhận “bảo kê” cho “đơn đặt hàng” này. Thực tế tôi đã có ý định viết
bài này từ rất lâu nhưng… hii lại có từ nhưng, vì thời gian bận bịu quá,
sắp tới công việc lại có một số thay đổi mà chưa biết sẽ thế nào. Như
đã hứa với anh em, bài viết trước tôi đã giới thiệu sơ qua một số tính
năng của IDA, đủ để thuyết phục những người dù là khó tính nhất.Trong
bài viết này tôi sẽ ứng dụng sử dụng IDA trong quá trình Reverse một
Crackme.Hii trình độ tôi vẫn còn kém cỏi, không biết có đủ sức để hầu
chuyện anh em không nữa 
. Okie, N0w L3t’s g0!!!!
. Okie, N0w L3t’s g0!!!!
II. IDA or W32Dasm…. N0w 0r N3v3r!!
Từ
những ngày đầu tiên chập chững bước vào tìm hiểu thế giới Cracking &
Reversing, những tut đầu tiên mà tôi đọc là của bậc đàn anh Ngô Vĩnh
Hoàng hay còn được biết đến với nickname là NVH(c), nhớ lại cái thủa ban
đầu ngơ ngác ấy tôi chẳng biết cái quái gì cả, chỉ biết đọc, down công
cụ và làm theo một cách hoàn toàn dập khuôn , cứ 74->75, 75->74,
không được nữa thì hehe Nop, nop, nop mà ít đầu tư vào suy nghĩ tại sao
lại như thế.Mà hầu hết các tut thời đó đều sử dụng W32Dasm, Hiew,
SoftIce v…v.. Sh1t!! nghĩ lại cái lúc hì hục cái SoftIce đến nhục, đọc
và làm theo y như hướng dẫn mà lần nào Debug không treo máy thì lại bị
Crash, hic cú quá tôi nghỉ chơi với SoftIce. Rồi sau này đọc các tut của
lão nhỏ, tham gia vào REA ngay từ những ngày đầu tiên tôi dần dần tìm
hiểu từ từ từng tí một. Các tut thời gian đó cũng hầu hết tập trung vào
SoftIce, W32Dasm nhưng có sự xuất hiện của một Tool debugger mới mà hiện
nay các bạn đang sử dụng đó, không nói chắc các bạn cũng biết đó chính
là “em” Ollydbg. Hiii sân chơi của REA lúc đó đâu có được đông như bây
giờ, chỉ có vài anh em, cầm đầu là anh Còm, anh Moon, lão Zom, bác
RongchauA, bác deux, chú Little, trong đó người có nhiều bài viết nhất
là anh Moon, khà khà tôi, anh Be, lão Q là một trong những member đầu
tiên và cũng là những người trụ lại lâu nhất trong REA. Có thể nói REA
lúc đó là một tập thể tuy chưa hiểu hết về nhau nhưng đã có cảm giác như
anh em một nhà, rất gắn bó, trao đổi thẳng thắn, giúp đỡ nhau nhiệt
tình và cho đến bây giờ vẫn vậy. Có thể tự hào mà nói rằng REA là một
trong những 4room có “chất” nhất ở Việt Nam.
Hehe
hơi lạc đề thì phải, như các bạn thấy thời đó công cụ Disassembly được
ưa chuộng nhất là W32Dasm, có thể nói nó là công cụ của mọi Newbies, đơn
giản, dễ học và dễ sử dụng. Nhưng sau này khi được tiếp xúc nhiều hơn
với Cracking & Reversing, tôi thấy có một công cụ được nhắc đến khá
nhiều đó là IDA được dùng cho cả hai giới Reversing lẫn Security.Lúc đó
tôi tự hỏi “IDA là công cụ gì mà kinh thế?” nhưng rất tiếc không có câu
trả lời. Sau này khi W32Dasm không còn được phát triển nữa, nó không đáp
ứng được những chương trình có mức độ Protect cao cũng như những chương
trình bị Packed, hic hic không còn cách nào khác tôi đành nhắm mắt đưa
chân, download em IDA về “nghịch” thử xem thế nào. Phải nói rằng cảm
giác đầu tiên khi mở IDA lên là một cảm giác choáng ngợp đến khỏ tả, vừa
khó dùng lại vừa lắm chức năng, rối rắm và phức tạp J.
IDA
là một chương trình Disassembler được phát triển bởi hãng DataRescure.
Những ai đã từng sử dụng qua W32Dasm thì chắc hẳn sẽ biết Disassembler
là như thế nào.Đối với những người chưa biềt gì thì có thể nói: Disassembler
là một chương trình, mà theo đó nhờ vào sự giúp đỡ, hỗ trợ của chương
trình này nó sẽ chuyển đổi code của một file (exe hay dll) về dạng mã
assembler, được sắp xếp lại theo một khuôn dạng dễ hiểu và dễ đọc hơn. IDA hỗ trợ đầy đủ
các tính năng có trên W32Dasm, thêm vào đó nó còn hộ trợ thêm những tính năng cao cấp khác mà W32Dasm không có, ví dụ như : FLIRT (Nearly Library Identification and Recognition Technology),
giúp đỡ cho việc nhận diện các hàm phù hợp từ các thư viện khác nhau và
hỗ trợ các chú thích cung cấp cho việc mô tả.Sẽ rất ít người trả lời
cho bạn tại sao IDA lại được sử dụng nhiều đến thế, chỉ còn mỗi một cách
là tự mình tìm hiểu và chắt lọc. Vậy còn chần chừ gì nữa mà không tìm
hiểu về IDA.
III. Play with Crackme
Oki,
tốn bao giấy mực mới đến phần quan trọng nhất của bài viết này, đó là
sử dụng IDA để thực hành với 1 Crackme.Tại sao lại là Crackme vì đơn
giản nó có kích thước nhỏ và dễ dàng trong việc
Demo
những kiến thức, thêm nữa là IDA sẽ disassembly rất nhanh còn nếu không
bạn phải chờ dài cổ khà khà. Trong bài ngày hôm nay tôi sẽ sử dụng
Crackme là CoSH Crackme #2.exe. Run thử Crackme này lên
xem thế nào, đây chính là một bước quan trọng trong quá trình Reverse,
tương tự như ta tiếp xúc với một người, ta phải quan sát thái độ, hành
vi của người đó trước để còn liệu đường mà cử xử lại cho phải phép .
. 
Download toàn bộ bài viết tại đây :
No comments:
Post a Comment