Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

thuctoani92c 9/11/2010, 15:40

- Ollydbg hay gọi tắt là Olly, là một chương trình DEBUGGER dễ sử dụng, trực quan . Thích ứng cho mọi cấp độ cracker khác nhau.
- Có thể nói Olly bao hàm rất nhiều tính năng mà nếu sử dụng riêng lẻ ta phải cần đến nhiều chương trình kết hợp lại . Hiện nay Olly đã có Version 1.0 và Olly v2 beta.
- Ollydbg nó có thể load 1 Processes đang chạy của window hoặc 1 chương trình đã compiler thành ngôn ngữ asm, và nó hiển thị cho ta biết processes hoặc chương trình đó đã load và sử dụng những hàm API nào của window...
Các bạn nào rành về olly thì post lên chia sẽ cho mọi người nhé.

TruongHuuHien(I92C) 9/11/2010, 15:50

Thế bạn có tài liệu về mảng đó ko vậy ? Cho mình xin nhé.
Thank trước.

thuctoani92c 9/11/2010, 16:23

Sorry, Mình quên up các tut của mình sưu tầm được. trong link mình gởi có tất cả 22 tut hướng dẫn từ cơ bản tới nâng cao.

link download

TruongHuuHien(I92C) 9/11/2010, 16:26

Thank bạn nhiều lắm.

viethq_qh 9/11/2010, 16:26

thuctoani92c đã viết:Sorry, Mình quên up các tut của mình sưu tầm được. trong link mình gởi có tất cả 22 tut hướng dẫn từ cơ bản tới nâng cao.

link download

Cám ơn bạn thuctoani92c nhiều nhé, mình đang muốn tìm hiểu về cái này để ứng dụng nó nhiều hơn.

thuctoani92c 10/11/2010, 10:22

Để mình giới thiệu cơ bản về Ollydbg
Đây là màn hình làm việc của Ollydbg
Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Giaodien

Olly có thể chia thành 5 cửa sổ chính . Để chuyển đổi qua lại giữa các cửa sổ này ta dùng phím TAB. Và phím Shift-TAB sẽ chuyển về cửa sổ trước đó.

1 - CPU :
Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Cpux

Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Cpux

- Hầu hết thời gian chúng ta tập trung vào đây. Cửa sổ này chia làm 4 ô nhỏ. Ta xét từ trái sang phải :
- Ô thứ nhất : Hiển thị địa chỉ của code. Khi ta double-click vào nó thì ngay dòng chúng ta double-click vào sẽ đổi thành “ $ == > “, bên trên nó sẽ là “ $ - x “ và bên dưới sẽ là “ $ + x “. Các giá trị “ x “ này chính là số byte của câu lệnh.
- Ô thứ hai : chính là mã lệnh. Khi ta double-click vào nó thì có nghĩa ta đặt BreakPoint tại đó. Và khi double-click lần nữa thì xoá bỏ điểm đặt BreakPoint này.
- Ô thứ ba : code Assembler. Đây là ô rất quan trọng trong suốt quá trình trace code. Khi ta double-click vào nó thì sẽ hiện lên ô “Assemble at XXXXXXXX”, chúng ta có thể sửa code của chương trình thông qua ô này.
- Ô thứ tư : hiển thị thông tin của chương trình. Chúng ta sử dụng ô này để tìm các chuỗi đặt biệt. Và khi chúng ta chuyển sang cửa sổ “Text String reference” thì mọi thông tin của cửa sổ này chính là thông tin của ô này. Khi ta double-click vào nó thì sẽ hiện lên ô “ Add comment at XXXXXXXX” cho chúng ta ghi chú lại thông tin, chú giải cần thiết để sử dụng cho lần sau.

2 - Registers (Cái này rất quan trọng):
Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Register

Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Register

- Cửa sổ thứ hai nằm bên phải cửa sổ thứ nhất.
- Hiển thị các thanh ghi và cờ trong Assembly. Cửa sổ này cần thiết để chúng ta theo dõi sự thay đổi giá trị của các thanh ghi, các lệnh toán học ….

3 - Cửa số thứ ba :
Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Cuasothu3

Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Cuasothu3

- Cửa sổ nhỏ nằm ngay bên dưới của sổ thứ nhất.
- Thông báo cho ta biết địa chỉ thực, giá trị tính toán, ... trước khi đưa vào hiển thị ở Cửa Sổ Thứ Hai.
- Trong cửa sổ này, khi ta right click vào một dòng thì có thể xuất hiện cửa sổ phụ với các tùy chọn ( tối đa là 4 tuỳ chọn ) Modify data, Follow address in Dump, Follow value inDump và Appearance.
- Tuy nhiên phải ghi nhớ một điều, thông số xuất hiện trong cửa sổ này là giá trị của dòng lệnh trong cửa sổ thứ nhất khi ta trace tới. Còn khi ta dò thì không xuất hiện thông số trong cửa sổ này
- Modify data : khi chọn mục này sẽ xuất hiện cửa sổ Modify dWord at XXXXX với ba giá trị là Hexadecimal, Signed và Unsigned. Ưu điểm của của sổ này là trong một số trường hợp ta có thể xem được số SERIAL thực của chương trình.
- Follow address in Dump : Chuyển cửa sổ thứ tư đến địa chỉ mà ta chọn. Rất cần thiết khi ta cần xem xét giá trị của chương trình được lưu tại địa chỉ này
- Follow value inDump : Chuyền cửa sổ thứ tư đến giá trị của địa chỉ mà ta chọn.
- Appearance : thông báo về các tùy chọn trong Options --> Appearance .

4 - Address, Hex dump, ASCII hay UNICODE
Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Addresshexdump

Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Addresshexdump

- Cửa sổ thứ tứ nằm bên dưới cửa sổ thứ ba .
- Cần thiết để ta quan sát sự thay đổi các giá trị tính toán của chương trình.
- Trong một vài trường hợp ta có thể tìm thấy chuỗi SERIAL ở đây.

5 - STACK (Cái này quan trọng)
Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Stacku

Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ? Stacku

- Cửa sổ thứ năm nằm bên dưới của sổ thứ hai và ngay bên phải cửa sổ thứ ba.
- Đây là bộ nhớ tạm của chương trình.
- Các thông số của một hàm trước khi xử lý sẽ được lưu tạm vào trong STACK này. Theo dõi chặt chẽ sự thay đổi các vùng nhớ và giá trị của cửa sổ này sẽ giúp ích rất nhiều trong quá trình tìm ra chuỗi SERIAl thực.

quocviet_i92c 12/11/2010, 18:45

Cám ơn bạn, mình đã test thử, rất khả thi để đưa vào ứng dụng debugg chương trình.

nguyenthingoan_i92c 12/11/2010, 19:33

Mình cũng đã tìm hiểu qua chương trình này và thấy rất hay. Trước đây thì ko biết nhưng qua bài post này của bạn thì mình đã hiểu rõ hơn.
Thanks bạn nhé

kimgiap(i92c) 12/11/2010, 22:14

thuctoani92c đã viết:Để mình giới thiệu cơ bản về Ollydbg
Đây là màn hình làm việc của Ollydbg

Olly có thể chia thành 5 cửa sổ chính . Để chuyển đổi qua lại giữa các cửa sổ này ta dùng phím TAB. Và phím Shift-TAB sẽ chuyển về cửa sổ trước đó.

1 - CPU :

- Hầu hết thời gian chúng ta tập trung vào đây. Cửa sổ này chia làm 4 ô nhỏ. Ta xét từ trái sang phải :
- Ô thứ nhất : Hiển thị địa chỉ của code. Khi ta double-click vào nó thì ngay dòng chúng ta double-click vào sẽ đổi thành “ $ == > “, bên trên nó sẽ là “ $ - x “ và bên dưới sẽ là “ $ + x “. Các giá trị “ x “ này chính là số byte của câu lệnh.
- Ô thứ hai : chính là mã lệnh. Khi ta double-click vào nó thì có nghĩa ta đặt BreakPoint tại đó. Và khi double-click lần nữa thì xoá bỏ điểm đặt BreakPoint này.
- Ô thứ ba : code Assembler. Đây là ô rất quan trọng trong suốt quá trình trace code. Khi ta double-click vào nó thì sẽ hiện lên ô “Assemble at XXXXXXXX”, chúng ta có thể sửa code của chương trình thông qua ô này.
- Ô thứ tư : hiển thị thông tin của chương trình. Chúng ta sử dụng ô này để tìm các chuỗi đặt biệt. Và khi chúng ta chuyển sang cửa sổ “Text String reference” thì mọi thông tin của cửa sổ này chính là thông tin của ô này. Khi ta double-click vào nó thì sẽ hiện lên ô “ Add comment at XXXXXXXX” cho chúng ta ghi chú lại thông tin, chú giải cần thiết để sử dụng cho lần sau.

2 - Registers (Cái này rất quan trọng):

- Cửa sổ thứ hai nằm bên phải cửa sổ thứ nhất.
- Hiển thị các thanh ghi và cờ trong Assembly. Cửa sổ này cần thiết để chúng ta theo dõi sự thay đổi giá trị của các thanh ghi, các lệnh toán học ….

3 - Cửa số thứ ba :

- Cửa sổ nhỏ nằm ngay bên dưới của sổ thứ nhất.
- Thông báo cho ta biết địa chỉ thực, giá trị tính toán, ... trước khi đưa vào hiển thị ở Cửa Sổ Thứ Hai.
- Trong cửa sổ này, khi ta right click vào một dòng thì có thể xuất hiện cửa sổ phụ với các tùy chọn ( tối đa là 4 tuỳ chọn ) Modify data, Follow address in Dump, Follow value inDump và Appearance.
- Tuy nhiên phải ghi nhớ một điều, thông số xuất hiện trong cửa sổ này là giá trị của dòng lệnh trong cửa sổ thứ nhất khi ta trace tới. Còn khi ta dò thì không xuất hiện thông số trong cửa sổ này
- Modify data : khi chọn mục này sẽ xuất hiện cửa sổ Modify dWord at XXXXX với ba giá trị là Hexadecimal, Signed và Unsigned. Ưu điểm của của sổ này là trong một số trường hợp ta có thể xem được số SERIAL thực của chương trình.
- Follow address in Dump : Chuyển cửa sổ thứ tư đến địa chỉ mà ta chọn. Rất cần thiết khi ta cần xem xét giá trị của chương trình được lưu tại địa chỉ này
- Follow value inDump : Chuyền cửa sổ thứ tư đến giá trị của địa chỉ mà ta chọn.
- Appearance : thông báo về các tùy chọn trong Options --> Appearance .

4 - Address, Hex dump, ASCII hay UNICODE

- Cửa sổ thứ tứ nằm bên dưới cửa sổ thứ ba .
- Cần thiết để ta quan sát sự thay đổi các giá trị tính toán của chương trình.
- Trong một vài trường hợp ta có thể tìm thấy chuỗi SERIAL ở đây.

5 - STACK (Cái này quan trọng)

- Cửa sổ thứ năm nằm bên dưới của sổ thứ hai và ngay bên phải cửa sổ thứ ba.
- Đây là bộ nhớ tạm của chương trình.
- Các thông số của một hàm trước khi xử lý sẽ được lưu tạm vào trong STACK này. Theo dõi chặt chẽ sự thay đổi các vùng nhớ và giá trị của cửa sổ này sẽ giúp ích rất nhiều trong quá trình tìm ra chuỗi SERIAl thực.

Phần này giống như crack để tìm key trong Ev-Shuttle vậy ta.Cái này lúc trước Giáp cài chường trình dịch từ Tiếng Anh sang Tieng Việt va ngược lại cho cả đoạn văn bản.Ev-Shuttle dịch chỉ tạm thời thôi nhé các bạn nhiều lúc nó dịch không được tốt lắm.

thuctoani92c 13/11/2010, 09:31

kimgiap(i92c) đã viết:Phần này giống như crack để tìm key trong Ev-Shuttle vậy ta.Cái này lúc trước Giáp cài chường trình dịch từ Tiếng Anh sang Tieng Việt va ngược lại cho cả đoạn văn bản.Ev-Shuttle dịch chỉ tạm thời thôi nhé các bạn nhiều lúc nó dịch không được tốt lắm.

Đúng như vậy. Cái tool này giúp ta debug 1 phần mềm đã compiler ra mã asm, và từ những đoạn code asm đó chúng ta sẽ lần mò cách crack phần mềm đó như thế nào. Cái này người nào giỏi về hợp ngữ thì xem dễ hiểu hơn. OllyDbg có thể nói là tool khá là mạnh để debug 1 phần mềm. Ngoài ollydbg còn có tool IDA Pro cũng chuyên về debug phần mềm.

nguyenthingoan_i92c 15/11/2010, 11:04

Cái này đúng hay luôn...

Thanks Giáp nhiu nhiu

Nguyen Dinh Mai Huy(I82C) 15/11/2010, 14:36

nguyenthingoan_i92c đã viết:Cái này đúng hay luôn...

Thanks Giáp nhiu nhiu

hay thật nhưng với đk bạn có nhiều tg. tg giờ rất quan trọng, học cho tốt để đi làm kiếm tiền, phục vụ công việc trước đã. Riêng mình thì mình ko khuyến khích các bạn học bẻ khóa như thế đâu. Công trình trí tuệ của người ta mà, với cty lớn thì ko sao. Còn với những lập trình viên đơn lẻ, bẻ kiểu này là người ta hết sống nổi luôn đó.

thuctoani92c 16/11/2010, 15:16

Cái này không phải chỉ dùng để crack phần mềm. OllyDbg nó còn là một trình gỡ lỗi sử dụng hợp ngữ trên nền Windows 32-bit chú trọng đến việc phân tích mã nhị phân và rất hữu dụng để gỡ lỗi những chương trình không được cung cấp mã nguồn. Nó dò xét các thanh ghi, nhận diện các thủ tục, các lời gọi hàm API, các khóa chuyển, các bảng, hằng số và các chuỗi, cũng như chỉ ra vị trí các routines từ các tập tin đối tượng và các thư viện.

hongthanh 16/11/2010, 22:49

Wow, ứng dụng ngay thôi anh em Very Happy

chithong(I92C) 18/11/2010, 09:58

Khakhakha...OllyDbg thì khỏi chê mấy bạn ui....
Tuy nhiên ... chỉ dùng để Debug và Crack những ứng dụng viết bằng C,C++, VB còn .Net thì bạn ui...
Thành thạo và có level ASM cao thì có thể can thiệp nhanh vào Olly...
Mình cũng vọc thằng này 2 năm nay...
Về cơ bản nó cũng chỉ là môi trường cho mình Debug và Reverse rất bổ ích...đi kèm với nó là rất nhiêu tools plugin cực kỳ good...
Mỗi người có 1 level khác nhau... bạn nào cần send tui cái email...
Tui gửi plugin cho nhé... hok để download lang mang vì...không thích
Bước vào lĩnh vực Debug & Reverse ==> Reverse Engeniering là một quá trình đâu tư dài hơi rất dễ nản chí...nhục chí...nhưng vào là phải cố gắng.
Các bạn có thể tham khảo trên các diễn đàn về Reverse như: HAVonline, ReaOnline....Toàn là những cao thủ reverse....

Chúc các bạn sớm => Reverse Engeniering.

Sponsored content

Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Giới thiệu cơ bản

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?

Re: Lớp mình có ai nghiên cứu "ollydbg" không nhỉ ?