Chào mừng các bạn
»»-((¯`·(¯`vŽ¯)--»*** MasterSpy *** «--(¯`vŽ¯)·`¯))-«« - Phá Deep Freeze - Cướp lấy password!!!
ღLONELYღ
  Home
  => Cách tạo một trang web cho riêng mình !
  => Một số địa chỉ trang web hay dành cho bạn, ....cho tôi !
  => 5 bước cơ bản để diệt tận gốc Spyware
  => 10 điều “lính mới” nên biết
  => 10 bước để lập kế hoạch cho nghề nghiệp tương lai của bạn
  => 15 LỜI KHUYÊN HỌC TIẾNG ANH
  => 21 kho lưu dữ liệu miễn phí trên Internet
  => PHƯƠNG PHÁP XỬ LÝ LOGIC VỊ TỪ
  => 50 cuốn sách văn học cần đọc
  => Những bài học từ Adam Khoo
  => Dùng Admodify.net để quản trị và phục hồi Exchange 2003
  => Cuộc đời của Albert Einstein
  => Cảnh giác với hacker và keylogger!
  => Phần mềm miễn phí giúp bảo vệ computer khi online
  => Học thi - cần ăn uống hợp lý
  => Hacker “oánh” mỗi PC chỉ mất 39 giây
  => Xác định nguyên nhân máy tính tự khởi động !
  => Diệt virus Autorun
  => Bấm dây mạng !
  => Bảo vệ mắt khi sử dụng máy tính !
  => Blog ra đời như thế nào?
  => Bài tập Pascal kiểu bản ghi !
  => Hướng dẫn ôn tập lập trình Pascal căn bản !
  => Cách Diệt Virus
  => Cách gỡ bỏ thủ công Symantec Antivirus an toàn (Phần I)
  => Tổng hợp các lệnh ngoài DOS
  => Cài HIREN BOOTCD vào ổ cứng để cứu hộ
  => Cài windows media player 11 ( không cần active window)
  => Cấu hình mạng ADSL cho người dùng tại nhà
  => Thiết Lập Sevice trong windows XP (giúp máy chạy nhanh hơn)
  => Giới Thiệu Centos
  => Chẩn đoán lỗi của màn hình !
  => Chọn DNS truy cập mạng !
  => Kinh nghiệm phòng chống virus, spyware
  => Trắc nghiệm nghiệp vụ kế toán bằng tiếng Anh !
  => Hướng dẫn chụp hình bằng webcam
  => Tổng Hợp Code Dùng Trong Việc Tạo BLOG
  => Công dụng của các dịch vụ trong Windows
  => Sử dụng Popcap game mãi mãi !
  => Cử nhân CNTT không làm CNTT
  => Tìm hiểu DNS.Các bước thiết lập khi mới đăng ký tên miền
  => Làm DNS server online
  => Nội dung định nghĩa về vật chất của Lê Nin
  => Đọc và ... suy nghĩ !
  => Đôi điều về bảo mật hệ thống mạng trong công ty!
  => Khắc phục lỗi 999 Error của Yahoo
  => Chuyển dữ liệu của ổ C từ FAT32 thành NTFS
  => Gỡ password CMOS bằng cách nào?
  => Phần I: Cơ bản về lỗi "màn hình xanh" trong Windows
  => Tổng quan về Group Policy - từ đơn giản đến phức tạp !
  => Gửi nhiều file qua Yahoo Mail
  => Từ XP cài Hacao Linux 2.16 Pro (file ISO) vào đĩa cứng (LiveCD)
  => Chịu thuế và không chịu thuế
  => Hội thảo qua mạng với NetMeeting
  => HOST Free
  => Hướng dẫn download trên megaupload
  => KGB nén File từ 450MB còn 1.43MB rất tiện chia sẻ file trên mạng
  => Khắc phục rớt mạng liên tục
  => Kiến trúc Oracle
  => Thành công trên giảng đường đại học
  => Kỹ thuật Photoshop cơ bản !
  => Kinh nghiệm học tiếng ANH
  => KInh nghiệm học TOÁN CAO CẤP
  => Đôi điều về quá trình làm luận văn (Phần 2)
  => Làm theme cho Blog 360
  => Chia sẻ những điều học được từ cách làm việc theo nhóm
  => Vạch kế hoạch cho tương lai
  => Các Lệnh Cơ Bản trong LINUX
  => Lịch sử các nước ĐẾ QUỐC
  => Lịch sử Việt Nam
  => Links những trang web hay
  => Tạo mail server online bằng IP Động
  => Tự làm giao diện cho Yahoo Mash!
  => Mấy điểm cần tránh
  => Hỏi về IPHONE
  => Máy tính không khởi động từ ổ đĩa cứng!...?
  => MIÊU TẢ SẢN PHẨM MÁY IN hp1320
  => Phá Deep Freeze - Cướp lấy password!!!
  => Những "tuyệt chiêu" chọn mua laptop cũ
  => NHỮNG NGUYÊN TẮC CƠ BẢN CỦA BÁO CHÍ
  => Tìm hiểu nhân của hệ điều hành Linux
  => Sửa lỗi NTLDR is missing
  => Ổ cứng chóng hỏng vì... điều hòa nhiệt độ
  => Những phím tắt thông dụng trong Photoshop 7.0
  => Phím tắt trong WORDS
  => Bí mật của PHỤ NỮ
  => Hướng dẫn post hình lên mạng, và 1 số website để upload hình
  => Chương trình quản lý số điện thoại !
  => Quản lý các mạng Windows dùng script - Phần 2: Hoàn chỉnh script -
  => Cấu hình cho máy in N2500
  => Xóa nick của mình trong Friend List của người khác
  => Rollback Rx Pro:
  => User và pass của một số router
  => Giải pháp sao lưu trực tuyến miễn phí (Phần cuối)
  => Vài điều về Scanner
  => Chọn hệ điều hành của bạn
  => Làm server online tận dụng đường truyền ADSL
  => Thuật toán - Cấu trúc dữ liệu
  => So sánh Oracle và SQL Server ?
  => Cấu hình các công nghệ bảo vệ mạng Windows XP SP2 trên một máy tính
  => Tổng quan về tiết kiệm điện khi sử dụng máy tính !
  => Phần IV: Xử lý sự cố phần cứng
  => CÁC VẤN ĐỀ VỀ SỨC KHỎE PHỤ NỮ
  => Sử dụng phím tắt với Internet Explorer 7
  => SỰ PHÁT TRIỂN CỦA SINH VẬT
  => Nguồn gốc máng cỏ giáng sinh
  => Sưu tầm câu đố !
  => SVCHOST
  => Phòng chống virus cho mạng máy tính doanh nghiệp: kinh nghiệm thực tế
  => Các lệnh căn bản trong ngôn ngữ html
  => Sức mạnh của card đồ họa !
  => Cách tải Nhạc nét
  => Triết học và tâm sự của các nhà giáo
  => Phát triển chiều cao
  => Tăng tốc toàn bộ máy tính bằng tay
  => Tăng tốc WinXP
  => Chống mất cắp cho laptop với Laptop Alarm
  => Tạo file ghost!
  => Tạo một CSS layout từ một bản thiết kế (Phần 1 đến 8)
  => Tạo nick ảo trong Yahoo Messenger
  => Tết Đoan Ngọ bắt đầu từ giữa trưa
  => Thói quen tốt: Nghĩ vậy mà không phải vậy
  => Thomas Edison & những phát minh vĩ đại -
  => Windows Vista: các thủ thuật nhỏ khi sử dụng
  => Thủ thuật Blog 360
  => Thủ thuật Internet Explorer 7
  => Thủ thuật tăng tốc cho Windows
  => Thủ thuật Visual basic
  => Thủ thuật Yahoo! Messenger
  => Yahoo Messenger
  => Khám phá mạng xã hội Yahoo! Mash
  => Mẹo tìm kiếm
  => Tìm kiếm trong Excel
  => Tóc hợp khuôn mặt
  => Tokyo - Một chuyến đi
  => Mười quy luật then chốt về Bảo mật
  => Tổng hợp tất cả các kỹ thuật vượt tường lửa
  => Trang trí USB
  => Thuật toán - Cấu trúc dữ liệu CRC (Cyclic Redundancy Check)
  => Các Tuyệt kỹ khiến phái nữ phải ngã lòng
  => CÁCH UP ẢNH QUA HOST TẠI DIỄN ĐÀN
  => Quản lý danh sách bạn chat trong Yahoo! Messenger
  => Error Doctor 2007
  => TuneUp Utilities® 2007
  => Bộ gõ tiếng Việt: Unikey
  => Hướng dẫn viết bài
  => Tường lửa mới trong Windows Vista và Windows Server Longhorn
  => Web 2.0 không chỉ là công nghệ
  => Các website hữu ích về du học bậc sau đại học tại Hoa Kỳ
  => Wi-fi và an toàn thông tin
  => Thuật toán - Cấu trúc dữ liệu So khớp chuỗi với các ký tự wildcard
  => Xóa địa chỉ và homepage
  => USB không cho ghi
  => Yêu cầu của Quản trị mạng
  => Cách Add Feed trong Blog 360
  => Cách tạo theme trong suốt
  => Đề cương KT-Chính Trị
  Contact
  Guestbook
  Story
  Kiếm tiền thật dễ dàng

Biển xanh ... cát trắng

 

 

Phá Deep Freeze - Cướp lấy password!!!

I. LỜI KHUYẾN CÁO

Xin thưa với các bạn !

Hiện nay, trên giang hồ xuất hiện phần mềm UnDeep Freeze, đây là 1 phần mềm – theo tôi – có sức “tàn phá” kinh khủng …khiếp. Nó chẳng những làm hư Deep Freeze mà còn làm hư luôn hệ thống (system) của Windows.

Sau nhiều đêm mày mò, “ngâm kíu” các tài liệu. Cuối cùng tôi cũng tìm được cách phá Deep Freeze. Cách này đơn thuần chỉ là “cướp lấy” password để đăng nhập vào menu của Deep Freeze chứ không làm hư Deep Freeze và hệ thống windows. Nay mạn phép viết bài này để hướng dẫn.

Mục đích của tôi khi viết bài hướng dẫn này là chỉ muốn chia sẻ kinh nghệm mà mình đã học hỏi được. Vậy kính mong các bạn đừng áp dụng bài viết này với mục đích xấu, cài keylog, trojan… nhất là những người đang kinh doanh hàng net, họ thường hay sử dụng Deep Freeze để giảm thiểu tối đa khả năng bị hư máy và bị virus tấn công… Họ cũng có nỗi khổ riêng của họ.

Bạn chỉ nên sử dụng bài viết này với mục đích học hỏi, tốt nhất chỉ áp dụng cho máy nhà khi bạn lỡ quên password của Deep Freeze.

II. MỘT SỐ LƯU Ý TRƯỚC KHI TIẾN HÀNH PHÁ DEEP FREEZE

1. OllyDebug

Đầu tiên, bạn phải có công cụ OllyDebug. Đây là công cụ để dịch ngược file *.exe, *.dll về ngôn ngữ ASM. Nhưng tôi chọn và dùng nó để phá Deep Freeze mặc dù không dính dáng gì đến ngôn ngữ ASM.


OllyDebug hiện nay trên giang hồ là rất hiếm gặp. Nếu có gặp đi nữa thì nguyên bản này lại không có phần Plugins (chứa phần OllyScript, là phần chính để phá Deep Freeze, và phần Plugins lại càng hiếm gặp hơn cái OllyDebug đó nữa). Tôi phải bỏ ra thời gian hơn 1 tuần để tìm kiếm, nhưng chỉ tìm được phần mã nguồn của Plugins này, tôi phải nhờ 1 bạn trong diễn đàn (diendantinhoc.com) dịch hộ thành file thư viện.

Nhưng bạn đừng lo, nếu tôi đã viết bài hướng dẫn rồi thì cũng phải cung cấp công cụ chứ ?
Bạn có thể download OllyDebug tại địa chỉ dưới đây (nếu không tải được, bạn hãy liên hệ với tôi qua nick yahoohoo hoặc qua email):

===== >Click to download OllyDebug < =====
===== >Click to download Tutorial Huongdan < ===== (đây là ebooks hướng dẫn đầy đủ chi tiết hơn trên diễn đàn).

Sau khi bạn tải OllyDebug về, tiến hành giải nén và chạy file OllyDBG.exe để vào giao diện chính của OllyDebug. Bạn sẽ được giao diện như hình trên.

2. Vị trí biểu tượng của Deep Freeze trên thanh taskbar:

Bạn phải để ý vị trí của biểu tượng này, vì khi tiến hành phá Deep Freeze, sẽ có 1 biểu tượng Deep Freeze khác xuất hiện nằm kế bên. Bạn để ý nó để phân biệt đâu là biểu tượng cũ, và đâu là biểu tượng mới (xem hình)



3. Xem phiên bản của Deep Freeze mà máy đang dùng:


Để xem được phiên bản của Deep Freeze mà máy đang dùng, bạn hãy ấn phím tổ hợp CTRL + ALT + SHIFT + F6. Khi đó, menu nhập password của Deep Freeze sẽ hiển thị lên. Bạn nhìn vào góc trái, trên của menu này thì sẽ thấy phiên bản của nó.

Bạn hãy ghi nhớ số phiên bản này, đây là cơ sở để tìm offset phá Deep Freeze.

4. Tìm đường dẫn, thư mục cài đặt tệp FrzState2k.exe của Deep Freeze:

Thông thường, Deep Freeze được cài mặc định tại thư mục “ C:Program FilesFaronicsDeep FreezeInstall C-0"
Trong thư mục này lại có chứa 1 tệp (DF5Serv.exe ) và 1 thư mục con ( _$Df ). Trong thư mục con lại chứa tệp FrzState2k.exe. Đây là tệp chính thức dùng để phá.

Túm lại, nó có đường dẫn đầy đủ như sau:
C:Program FilesFaronicsDeep FreezeInstall C-0_$DfFrzState2k.exe
Lưu ý: trên đây chỉ là 1 ví dụ về đường dẫn của tệp FrzState2k.exe. Nó có thể thay đổi tùy theo sự cài đặt của chủ máy.

Chú ý: bạn có thể dùng phần mềm ProcessExplorer để tìm đường dẫn cài đặt Deep Freeze và điểm Argument của nó.
===> Download ProcessExplorer tại đây <====


Giao diện của ProcessExplorer

Command Line và Arguments của Deep Freeze

III. TIẾN HÀNH PHÁ DEEP FREEZE

1. Dùng OllyDebug, mở tệp FrzState2k.exe:

Bạn hãy chạy tệp OllyDBG.exe để vào giao diện của OllyDebug. Sau đó bấm vào biểu tượng open trên thanh menu (hoặc bấm phím tắt F3, hoặc vào menu FileOpen).
Trong hộp thọai Open này, bạn lần theo đường dẫn của tệp FrzState2k.exe (vừa tìm được trên mục II.4). Hãy nhập vào các mục của hộp thọai Open như sau (xem hình):

- File name:
FrzState2k.exe
- Arguments:
1 106917 0 (lưu ý, có khoảng trắng)

Sau đó bấm open. OllyDebug sẽ hiển thị 1 hộp thọai thông báo khác, nội dung như sau:
---------------------------
Entry Point Alert
---------------------------
Module 'FrzState' has entry point outside the code (as specified in the PE header). Maybe this file is Self-extracting or self-modifying. Please keep it in mind when setting breakpoints!
---------------------------

Bạn cứ bấm OK.

Trong quá trình OllyDebug tiến hành dịch mã, có thể sẽ có lỗi xảy ra về modul như sau:
---------------------------
Compressed code?
---------------------------
Quick statistical test of module 'FrzState' reports that its code section is either compressed, encrypted, or contains large amount of embedded data. Results of code analysis can be very unreliable or simply wrong. Do you want to continue analysis?
---------------------------
Yes No
---------------------------

Trường hợp này bạn bấm YES. Hoặc:

---------------------------
Error
---------------------------
In module 'FrzState' OllyDbg encountered several corrupted breakpoints, where first byte of the actual command differs from that in the previous debugging session. This happens when program was recompiled or code is self-modifying (for example, self-extracting). For security reasons, OllyDbg will disable suspicious INT3 breakpoints. You can re-enable them in Breakpoints window.
---------------------------
OK
---------------------------

Trường hợp này bạn bấm OK.

2. Chạy Scripts, vào Plugins>>Script>>Run Script>>Load…


Như tôi đã nói ngay từ đầu, phần Spcript này chỉ có khi bạn đã plugins thư viện Script cho OllyDebug. Nếu chưa có, bạn hãy tìm file OllyScript.dll và plugins cho nó, nhớ xóa tệp Ollydbg.ini trong cùng thư mục của nó trước khi chạy OllyDBG.exe.
Khi OllyDebug dịch mã sang ASM xong, bạn bấm vào menu Plugins của OllyDebug. Chọn OllyScript>>Run script >> Load…


Lúc này, OllyDebug sẽ hiển thị hộp thọai Load lên, bạn chọn file "UPS.OSC". File này đã có sẵn trong thư mục đã bung OllyDebug.zip (như hình dưới)


Sau khi Script hòan tất. Bạn bấm OK. Bạn sẽ được Address mới trong Editor của OllyDebug.

3. Dịch chuyển đến vị trí Expression (ứng với từng phiên bản Deep Freeze thì vị trí này khác nhau)

Tiếp theo, bạn chuột phải lên bất kì vị trí nào của màn hình OllyDebug, chọn "Go to>>Expression" để dịch chuyển đến vị trí mới khác nữa. Thao tác này bạn có thể làm nhanh bằng cách ấn phím tổ hợp CTRL + G

Trong hộp thọai Goto (enter expression to follow), bạn gõ vào con số (hexa) tương ứng với từng phiên bản của Deep Freeze (phiên bản mà bạn xem được ở mục II.3 trên). Lần lượt, tôi sẽ đưa ra các con số tương ứng với từng phiên bản như sau:

Version ----> Hexa Number
4.20.020.0598 ----> 40368D
4.20.020.0604 ----> 40368D
4.20.021.0598 ----> 40368D
4.20.121.0613 ----> 4034F5
5.20.022.1125 ----> 4037E9
5.20.250.1125 ----> 408D34
5.30.021.1181 ---->
4037E9
5.30.150.1181 ----> 4037E9
5.50.021.1288 ----> 403860

Nếu bạn đang sử dụng Deep Freeze với 1 phiên bản khác (không thấy trong list trên) thì bạn có thể nhập lần lượt các Hexa Number trên để thử, cho đến khi nào được thì thôi.
Do tôi đang thực hành trên phiên bản 5.30.021.1181 nên tôi nhập vào con số 4037E9 (như hình sau)


Sau đó ấn OK. Tôi sẽ được OllyDebug đưa đến 1 vị trí mới trên "bảng xếp hạng" Address.

4. Xác định điểm breakpoint cho OllyDebug

Kế tiếp, bạn nhấn F2 - hoặc chuột phải vào vị trí goto vừa đến trên màn hình của OllyDebug, sau đó chọn BreakPoint>>Toggle - xác định điểm Break Point.

Nếu OllyDebug hiển thị hộp thọai xác nhận thì bạn bấm OK. Nội dung hộp thọai xác nhận như sau:
---------------------------
Suspicious breakpoint
---------------------------
It looks like you are trying to set breakpoint on the data. If this is really the case, such breakpoint will not execute and may have disastrous influence on the debugged program. Do you really want to set breakpoint here?
---------------------------
Yes No
---------------------------


5. Test lần thứ 1 chương trình FrzState2k.exe


Khi có được vị trí BreakPoint rồi, bạn ấn F9 (hoặc vào menu Debug>>Run) để tiến hành test lần thứ 1 chương trình FrzState2k.exe
Sau khi OllyDebug test xong. Sẽ có 1 biểu tượng Deep Freeze mới (new icon) xuất hiện dưới taskbar của bạn, biểu tượng này nằm tại vị trí thứ 1 kể từ bên trái sang.

Bạn hãy phân biệt cái biểu tượng mới (new icon) này so với cái biểu tượng cũ (old icon) mà ta đã để ý ở phần II.2 trên.

6. Mở hộp thọai nhập password của new icon

Để mở hộp thọai password của biểu tượng thứ 2 này, ta không thể nào dùng phím tổ hợp CTRL + ALT + SHIFT + F6, vì nếu vậy thì máy tính sẽ lầm tưởng ta mở hộp thọai password của biểu tượng thứ 1 (old icon). Ta hãy dùng chuột để mở password của cái new icon này. Bạn hãy bấm tổ hợp phím CTRL + ALT + SHIFT, sau đó nhấp kép chuột trái vào biểu tượng mới (new icon).

Khi hộp thọai nhập password hiển thị, bạn nhập vào đó một chuỗi kí tự bất kì để làm password. Xong ấn OK. Hộp thọai password này không mất đi mà nó vẫn còn hiển thị trên màn hình (bạn chịu khó nhé, đừng bao giờ tắt nó – mà tắt cũng hổng được trừ khi bạn tắt OllyDebug). Sau khi nhập password xong, OllyDebug sẽ lần lượt đưa bạn đến các vị trí khó tìm ( khó tìm trong các thủ thuật mò password khác).

Khi này, nếu thấy chữ "Pause" màu đỏ nền vàng hiển thị phía dưới, góc phải của OllyDebug. Bạn hãy bấm F8 để OllyDebug tiếp tục gọi các function khác. Có thể trong quá trình gọi function, OllyDebug sẽ hiển thị hộp thọai breakpoint. Nội dung hộp thọai như sau:
---------------------------
Suspicious breakpoint
---------------------------
It looks like you are trying to set breakpoint on the data. If this is really the case, such breakpoint will not execute and may have disastrous influence on the debugged program. Do you really want to set breakpoint here?
---------------------------
Yes No
---------------------------


Bạn hãy bấm YES.
Lặp lại các thao tác trên cho đến khi nào trên thanh Registers của OllyDebug hiển thị:
Registers
EAX 00000000
ECX 00000001
EDX 0012FB80
EBX 009D5610
ESP 0012FB70
Xem hình dưới:


7. Thay đổi giá trị thanh ghi AX (tương ứng là EAX trong OnlyDebug)

Bạn hãy chú ý vị trí thanh AX, giá trị của thanh này hiện giờ là 0. Bạn hãy bấm kép vào vị trí EAX này để OllyDebug hiển thị hộp thọai chỉnh sửa giá trị. Bạn nhập vào đó giá trị 1

Xong nhấn OK.

8. Đăng nhập vào hộp thọai Boot Control của Deep Freeze – hòan tất quá trình phá Deep Freeze

Khi thay đổi giá trị của thanh AX xong. Bạn tiếp tục F9 (hoặc vào menu Debug>>Run) để OllyDebug test lần 2 với giá trị AX vừa mới nhập này. Và cái điều gì đã xảy ra sau đó ?

Công đọan tiếp theo là gì, đó là tùy vào mục đích của bạn. Bạn có thể chọn Boot Thawed on next, hoặc Boot Thawed để mở phá băng. Sau đó restart lại máy.

Tham khảo nguồn: http://www.ethicalhacker.net/component/
(Bài sưu tầm)
 
Today, there have been 1 visitors (2 hits) on this page!
=> Do you also want a homepage for free? Then click here! <=
Đến với thành phố biển Vũng Tàu