Cracking part 4

sau đó khi Analyze chương trình ta chỉ việc chọn nó từ Plugins menu, công việc tiếp theo là hoàn toàn tự quá trình tìm kiếm nếu như phát hiện chương trình có sử dụng Crypto một hộp thoại thông báo sẽ hiện ra như sau | sau đó khi Analyze chương trình ta chỉ việc chọn nó từ Plugins menu công việc tiếp theo là hoàn toàn tự quá trình tìm kiếm nếu như phát hiện chương trình có sử dụng Crypto một hộp thoại thông báo sẽ hiện ra như sau Một số phím tắt khi sử dụng IDA - Trong tab IDA View-A để nhảy tới entry point của file exe hay các entry point của file dll đang disasm dùng tổ hợp phím Ctrl E - Di chuyển tới một địa chỉ VA phím G - Tìm kiếm chuỗi trong tab Name Strings. Menu- Search Alt-T - Liệt kê các tham chiếu đến một label Menu- Jmp- Jmp to xrefs. hoặc sử dụng phím X - Viết comment cho một đoạn code dùng phím hoặc Shift hai chức năng này hơi khác nhau một chút . - Lưu bookmark Muốn ghi bookmark tại một địa chỉ để sau này còn quay lại ta bấm chuột phải vào phần địa chỉ . trái chọn Mark position Alt M đặt tên bookmark cho dễ nhớ. Liệt kê các bookmark Ctrl M - Thực hiện tính toán trong IDA gõ Shìt để hiện cửa sổ lệnh gõ biểu thức có cú pháp giống ngôn ngữ C. Chức năng này gần tương tự như lệnh calc bên OllyDbg. - Đổi tên label tên biến hay tên hàm cho dễ đọc. di chuyển con trỏ tới đó dùng phím N - Xác định symbolic constant ví dụ trong đoạn code sau Code .text 0040C842 push edx phkResult .text 0040C843 push 0 lpSecurityAttributes .text 0040C845 push 0F003Fh samDesired .text 0040C84A push 0 dwOptions .text 0040C84C push 0 lpClass .text 0040C84E push 0 Reserved .text 0040C850 Services . push offset SubKey Software Microsoft Windows CE .text 0040C855 push 80000002h hKey .text 0040C85A call ds RegCreateKeyExW Indirect Call Near Procedure Để xác định hằng số 80000002h tương ứng với Symbol nào chỉ cần bấm chuột phải chọn Symbolic constant- Use standard. và chọn lấy hằng thích hợp trong list hiện ra Ở đây ta chọn HKEY_LOCAL_MACHINE. Kết quả Code .text 0040C842 push edx phkResult .text 0040C843 push 0 lpSecurityAttributes .text 0040C845 push KEY_ALL _ACCESS samDesired .text 0040C84C .text 0040C84E .text 0040C850 Services . .text 0040C85A push 0 lpClass push 0 Reserved push