Bài viết này sẽ chỉ cho bạn cách dò tìm version của OS Mirosoft : Windows 95,98,Me – hệ điều hành non NT-based và Windows NT4,2000,XP,2003 – hệ điều hành NT-based- mà ko cần dùng hàm APIs để tránh kỷ thuật đảo mã (Reverse Engineer) set breakpoint trên hàm APIs. | Detecting operating systems - Author Thomas Krue -Universitas Virtualis - Ver Tranz by Benina Detecting operating systems without Microsoft Advanced Programming Interface Author Thomas Krue Universitas Virtualis The Assembly-Programming-Journal Vol. 1 No. 1 2004 Tranz by Benina Tiếp theo bài tut PEB TEB structure tôi xin dịch bài tut này để cho các bạn thấy được rõ hơn những kiến thức mà ta đã tìm hiểu được trong tut vừa qua. Vì là bài dịch nên câu cú có thể ko hòan hảo thậm chí hơi khó hiểu mong các bạn thông cảm và nhớ đọc lại nhiều lần tôi đảm bảo các bạn sẽ hiểu thôi. Bài viết này sẽ chỉ cho bạn cách dò tìm version của OS Mirosoft Windows 95 98 Me -hệ điều hành non NT-based và Windows NT4 2000 XP 2003 - hệ điều hành NT-based-mà ko cần dùng hàm APIs để tránh kỷ thuật đảo mã Reverse Engineer set breakpoint trên hàm APIs. I. Introduction Khi phân tích cấu trúc của TEB cũng được biết đến như là TIB Thread Information Block trên các OS khác nhau chúng ta tìm thấy data thêm vào sau cấu trúc này sau khi startup . Data thêm vào này dường như trên OS dựa trên nền tảng NT NT-based có cấu trúc ko logical hay ko có chiều dài định sẳn mà ở đó data thêm vào -đối OS dựa trên nền tảng NT -chứa thông tin bên trong PEB. Vậy chỉ còn cách để mô tả ý nghĩa của data này cho OS ko dựa trên nền tảng NT là debug cùng một ứng dụng trên các OS khác nhau. II. Application start Có nhiều cách để dò tìm ra OS. Có thể thực hiện bằng cách dùng hàm API GetversionEx và checking giá trị trả về của version trong cấu trúc OSVERSIONINFO EX .Hoặc bằng cách truy xuất thanh ghi CS. Cách khác là phân tích các thanh ghi registers trong lúc start up ứng dụng. Có các quy tắc đặc biệt đối với các registers khi OS sửa chửa các thanh ghi registers sẽ như thế nào trước khi thực thi chỉ thị đầu tiên Giá trị startup cho Windows 95 98 ME EAX Entry point ứng dụng EBX 00530000h một giá trị cố định Các giá trị startup cho Windows NT 2000 XP 2003 EAX NULL EBX 7FFDF000h con trỏ trỏ đến PEB Trang 1 6 Detecting .
