26 พฤศจิกายน 2552
เรื่องโปรแกรม AA
ไม่รู้คนติดตามจะรู้เรื่องหรือเปล่านะ แต่พักนี้มีปัญหาครับ เลยอาจต้องหายไปซักพัก เดี๋ยวจะมาแก้บล๊อกใหม่ครับ
22 สิงหาคม 2552
หวังดีจาก nProtect ก่อนซ่อมกล้อง ควรถอดเมมออกเก็บไว้ที่เราทุกครั้ง
ที่มาเตือนนี้ ด้วยความหวังดี สำหรับสาวๆ และสำหรับคนทั่วไปนะครับ อิอิ อ้อ มือถือด้วยนะครับ อย่าลืมเด็กขาดอันนี้ของผมเองเด้อ
เหตุที่ว่าทำไมน่ะหรอครับ? เพราะว่า ผมต้องไปรับจ๊อบ ซ่อมคอมเครื่องนึงให้ร้านถ่ายรูปในวันนั้น(ร้านของรุ่นพี่นั่นแหละ) ซึ่งเขา กำลังซ่อมกล้องให้ลูกค้าเขาอยู่ (ซึ่งกลับไปแล้ว) ผมเห็นพี่เขาถอดเมมออกมาใส่การ์ดรีดเดอร์ แล้วเปิดโปรแกรมพวก File Recovery (ตอนนั้น ดันใช้ผม ให้หยิบแฟรชไดร์เขามา เจริญ) พอกู้เสร็จ เขาก็จัดแจง Save All File ลงในแฟรชไดร์เขา แต่เมื่อเปิดดู(ผมเดาได้ว่า เขาทำอะไร) รูปแรกๆ ไม่เท่าใหร่ แต่รูปกลางๆ กะหลังๆ...... ทำพี่กะผม จ้องกันตาค้างรูปที่ลูกค้า ถ่ายตัวเองตอนโป้ๆ คับพี่น้องคับ พร้อมคลิป .mp4 ที่เอาออกมาได้อีกประมาณ 4-5 ไฟล์ไฟล์แรกๆ เป็นถ่ายคู่กะเพื่อน (เหมือนจะเป็นงานโรงเรียน) ที่หลังๆ ถ่ายตอนไม่มีเสื้อผ้ากะแฟนเขา(คงไม่ต้องเดานะว่าอะไร) ผมเห็นแล้วเลยขอก๊อบมาเก็บมั่ง กิกิ (ตรงกะที่เดาไว้ตอนแรก ว่าทำอะไร)
จากเรื่องที่ผมเล่ามา จะเห็นว่า ถึงแม้ คุณจะลบไปแล้ว แต่มันลบแค่ชื่อไฟล์ออกไป ซึ่งเนื้อหาไฟล์จริงๆ ยังคงอยู่ในเมมโมรี่การ์ด และยังสามารถเอากลับออกมาด้วยโปรแกรมกู้ไฟล์ ซึ่งเป็นสาเหตุของรูปหลุด คลิปหลุดต่างๆ นาๆ เลยขอเตือนนะครับ
ว่า ก่อนซ่อมกล้อง หรือโทรศัพท์มือถือทุกครั้ง อย่าลืม ถอดเมมโมรี่การ์ด เก็บไว้ที่เราทุกครั้งไม่งั้น อาจจะเสียใจทีหลังก็ได้นะครับ
05 สิงหาคม 2552
Y2K คืออะไร และเรื่องวุ่นวายอย่างไร เมื่อเกิดขึ้น
หลายๆ คนที่เกิดทันยุค Y2K คงรู้เรื่องนี้กันดี แต่คนที่เกิดไม่ทันก็เริ่มไม่รู้เรื่อง เพราะความทรงจำ และหนังสือ ข้อมูลเกี่ยวกับเรื่องนี้ ก็ค่อยๆ เลือนหายไปตามกาลเวลา (แต่ใน google ยังมี ลองหาข้อมูลกันดูครับ) และเมื่อเกิดเรื่อง Y2K ซึ่งเป็นปัญหาใหญ่หลวงระดับโลก ทำให้ระบบที่เกี่ยวกับคอมพิวเตอร์ทั้งหมดรวนครับ ซึ่งความเป็นมา มีดังนี้ครับ
สมัยก่อน แรม 128 KB (กิโลไบตจริงๆนะครับ) มีราคาแพงมาก (พอๆ กับ DDR2 3 GB ตอนนี้เลย) ทำให้คนพัฒนาโปรแกรม ต้องประหยัดหน่วยความจำ โดยการใช้ปี 2 หลักแทน เช่น 1993 ก็ใช้ 93 แทน ซึ่งผลก็คือ เมื่อเลยเที่ยงคืนไป ทำให้ปี รีเซทกลับเป็น 1940 ซึ่งจะทำให้ระบบ เช่น การสื่อสาร โรงพยาบาล ระบบควบคุมต่างๆ ต้องหยุดชะงักลงไป ส่งผลให้เกิดความเสียหายกันทั่วโลกเลยครับ โดยการเสียหายที่เกิดขึ้น ที่ผมทราบมา มีดังนี้ครับ
- ถ้าคุณคุยโทรศัพท์ตอนวันที่ 31 ธันวาคม 1999 ต่อเนื่องจนถึง 1 มกราคม 2000 คุณจะโดนคิดค่าโทรศัพท์ย้อนหลัง 100 ปี (โดนมากับตัว)
- ระบบกล้องวงจรปิด เกิดอาการรวน และหยุดทำงานเนื่องจากเกิดการ Crash
- บัญชีธนาคารทุกคน โดนคิดดอกเีบี้ยล่วงหน้า 100 ปี (จนเจ๊งไปหลายธนาคาร) และ ดอกเบี้ยเงินกู้ โดนคิดล่วงหน้า 100 ปี (จนล้มละลายไปหลายคน / บริษัท)
- โรงไฟฟ้านิวเคลียร์ คอมที่ควบคุมเตาปฎิกรรวน (อันนี้เขาปิดทันครับ เลยไม่เจอปัญหา)
ฯลฯ
จะเห็นว่า มันร้ายแรงมากครับ - - ระดับโลกเลยทีเดียว ถ้าจะหาข้อมูลเพิ่มเติม ลองดูใน google นะครับ
สมัยก่อน แรม 128 KB (กิโลไบตจริงๆนะครับ) มีราคาแพงมาก (พอๆ กับ DDR2 3 GB ตอนนี้เลย) ทำให้คนพัฒนาโปรแกรม ต้องประหยัดหน่วยความจำ โดยการใช้ปี 2 หลักแทน เช่น 1993 ก็ใช้ 93 แทน ซึ่งผลก็คือ เมื่อเลยเที่ยงคืนไป ทำให้ปี รีเซทกลับเป็น 1940 ซึ่งจะทำให้ระบบ เช่น การสื่อสาร โรงพยาบาล ระบบควบคุมต่างๆ ต้องหยุดชะงักลงไป ส่งผลให้เกิดความเสียหายกันทั่วโลกเลยครับ โดยการเสียหายที่เกิดขึ้น ที่ผมทราบมา มีดังนี้ครับ
- ถ้าคุณคุยโทรศัพท์ตอนวันที่ 31 ธันวาคม 1999 ต่อเนื่องจนถึง 1 มกราคม 2000 คุณจะโดนคิดค่าโทรศัพท์ย้อนหลัง 100 ปี (โดนมากับตัว)
- ระบบกล้องวงจรปิด เกิดอาการรวน และหยุดทำงานเนื่องจากเกิดการ Crash
- บัญชีธนาคารทุกคน โดนคิดดอกเีบี้ยล่วงหน้า 100 ปี (จนเจ๊งไปหลายธนาคาร) และ ดอกเบี้ยเงินกู้ โดนคิดล่วงหน้า 100 ปี (จนล้มละลายไปหลายคน / บริษัท)
- โรงไฟฟ้านิวเคลียร์ คอมที่ควบคุมเตาปฎิกรรวน (อันนี้เขาปิดทันครับ เลยไม่เจอปัญหา)
ฯลฯ
จะเห็นว่า มันร้ายแรงมากครับ - - ระดับโลกเลยทีเดียว ถ้าจะหาข้อมูลเพิ่มเติม ลองดูใน google นะครับ
06 มิถุนายน 2552
เรื่องลับๆ ของ Windows ที่เราใช้ทุกวันนี้
คงไม่มีคนรู้นะครับ (หรือมีรู้มามั่ง) ว่า Windows เรามีความลับอะไรที่มันซ่อนเอาไว้ (ไม่ใช่พวกโปรแกรมนะ) เอาหละ เรามาดูกันครับ วันนี้ผมจะเปิดโปงเอง งิงิ
1.Reversed file name
มันคือ ไฟล์ที่ตั้งชื่อไม่ได้นั่นเอง ไม่เชื่อ ลองสร้างโฟลเดอร์ แล้วตั้งชื่อใดชื่อหนึ่งในการข้างล่างนี้ครับ
CON - Console
PRN - Printer Port
AUX - Auxilary port
NUL - NULL Device
Console คือ ดอสครับ อธิบายกันก่อนเลย ส่วนใครอยากรู้ ก็ลองทำตามนี้ดูนะครับ
1.สร้างไฟล์ txt ขึ้นมา ชื่ออะไรก็ได้ ในที่นี้ัตั้งชื่อว่า mytext.txt
2.เปิด cmd แล้ว cd ไปยังที่ๆ เก็บไฟล์ txt
3.เปิดไฟล์ขึ้นมา แล้วพิมพ์อะไรไปก็ได้ (แนะนำเป็นภาษาอังกฤษ เพราะดอสอ่านไทยไม่ได้)
4.เซฟไฟล์ กลับมาที่ cmd แล้วพิมพ์ copy mytext.txt con
จะเห็นผลดังภาพครับ (คลิกดูรูปใหญ่)
เราจะเห็นว่า มันส่งข้อมูลเข้าไปใน cmd ครับ และ เรา copy ไฟล์ txt ไปยัง con คือคอนโซล ซึ่งเป็นปลายทาง เลยทำให้ cmd แสดงข้อมูลในไฟล์ออกมาครับ และถ้าเราเปลี่ยนจาก con ไปเป็น prn จะเห็นว่า มันจะปริ้น txt ออกมาเลย (ใช้เครื่องพิมพ์แบบหัวเข็มนะ แบบอื่นไม่ได้)
และเวลาเราอยากจะสร้างไฟล์นี้ ไม่ยากครับ ทำตามขั้นตอนนี้ได้เลย
1.เข้า cmd (เหมือนเดิม) สั่ง cd ไปที่หน้าที่ต้องการ จากนั้น พิมพ์ md \\.\C:\con
2.จะเห็นว่า โฟลเดอร์ con อยู่ในไดร์ C แล้วครับ
1.กลับไปที่ cmd (อีกละ)
2.พิมพ์ rd \\.\C:\con ครับ
จะเห็นว่า มันหายไปแว้วว งิงิ ^^ สำหรับใครจะเอาไปทำอะไร ก็ใช้ได้เลยครับ สร้างยาก ลบยาก สมชื่อจริงๆ เหอๆๆ
2.Ghost File (อีกชื่อคือ ADS File)
เห็นชื่อไม่ต้องตกใจครับ มันคือไฟล์อีกแบบนึงครับ ซึ่งเป็น Bug ของตัวคอมพิวเตอร์เอง ซึ่งไฟล์ที่สร้างมานี้ จะไม่สามารถมองเห็นได้เลย แม้ว่าในดอส ก็ิมองไม่เห็นไฟล์นี้ครับ ^^ ง่ายๆ ทุกระบบปฏิบัติการ จะมองไม่เห็น Ghost File เลย แต่มันมีอยู่จริงๆ เน้อ โดยมัลแวร์บางตัว ใช้ช่องโหว่ตรงนี้ ในการซ่อนตัวเองเพื่อให้ผู้ใช้หาไม่เจอ (ไ่ม่มีไฟล์ แต่รันได้ จริงๆ นะ)
อธิบายแบบเข้าใจง่ายคือ Ghost File จะเป็นไฟล์ที่ทุกระบบมองไม่เห็น แต่สามารถเรียกดูได้ครับ
งงหละสิ เรามีดูวิธีสร้างไฟล์แบบนี้กันครับ
1.ไปที่ cmd (อีกแล้ว = =)
2.cd ไปทีื่ C:\>
3.ลองพิมพ์ type C:\Windows\regedit.exe > testfile.txt:reg.exe แล้วกด enter
4.เราจะเห็นไฟล์ที่ชื่อ testfile.txt ขึ้นมา เหมือน txt ปกติครับ ลองพิมพ์อะไรก็ได้ลงไปดู ตรงนี้ เนียนมากครับ เพราะสามารถโหลด เซฟ ได้เหมือน txt ปกติจริงๆ แต่ เรามาลองรันตัวนี้ดูครับ
พิมพ์ start C:\testfile.txt:reg.exe ดูครับ จะเด้งหน้าจอ Registry Editor มา งงมั้ยหละครับ จากนั้น ไปสังเกตุใน Task Manager ดูแล้วคุณจะงงยิ่งกว่าเดิม
เหอๆๆ นี่คือหลักการครับ ผมถึงเรียกว่าไฟล์ผีครับ ซึ่งผมเอาไปประยุกต์ใช้ได้หลายอย่างเลย เช่น ซ่อนหนังโป๊ในไฟล์ exe จะได้ไม่มีคนสงสัย ^^ ส่วนจะทำยังไง ไปคิดกันเอาเองครับป๋ม
วิธีลบก็ง่ายๆ ครับ กด Delete ทิ้งไปได้เลย
อ่อ แล้วที่สำคัญ ไฟล์นี้ สามารถก๊อบข้ามไดร์ โดยที่ยังติดไฟล์ผีที่ถูกซ่อนมาด้วยครับ เช่น เราก๊อบ testfile.txt ซึ่งมี registry editor (ไฟล์ผี) ติดไปด้วยลงในแฟรชไดร์ เราสามารถใช้วิธีการดังกล่าว รันในอีกเครื่องได้ครับ ^^
วันนี้ขอบายละ เขียนยาว
นี่ครับ วิธีซ่อนหนังโป๊ของผม ที่เนียน จนใครจับไม่ได้เลยครับ ^^ ดูเผินๆ จะเหมือนรูปปกตินั่นเอง
1.Reversed file name
มันคือ ไฟล์ที่ตั้งชื่อไม่ได้นั่นเอง ไม่เชื่อ ลองสร้างโฟลเดอร์ แล้วตั้งชื่อใดชื่อหนึ่งในการข้างล่างนี้ครับ
CON, PRN, AUX, NUL, COM0, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9จะเห็นว่า คุณไม่สามารถตั้งชื่อนี้ได้ เหอๆ เพราะอะไรนะหรอ เดี๋ยวเราจะมาบอกสาเหตุกันนะครับ ก่อนอื่น ทุกคนคงสังเกตุว่า แต่ละชื่อ มันเป็นชื่อ Port ของเครื่องคอมพิวเตอร์ทั้งนั้นโดยมีไม่กี่อัน เรามาดูดีกว่า ว่า 4 ตัวแรก มันคืออะไร (ตัวอื่นๆ น่าจะพอเดาออกกันนะครับ)
LPT0, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, LPT9.
CON - Console
PRN - Printer Port
AUX - Auxilary port
NUL - NULL Device
Console คือ ดอสครับ อธิบายกันก่อนเลย ส่วนใครอยากรู้ ก็ลองทำตามนี้ดูนะครับ
1.สร้างไฟล์ txt ขึ้นมา ชื่ออะไรก็ได้ ในที่นี้ัตั้งชื่อว่า mytext.txt
2.เปิด cmd แล้ว cd ไปยังที่ๆ เก็บไฟล์ txt
3.เปิดไฟล์ขึ้นมา แล้วพิมพ์อะไรไปก็ได้ (แนะนำเป็นภาษาอังกฤษ เพราะดอสอ่านไทยไม่ได้)
4.เซฟไฟล์ กลับมาที่ cmd แล้วพิมพ์ copy mytext.txt con
จะเห็นผลดังภาพครับ (คลิกดูรูปใหญ่)
เราจะเห็นว่า มันส่งข้อมูลเข้าไปใน cmd ครับ และ เรา copy ไฟล์ txt ไปยัง con คือคอนโซล ซึ่งเป็นปลายทาง เลยทำให้ cmd แสดงข้อมูลในไฟล์ออกมาครับ และถ้าเราเปลี่ยนจาก con ไปเป็น prn จะเห็นว่า มันจะปริ้น txt ออกมาเลย (ใช้เครื่องพิมพ์แบบหัวเข็มนะ แบบอื่นไม่ได้)
และเวลาเราอยากจะสร้างไฟล์นี้ ไม่ยากครับ ทำตามขั้นตอนนี้ได้เลย
1.เข้า cmd (เหมือนเดิม) สั่ง cd ไปที่หน้าที่ต้องการ จากนั้น พิมพ์ md \\.\C:\con
2.จะเห็นว่า โฟลเดอร์ con อยู่ในไดร์ C แล้วครับ
แล้วจะลบยังไงหละ?? ไม่ต้องตกใจครับ มีวิธีลบอยู่ครับ
1.กลับไปที่ cmd (อีกละ)
2.พิมพ์ rd \\.\C:\con ครับ
จะเห็นว่า มันหายไปแว้วว งิงิ ^^ สำหรับใครจะเอาไปทำอะไร ก็ใช้ได้เลยครับ สร้างยาก ลบยาก สมชื่อจริงๆ เหอๆๆ
2.Ghost File (อีกชื่อคือ ADS File)
เห็นชื่อไม่ต้องตกใจครับ มันคือไฟล์อีกแบบนึงครับ ซึ่งเป็น Bug ของตัวคอมพิวเตอร์เอง ซึ่งไฟล์ที่สร้างมานี้ จะไม่สามารถมองเห็นได้เลย แม้ว่าในดอส ก็ิมองไม่เห็นไฟล์นี้ครับ ^^ ง่ายๆ ทุกระบบปฏิบัติการ จะมองไม่เห็น Ghost File เลย แต่มันมีอยู่จริงๆ เน้อ โดยมัลแวร์บางตัว ใช้ช่องโหว่ตรงนี้ ในการซ่อนตัวเองเพื่อให้ผู้ใช้หาไม่เจอ (ไ่ม่มีไฟล์ แต่รันได้ จริงๆ นะ)
อธิบายแบบเข้าใจง่ายคือ Ghost File จะเป็นไฟล์ที่ทุกระบบมองไม่เห็น แต่สามารถเรียกดูได้ครับ
งงหละสิ เรามีดูวิธีสร้างไฟล์แบบนี้กันครับ
1.ไปที่ cmd (อีกแล้ว = =)
2.cd ไปทีื่ C:\>
3.ลองพิมพ์ type C:\Windows\regedit.exe > testfile.txt:reg.exe แล้วกด enter
4.เราจะเห็นไฟล์ที่ชื่อ testfile.txt ขึ้นมา เหมือน txt ปกติครับ ลองพิมพ์อะไรก็ได้ลงไปดู ตรงนี้ เนียนมากครับ เพราะสามารถโหลด เซฟ ได้เหมือน txt ปกติจริงๆ แต่ เรามาลองรันตัวนี้ดูครับ
พิมพ์ start C:\testfile.txt:reg.exe ดูครับ จะเด้งหน้าจอ Registry Editor มา งงมั้ยหละครับ จากนั้น ไปสังเกตุใน Task Manager ดูแล้วคุณจะงงยิ่งกว่าเดิม
เหอๆๆ นี่คือหลักการครับ ผมถึงเรียกว่าไฟล์ผีครับ ซึ่งผมเอาไปประยุกต์ใช้ได้หลายอย่างเลย เช่น ซ่อนหนังโป๊ในไฟล์ exe จะได้ไม่มีคนสงสัย ^^ ส่วนจะทำยังไง ไปคิดกันเอาเองครับป๋ม
วิธีลบก็ง่ายๆ ครับ กด Delete ทิ้งไปได้เลย
อ่อ แล้วที่สำคัญ ไฟล์นี้ สามารถก๊อบข้ามไดร์ โดยที่ยังติดไฟล์ผีที่ถูกซ่อนมาด้วยครับ เช่น เราก๊อบ testfile.txt ซึ่งมี registry editor (ไฟล์ผี) ติดไปด้วยลงในแฟรชไดร์ เราสามารถใช้วิธีการดังกล่าว รันในอีกเครื่องได้ครับ ^^
วันนี้ขอบายละ เขียนยาว
นี่ครับ วิธีซ่อนหนังโป๊ของผม ที่เนียน จนใครจับไม่ได้เลยครับ ^^ ดูเผินๆ จะเหมือนรูปปกตินั่นเอง
04 มิถุนายน 2552
เด็กไทยสมัยใหม่ ไม่อ่านหนังสือกันจริงๆ
เห็นแล้วคุณจะปลงครับ - -* นี่มันคือเรื่องจริงๆ เลย ว่าเด็กไทยสมัยใหม่ ไม่ยอมอ่านหนังสือกันเลย ผมจะยกตัวอย่างให้ฟังละกัน ในสาขาคอมที่ผมเรียนอยู่ ตอนเรียนเขียนโปรแกรมน่ะ (ผมรู้เรื่องมาก่อนยังต้องเรียน) เขาเขียนไว้บนกระดาน อาจารย์เขียนไว้ตัวใหญ่มากๆ แล้ว คนข้างๆ ผม ดันมาถามผมอีก ว่าทำยังไงต่อ ตูละเซง = = อาจารย์เขาก็เขียนไว้บนกระดานนะ ว่าตอนเขียนโปรแกรมเสร็จให้กด Alt+F9 เพื่อคอมไพล์ และรัน แต่ว่า ไอคนข้างๆ ผมยังมาถามอีก ว่าเขียนเสร็จแล้วทำยังไงต่อ = = เออดีมาก แล้วแถม เข้าโปรแกรม ยังจะไม่เป็นกันเลย เรียนทุกชั่วโมงแท้ๆ ยังจะมาถามผม ว่าเข้าโปรแกรมอะไร เห้อๆ (เรียน 2 โปรแกรมแค่นั้นแหละ ภาษา C กับ Pascal อะนะ) แล้วก็ชั่วโมงท้าย อาจารย์เขาให้ลอกบนกระดานอะ เขาเขียนตัวใหญ่ๆ มาก เพื่อนนั่งหลังผม ยังจะขอผมลอก (ขนาดใหน ดูสิ) แล้วบอกว่า มองไม่เห็น อ่านไม่ออก ฯลฯ ทั้งๆ ที่ผมควรจะบอกว่า มองไม่เห็น ยังจะเขียนได้มากกว่า เพราะผมอยู่เยื้องกับกระดานพอสมควร ทำให้ต้องใช้สายตาพอสมควร (ผมไม่ใส่แว่นนะ ตายังดีอยู่) ไม่รู้ทำไม เขาไม่อ่านกันเลย - -* แล้วก็อีกเรื่องนึง ที่ผม ให้ไปยืนยัน VIP ของโปรแกรมผมที่เวปบอร์ดอะนะ ผมเขียนไว้ตัวเบ้อเริ้มเลย ว่า ไม่ใช่ VIP แล้วอย่าส่งมา และอย่า Add Msn เพราะไม่ได้ออนเมลนั้น แต่ก็ยังมีพวกไม่อ่าน (หรืออ่านแล้วไม่เข้าใจก็ไม่รู้) ยังจะแอด + ส่งเมลมา พอตรวจแล้วไม่ใช่ VIP ต้องมานั่งตอบกลับว่า คุณไม่ใช่ VIP ยืนยันไม่ได้ และเมล 3 ฉบับ ที่ส่งมา ไม่ใช่ VIP ทั้ง 3 คนเลย เออ ดีมาก เสียเวลาผมนะเนี่ย
เอาเป็นว่า เด็กไทยสมัยใหม่ ไม่ค่อยจะอ่านหนังสือกัน เลยทำให้อ่านไม่ออก เจริญมากเลย เมืองไทย จะตายก็คราวนี้แหละ ผมว่านะ
เอาเป็นว่า เด็กไทยสมัยใหม่ ไม่ค่อยจะอ่านหนังสือกัน เลยทำให้อ่านไม่ออก เจริญมากเลย เมืองไทย จะตายก็คราวนี้แหละ ผมว่านะ
31 พฤษภาคม 2552
การ Unpack Audition.exe อย่างง่าย
วันนี้ จะลองมานำเสนอ วิธีการ unpack เจ้า Audition.exe ที่ถูกแพ๊กใว้ด้วย HackShieldปกติอัลกอลิทึม ไม่ต่างอะไรจาก UPX เลย (ตัวเดียวกันด้วยแหละ) แต่ถูกแก้ไข Flagทำให้ unpack ด้วยโปรแกรมปกติไม่ได้ แหม คิดว่าจะหลบแฮกเกอร์อย่างเราๆ พ้นหรอเมื่อคุณกันได้ ผมก็ถอดได้คร้าบบบบบบบมาดูวิธีกันเลย อ้อ เครื่องมือด้วย
1.OllyDebug
2.PE Dumper (ในที่นี้ใช้ PE Tools)
3.ImportREC
*หมายเหตุ : หากต้องการหา address ชุดคำสั่งอย่างเดียว ไม่ต้องการ dump คุณสามารถใช้แค่โปรแกรมที่ 1 อย่างเดียวก็ได้ครับ เพราะ 2 กะ 3 ไม่จำเป็นสำหรับการหาและศึกษาอย่างเดียว
หวังว่าคงจะอ่านรู้เรื่องกันนะ แหะๆ
*หมายเหตุ : หากมองเห็นภาพไม่ัชัด คลิกที่รูปเพื่อดูีรูปขนาดเต็มได้ครับ
เรามาเริ่มกันเลยครับ ตอนแรก คลิกขวาที่ Audition.exe แล้วเลือก Open with OllyDbg หรือ File > Open ครับ
จากนั้นจะขึ้นหน้าต่าง OllyDbg มา จะเห็นว่า มี code เยอะแยะ พางง (สำหรับคนที่ไม่เป็น)
จากนั้น กด F7 ทีเดียวพอครับ สังเกตุตรง ESP มันจะแดงอยู่ค่าเดียว ให้คลิกขวา แล้ว Follow in Dump ครับผม ตามรูปเลย แ้ล้วคุมดำมันจะมาอยู่ที่
MOV ESI,Audition.XXXXXXXX
จากนั้นลองมองไปตรงช่อง Hex Dump ครับ แล้วคุมดำ 4 ไบต์แรก จากนั้น คลิกขวา เลือก Breakpoint > Hardware , on access > Dword ครับ
จากนั้น กด F9 1 ที จะเจอกับคำสั่ง JMP แล้วกด Enter 1 ครั้ง จะเจอ OEP แล้วครับ -o^^o-
งงตรงใหนเม้นถามได้เลยเด้อ
1.OllyDebug
2.PE Dumper (ในที่นี้ใช้ PE Tools)
3.ImportREC
*หมายเหตุ : หากต้องการหา address ชุดคำสั่งอย่างเดียว ไม่ต้องการ dump คุณสามารถใช้แค่โปรแกรมที่ 1 อย่างเดียวก็ได้ครับ เพราะ 2 กะ 3 ไม่จำเป็นสำหรับการหาและศึกษาอย่างเดียว
หวังว่าคงจะอ่านรู้เรื่องกันนะ แหะๆ
*หมายเหตุ : หากมองเห็นภาพไม่ัชัด คลิกที่รูปเพื่อดูีรูปขนาดเต็มได้ครับ
เรามาเริ่มกันเลยครับ ตอนแรก คลิกขวาที่ Audition.exe แล้วเลือก Open with OllyDbg หรือ File > Open ครับ
จากนั้นจะขึ้นหน้าต่าง OllyDbg มา จะเห็นว่า มี code เยอะแยะ พางง (สำหรับคนที่ไม่เป็น)
จากนั้น กด F7 ทีเดียวพอครับ สังเกตุตรง ESP มันจะแดงอยู่ค่าเดียว ให้คลิกขวา แล้ว Follow in Dump ครับผม ตามรูปเลย แ้ล้วคุมดำมันจะมาอยู่ที่
MOV ESI,Audition.XXXXXXXX
จากนั้นลองมองไปตรงช่อง Hex Dump ครับ แล้วคุมดำ 4 ไบต์แรก จากนั้น คลิกขวา เลือก Breakpoint > Hardware , on access > Dword ครับ
จากนั้น กด F9 1 ที จะเจอกับคำสั่ง JMP แล้วกด Enter 1 ครั้ง จะเจอ OEP แล้วครับ -o^^o-
งงตรงใหนเม้นถามได้เลยเด้อ
30 พฤษภาคม 2552
เอ้า ลงบทความแรกเลยละกัน เหอะๆ
ลองมาสมัครที่ Blogger ดู เพราะได้รับคำแนะนำจากหลายๆคน ไอเราก็ชอบเขียนอยู่แล้วด้วยสิ
ก็เลยมาลองซะหน่อย ติด adsense เสร็จสรรพ แล้วมาเริ่มกันเลยครับ อิอิ
ไว้ถ้าเกิดมีเวลา จะมาลงเรื่องที่มีประโยชน์ บางทีก็เรื่องเรื่อยเปื่อยอะนะ
เพราะคิดไม่ออกเหมือนกัน ว่าอยากจะลงอะไรดี แต่ก็จะลงครับ
มาแค่นี้แหละ บายๆ ^^
ก็เลยมาลองซะหน่อย ติด adsense เสร็จสรรพ แล้วมาเริ่มกันเลยครับ อิอิ
ไว้ถ้าเกิดมีเวลา จะมาลงเรื่องที่มีประโยชน์ บางทีก็เรื่องเรื่อยเปื่อยอะนะ
เพราะคิดไม่ออกเหมือนกัน ว่าอยากจะลงอะไรดี แต่ก็จะลงครับ
มาแค่นี้แหละ บายๆ ^^
สมัครสมาชิก:
บทความ (Atom)