Phá Deep Freeze - Cướp lấy password của nó
I. LỜI KHUYẾN CÁO
Xin thưa với các bạn !
Hiện nay, trên giang hồ xuất hiện phần mềm UnDeep Freeze, đây là 1 phần mềm – theo tôi
– có sức “tàn phá” kinh khủng …khiếp. Nó chẳng những làm hư Deep Freeze mà còn làm hư
luôn hệ thống (system) của Windows.
Sau nhiều đêm mày mò, “ngâm kíu” các tài liệu. Cuối cùng tôi cũng tìm được cách phá Deep
Freeze. Cách này đơn thuần chỉ là “cướp lấy” password để đăng nhập vào menu của Deep
Freeze chứ không làm hư Deep Freeze và hệ thống windows. Nay mạn phép viết bài này để
hướng dẫn.
Mục đích của tôi khi viết bài hướng dẫn này là chỉ muốn chia sẽ kinh nghệm mà mình đã học
hỏi được. Vậy kính mong các bạn đừng áp dụng bài viết này với mục đích xấu, cài keylog,
trojan… nhất là những người đang kinh doanh hàng net, họ thường hay sử dụng Deep Freeze
để giảm thiểu tối đa khả năng bị hư máy và bị virus tấn công… Họ cũng có nỗi khổ riêng của
họ.
Bạn chỉ nên sử dụng bài viết này với mục đích học hỏi, tốt nhất chỉ áp dụng cho máy nhà khi
bạn lỡ quên password của Deep Freeze.
II. MỘT SỐ LƯU Ý TRƯỚC KHI TIẾN HÀNH PHÁ DEEP FREEZE
1. OllyDebug
Đầu tiên, bạn phải có công cụ OllyDebug. Đây là công cụ để dịch ngược file *.exe, *.dll về
ngôn ngữ ASM. Nhưng tôi chọn và dùng nó để phá Deep Freeze mặc dù không dính dáng gì
đến ngôn ngữ ASM.
OllyDebug hiện nay trên giang hồ là rất hiếm gặp. Nếu có gặp đi nữa thì nguyên bản này lại
không có phần Plugins (chứa phần OllyScript, là phần chính để phá Deep Freeze, và phần
Plugins lại càng hiếm gặp hơn cái OllyDebug đó nữa). Tôi phải bỏ ra thời gian hơn 1 tuần để
tìm kiếm, nhưng chỉ tìm được phần mã nguồn của Plugins này, tôi phải nhờ 1 bạn trong diễn
đàn (diendantinhoc.com) dịch hộ thành file thư viện.
Nhưng bạn đừng lo, nếu tôi đã viết bài hướng dẫn rồi thì cũng phải cung cấp công cụ chứ ?
Bạn có thể download OllyDebug tại địa chỉ dưới đây (nếu không tải được, bạn hãy liên hệ với
tôi qua nick yahoohoo hoặc qua email):
===== >Click to download OllyDebug < =====

open trên thanh menu (hoặc bấm phím tắt F3, hoặc vào menu File\Open).
Trong hộp thọai Open này, bạn lần theo đường dẫn của tệp FrzState2k.exe (vừa tìm được
trên mục II.4). Hãy nhập vào các mục của hộp thọai Open như sau (xem hình):
- File name: FrzState2k.exe
- Arguments: 1 106917 0 (lưu ý, có khoảng trắng)
Sau đó bấm open. OllyDebug sẽ hiển thị 1 hộp thọai thông báo khác, nội dung như sau:
---------------------------
Entry Point Alert
---------------------------
Module 'FrzState' has entry point outside the code (as specified in the PE header). Maybe
this file is Self-extracting or self-modifying. Please keep it in mind when setting breakpoints!
---------------------------
Bạn cứ bấm OK.
Trong quá trình OllyDebug tiến hành dịch mã, có thể sẽ có lỗi xảy ra về modul như sau:
---------------------------
Compressed code?
---------------------------
Quick statistical test of module 'FrzState' reports that its code section is either compressed,
encrypted, or contains large amount of embedded data. Results of code analysis can be very
unreliable or simply wrong. Do you want to continue analysis?
---------------------------
Yes No
---------------------------
Trường hợp này bạn bấm YES. Hoặc:
---------------------------
Error
---------------------------
In module 'FrzState' OllyDbg encountered several corrupted breakpoints, where first byte of
the actual command differs from that in the previous debugging session. This happens when
program was recompiled or code is self-modifying (for example, self-extracting). For security

5.30.021.1181 ----> 4037E9
5.30.150.1181 ----> 4037E9
5.50.021.1288 ----> 403860
Nếu bạn đang sử dụng Deep Freeze với 1 phiên bản khác (không thấy trong list trên) thì bạn
có thể nhập lần lượt các Hexa Number trên để thử, cho đến khi nào được thì thôi.
Do tôi đang thực hành trên phiên bản 5.30.021.1181 nên tôi nhập vào con số 4037E9 (như
hình sau)
Sau đó ấn OK. Tôi sẽ được OllyDebug đưa đến 1 vị trí mới trên "bảng xếp hạng" Address.
4. Xác định điểm breakpoint cho OllyDebug
Kế tiếp, bạn nhấn F2 - hoặc chuột phải vào vị trí goto vừa đến trên màn hình của OllyDebug,
sau đó chọn BreakPoint>>Toggle - xác định điểm Break Point.
Nếu OllyDebug hiển thị hộp thọai xác nhận thì bạn bấm OK. Nội dung hộp thọai xác nhận
như sau:
---------------------------
Suspicious breakpoint
---------------------------
It looks like you are trying to set breakpoint on the data. If this is really the case, such
breakpoint will not execute and may have disastrous influence on the debugged program. Do
you really want to set breakpoint here?
---------------------------
Yes No
---------------------------
5. Test lần thứ 1 chương trình FrzState2k.exe
Khi có được vị trí BreakPoint rồi, bạn ấn F9 (hoặc vào menu Debug>>Run) để tiến hành test
lần thứ 1 chương trình FrzState2k.exe
Sau khi OllyDebug test xong. Sẽ có 1 biểu tượng Deep Freeze mới (new icon) xuất hiện dưới
taskbar của bạn, biểu tượng này nằm tại vị trí thứ 1 kể từ bên trái sang.
Bạn hãy phân biệt cái biểu tượng mới (new icon) này so với cái biểu tượng cũ (old icon) mà
ta đã để ý ở phần II.2 trên.
6. Mở hộp thọai nhập password của new icon

7. Thay đổi giá trị thanh ghi AX (tương ứng là EAX trong OnlyDebug)
Bạn hãy chú ý vị trí thanh AX, giá trị của thanh này hiện giờ là 0. Bạn hãy bấm kép vào vị trí
EAX này để OllyDebug hiển thị hộp thọai chỉnh sửa giá trị. Bạn nhập vào đó giá trị 1