Rabu, 15 Oktober 2008

beginer cracking

Beginner Cracking Tutorial vol 1 by flag eRRatum

Target : WinSolo Freeware Version
Size : 35.1 KB
URL : http://home.worldonline.dk/~andersa/download/index.htm
Protection : Nag Screen
Audience : Absolute beginner cracker
Tools : Wdasm (versi terakhir : 8.93), SoftIce (versi terakhir : 4.05),
HexEditor yang baik (Download semua di http://protools.cjb.net / http://playtools.cjb.net)

Essay :

Oke, pertama jalankan WinSolo, kamu akan ketemu dengan message box, dengan tulisan : "FYI. A more recent ... ". Message box ini disebut dengan nag screen, dan kita ngak suka donk dikasih pesen pesen gitu setiap kali jalanin program ini ? Oke, kita akan meng"hapus" nag screen ini.

Tutorial gua kali ini, akan dibagi dalam 2 tahap, yakni deadlist approach, dan live approach.
Deadlist, dengan menggunakan disasmbler seperti Wdasm/IDA (di sini, kita akan pake WDasm) dan Live dengan menggunakan Softice.


DEADLIST APPROACH :

Jalankan Wdasm, disasm file WinSolo.exe, tunggu sampe selesai. Klik kotak string reference, string reference mengandung SETIAP kata/kalimat yang terdapat dalam program, yang kalau kamu sering membuat program termasuk dalam variabel konstan. Inget, pesan nag screen tadi ? , cari di string reference box tadi :

String Resource ID=00002: "WinSolo"
" ((((( "
" "
"*.exe"
"."
"\!ABS"
"\"
"Boot"
"Browse for application"
"Explorer.exe"
"FYI. A more recent version of " --->>> Ini yang kita cari !!!
"KERNEL32.DLL"
"MMTASK.TSK"
"MPREXE.EXE"
"MSGSRV32.EXE"
"PDT"

Double clik di text tersebut, kamu akan dibawa ke sini :

* Referenced by a CALL at Address:
|:004067DD
|
:00401100 64A100000000 mov eax, dword ptr fs:[00000000]
:00401106 6AFF push FFFFFFFF
:00401108 6888DE4000 push 0040DE88
:0040110D 50 push eax
:0040110E 64892500000000 mov dword ptr fs:[00000000], esp
:00401115 83EC4C sub esp, 0000004C
:00401118 53 push ebx
:00401119 56 push esi
:0040111A 6A00 push 00000000
:0040111C E8BF530000 call 004064E0
:00401121 8D88AB2788CA lea ecx, dword ptr [eax+CA8827AB]
:00401127 B807452EC2 mov eax, C22E4507
:0040112C F7E9 imul ecx
:0040112E 03D1 add edx, ecx
:00401130 83C404 add esp, 00000004
:00401133 C1FA10 sar edx, 10
:00401136 8BC2 mov eax, edx
:00401138 C1E81F shr eax, 1F
:0040113B 03D0 add edx, eax
:0040113D 83FAFC cmp edx, FFFFFFFC
:00401140 7E05 jle 00401147
:00401142 83FA78 cmp edx, 00000078
:00401145 7E14 jle 0040115B

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00401140(C)

Tidak ada komentar: