1. Trang chủ
  2. » Công Nghệ Thông Tin

Cracking part 53 pdf

6 213 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Cracking Part 53
Tác giả Deroko
Trường học Why Not Bar Reverse Engineering Association
Chuyên ngành Reverse Engineering
Thể loại Bài viết
Năm xuất bản 2006
Thành phố Nha Trang
Định dạng
Số trang 6
Dung lượng 191,72 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

_Chạy thử File Fix_unpacked.exe.. File chạy tốt… Trong quá trình unpack ta đã bypass luôn cái Nag.. Unpack Done… #Tut2:Defeat CopyMemII với ArmaDumpers by Deroko _giờ ta làm thịt t

Trang 1

_Chạy thử File Fix_unpacked.exe File chạy tốt… Trong quá trình unpack ta đã bypass luôn cái Nag Unpack Done…

#Tut2:Defeat CopyMemII với ArmaDumpers by Deroko

_giờ ta làm thịt tiếp Automation Anywhere 2.52

_Dạy là cu này có Debug-Blocker + CopyMem-II + Enable Nanomites Processing + Enable Memory-Patching Protections

_Ta có 2 File:

dumper1.exe - Debug Blocker oep locator and import fixer

dumper2.exe - Copy Mem II dumper and import fixer

vì Target này có Copy Mem II nên ta chọn Dumper2.exe Copy Dumper2.exe vào

cùng thư mục của Target

_đánh dòng lệnh sau

_Nhấn Enter ta có 2 cửa sổ sau:

_Nhấn “Try It” để tiếp tục

_hehe dạy là ta đã Defact được CopymemII gòi Đừng nhấn OK vội, Giờ thì mở thêm

ImportREC, chọn PID cho chính xác và điền OEP=00010074, Nhấn IAT AutoSearch àGet Imports à Show Valid

_ Chọn Show Valid->Cut ThunK(s) , Nhấn Fix Dump chọn File Dumped.exe

_Tới đây cũng đừng nhấn OK vội vì chúng ta cần Fix Nano nữa! Chạy thử File

Dumped_.exe

Trang 2

_Ko có gì quan trọng chép File “ArmAccess.dll” vào cùng thư mục là OK thôi Chạy lại

File Dumped_.exe xem Haha chạy thẳng vào giao diện chính ko có cái NAG nhắc nhở

nào… Tiếp theo bạn làm như hình dưới

_Bị Crash ngay…haha…theo kinh nghiệm cho thấy đó chính là dấu hiệu của Nano

_ Bật ArmInline lên chọn PID cho đúng

_Nhấn Locate

_Nhấn “Try It” để tiếp tục và làm tiếp như hình dưới

_Bên cửa sổ của ArmInline ta thấy như sau:

_nhấn Repair Dump và chọn File Dumped_.exe, chạy File dumped_ NanoFix.exe và ta thấy

_Yeah!!!!! Unpacked successfull… Còn về phần Cracking mấy Bác tự xử đi…em ko biết gì đâu à nha!!!!! Nếu các bạn muốn giảm dung lượng File dumped_ NanoFix.exe thì chúng ta có thể Delete bớt mấy các Section tàn dư của Arma còn vương vấn lại

_Sau khi Xóa

_Run thử vẫn chạy ngon lành…Good…

Trang 3

GrEeTs Fly Out: Computer_Angel, Zombie, Moonbaby, Hacnho, Benina, kienmanowar,

Zoi, Deux, Merc, Trickyboy, Takada, iamidiot, light phoenix, thienthandien, VolX … and you!

Nha Trang, Ngày 5 tháng 5 năm 2006

Why Not Bar Reverse Engineering Association

SoftWare

Homepage : http://www.visual-mp3.com

Production : iProgram Development

SoftWare : Visual MP3 CD Burner

Copyright by : Copyright © 2002,2003 by iProgram Development All Rights Reserved

Type : Name / Serial

Packed : N / A

Language : Microsoft Visual C++ 6.0

Crack Tool : OllyDbg 1.09d, PEiD 0.92, kWdsm 10

Unpack : N / A

Request : Correct Serial / KeyGen

Visual MP3 CD Burner

Visual MP3 CD Burner is a member of the award-winning Visual MP3 Family With Visual MP3 CD Burner you can burn MP3, MP2, WMA, WAV (compressed/uncompressed) and Ogg Vorbis to audio CD On-The-Fly Visual MP3 CD Burner uses "Track-at-Once" burning method The audio CD can be played in all CD/DVD players - at home or in the car

I – Information :

- Dùng PEiD kiểm tra biết chương trình không bị PACK và biết chương trìnhđược viết

bằng Microsoft Visual C++ 6.0

- Chạy thử chương trình với User và Fake Serial ta nhận được thông báo "The

registration code is not valid." Ta tìm được thông báo này tại địa chỉ :

0040DD19 68 C0354500 PUSH VMP3CDBu.004535C0 ; |Arg1 = 004535C0 ASCII "The registration code is not valid."

- Truy ngược lên trên ta đặt BreakPoint tại lệnh CALL đầu tiên của FunTion này :

Trang 4

0040DC5B E8 A01D0200 CALL VMP3CDBu.0042FA00 ; <== Set BreakPoint here

II – Cracking :

- Quá trình mã hoá của chương trình này rất đơn giản Từ BP ta trace xuống chút : 0040DCBC 56 PUSH ESI ; /Arg2 0040DCBD 51 PUSH ECX ; |Arg1 0040DCBE 8BCB MOV ECX,EBX ; | 0040DCC0 E8 5B040000 CALL VMP3CDBu.0040E120 ;

\VMP3CDBu.0040E120

-=== Trace Into === - 0040E13A | C74424 08 C43>MOV DWORD PTR

SS:[ESP+8],VMP3CDBu.004536C4 ; ASCII "60583B-"

0040E142 | C74424 0C BC3>MOV DWORD PTR

SS:[ESP+C],VMP3CDBu.004536BC ; ASCII "236064-"

0040E14A | C74424 10 B43>MOV DWORD PTR

SS:[ESP+10],VMP3CDBu.004536B4 ; ASCII "74805F-"

0040E152 | C74424 14 A83>MOV DWORD PTR

SS:[ESP+14],VMP3CDBu.004536A8 ; ASCII "8A69046-"

0040E15A | C74424 18 9C3>MOV DWORD PTR

SS:[ESP+18],VMP3CDBu.0045369C ; ASCII "515E406-"

0040E162 | C74424 1C 903>MOV DWORD PTR

SS:[ESP+1C],VMP3CDBu.00453690 ; ASCII "8032305-"

0040E16A | C74424 20 843>MOV DWORD PTR

SS:[ESP+20],VMP3CDBu.00453684 ; ASCII "5B584E6-"

0040E172 | C74424 24 783>MOV DWORD PTR

SS:[ESP+24],VMP3CDBu.00453678 ; ASCII "365D57B-"

0040E17A | C74424 28 6C3>MOV DWORD PTR

SS:[ESP+28],VMP3CDBu.0045366C ; ASCII "57343A3-"

0040E182 | C74424 2C 643>MOV DWORD PTR

SS:[ESP+2C],VMP3CDBu.00453664 ; ASCII "1533B4-"

0040E18A | C74424 30 5C3>MOV DWORD PTR

SS:[ESP+30],VMP3CDBu.0045365C ; ASCII "364026-"

0040E192 | C74424 34 503>MOV DWORD PTR

SS:[ESP+34],VMP3CDBu.00453650 ; ASCII "5131066-"

0040E19A | C74424 38 443>MOV DWORD PTR

SS:[ESP+38],VMP3CDBu.00453644 ; ASCII "0553437-"

-=== Trace Into === -

- Trace tiếp ta đến :

0040DCC9 56 PUSH ESI ; /Arg2 0040DCCA 52 PUSH EDX ; |Arg1

Trang 5

0040DCCB 8BCB MOV ECX,EBX ; |

0040DCCD E8 5E050000 CALL VMP3CDBu.0040E230 ;

\VMP3CDBu.0040E230

-=== Trace Into === -

0040E24A | C74424 08 4C3>MOV DWORD PTR

SS:[ESP+8],VMP3CDBu.0045374C ; ASCII "3665D2F"

0040E252 | C74424 0C 443>MOV DWORD PTR

SS:[ESP+C],VMP3CDBu.00453744 ; ASCII "3444C33"

0040E25A | C74424 10 3C3>MOV DWORD PTR

SS:[ESP+10],VMP3CDBu.0045373C ; ASCII "6262435"

0040E262 | C74424 14 343>MOV DWORD PTR

SS:[ESP+14],VMP3CDBu.00453734 ; ASCII "488304A"

0040E26A | C74424 18 2C3>MOV DWORD PTR

SS:[ESP+18],VMP3CDBu.0045372C ; ASCII "315543A"

0040E272 | C74424 1C 243>MOV DWORD PTR

SS:[ESP+1C],VMP3CDBu.00453724 ; ASCII "4F32247"

0040E27A | C74424 20 1C3>MOV DWORD PTR

SS:[ESP+20],VMP3CDBu.0045371C ; ASCII "353355B"

0040E282 | C74424 24 143>MOV DWORD PTR

SS:[ESP+24],VMP3CDBu.00453714 ; ASCII "4E24E65"

0040E28A | C74424 28 0C3>MOV DWORD PTR

SS:[ESP+28],VMP3CDBu.0045370C ; ASCII "3F3F945"

0040E292 | C74424 2C 043>MOV DWORD PTR

SS:[ESP+2C],VMP3CDBu.00453704 ; ASCII "663145E"

0040E29A | C74424 30 FC3>MOV DWORD PTR

SS:[ESP+30],VMP3CDBu.004536FC ; ASCII "35B6D58"

0040E2A2 | C74424 34 F43>MOV DWORD PTR

SS:[ESP+34],VMP3CDBu.004536F4 ; ASCII "525F574"

0040E2AA | C74424 38 EC3>MOV DWORD PTR

SS:[ESP+38],VMP3CDBu.004536EC ; ASCII "13E5735"

-=== Trace Into === -

- Sau đó, tương ứng từng giá trị ở đoạn CODE bên trên, chương trình kết hợp tương ứng với một gía trị ở đoạn CODE bên dưới Chuỗi tạo thành sẽ được so sánh với chuỗi S ta nhập Với số vòng lặp là 13 (0xD) ta có được 13 chuỗi Serial thực :

0040DCD2 8D4424 34 LEA EAX,DWORD PTR

SS:[ESP+34] ; <== SecII

0040DCD6 8D4C24 20 LEA ECX,DWORD PTR

SS:[ESP+20] ; <== SecI

0040DCDA 50 PUSH EAX

0040DCDB 51 PUSH ECX

0040DCDC 8D9424 A40200>LEA EDX,DWORD PTR

SS:[ESP+2A4] ; <== SecISecII

Trang 6

 

Ngày đăng: 01/07/2014, 13:20

Xem thêm

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN