chắc còn kiểm tra chõ nào nữa nhưng tớ không đọc được .... Powered by Invision Power Board http://www.invisionboard.com © Invision Power Services http://www.invisionpower.com Printable V
Trang 1Posted by: dqtln Jan 4 2004, 03:55 AM
DVD TO MP3 RIPPER là cái thứ hai , nó mã hóa y chang thằng trên nhưng sẽ so sánh :
kt1 or 4c
kt2 or 4d
kt1 or 4e
kt2 or 4f
vậy thôi nhưng nó cũng y như thằng DVD to DIVX VCD RIPPER , nhập đúng mà cái thẻ register không mất chắc còn kiểm tra chõ nào nữa nhưng tớ không đọc được
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)
Printable Version of Topic
Click here to view this topic in its original format
HVA Forum > Box thảo luận Reverse Engeneering, tutorial Reverse Engeneering > http://www.magellass.com
Posted by: Zombie Dec 19 2003, 01:32 PM
Homepage: http://www.magellass.com
Tools: OllyDbg 1.09d + Hex Workshop 4.1t
Cracked by: Zombie DeathMan
Production: Internet Tweak 4.40
Protector: Name/Serials
Packed: ASPack 2.12 -> Alexey Solodovnikov
Comment: Internet Tweak (previously known as NetMaster) is a special
Trang 2utility designed to configure and personalize Internet secret settings in Windows Me/2000/98/95/XP Several of its features: optimize Internet connection performance, access Internet Explorer, Outlook Express, and Netscape Communicator hidden settings In addition, you will get
hundreds of selected Internet Tips & Tricks that will boost your browser and e-mail applications performance and productivity
Bắt đầu thằng này….Okai…Chơi Unpack manully > Kiến thức, cách unpack manully này thanx Computer_Angel và Thitmeongonhon
Load lên bằng Olly sẽ gặp lỗi Exception, cứ Shift+F9 cho qua hết….đến khi có câu thông báo Yes/No … > Yes
007C8001 > 60 PUSHAD
> Bạn stay here
007C8002 E8 03000000 CALL itweak.007C800A
007C8007 - E9 EB045D45 JMP 45D984F7
Nhấn F8 1 times đến CALL, RightClick ESP – Follow in Dump > Ổ cửa
sổ Hex dưới cùng chọn 4 byte đầu tiên > Right Click > Breakpoint – Hardware, on access – DWORD
F9 run…
007C83AF 61 POPAD
007C83B0 75 08 JNZ SHORT itweak.007C83BA
> You are stay here
007C83B2 B8 01000000 MOV EAX,1
007C83B7 C2 0C00 RETN 0C
Tiếp tục nhấn F8 đến RETN, nhấn 1 lần nữa để return về …
004DF600 55 PUSH EBP
> Here…
004DF601 8BEC MOV EBP,ESP
004DF603 83C4 F0 ADD ESP,-10
Trang 3Bây giờ là done rùi…Dùng LordPE dump full, dùng ImportREC với OEP=004DF601-400000=000DF600
Chọn IAT Auto Search…Hm Do thói quen Zombie thường tăng lên vài chục đơn vị cho RVA và Size so với value do Auto có được
Get Imports > Show valid > Trace level 1 > Show valid > Cut Trunks…Fix Dump
Rồi Xong Crack thôi…
Sau khi unpacked Load lên bằng Olly, ta tìm đến Successful String (do ở đây khi enter bad Serials không hiện BadBoy mà clear value)
004DDCBE | B8 D4DE4D00 MOV EAX,dumped_.004DDED4 ; ASCII
"InternetTweak has been registered successfully
Please restart your InternetTweak."
Nhìn ngược lên một chút bạn sẽ thấy đoạn code sau
…
004DDC88 | 8B55 DC |MOV EDX,DWORD PTR SS:[EBP-24]
> Gán EDX = Correct Serials
004DDC8B | 8B45 F4 |MOV EAX,DWORD PTR SS:[EBP-C]
> Gán EAX = Fake Serials
004DDC8E | E8 6168F2FF |CALL dumped_.004044F4
> Check it
004DDC93 /75 07 |JNZ SHORT dumped_.004DDC9C
004DDC95 | |C745 E8 FFFFF>|MOV DWORD PTR SS:[EBP-18],-1
Như vậy ở EDX bạn set bp và lấy Correct Serials…Tuy nhiên nếu
chọn…Follow value…Sẽ có hốt thêm một mớ nữa
> Serials được lưu thành list
Nếu mún bạn có thể NOP JNZ để luôn correct Serials
Demo vài cái chơi
Trang 4hm4x2q-4r7ki7y3-7d5e36
kh4j5m-6p5ch3c8-8q5f52
hi6d8g-5g2cm2c5-4u2m62
qu2y8x-8y3xb6b6-3g2n73
xp3x6k-6g3yw8c5-3f6f46
hs7t6k-4h3ti6y2-4n3i73
Posted by: Zombie Dec 19 2003, 01:32 PM
Production: Download Boost 2002 Standard
Protector: Limited days
Packed: ASPack 2.11c -> Alexey Solodovnikov
Comment: Download Boost is a special utility designed to help you manage downloads and boost the speed of your downloads
Tốt hơn là đừng dùng Soft này GUI chuối lém
Okey! Đồng ý là soft này chẳng phải là mới…Nhưng do mục đích là…chơi hết soft của Magellass Corp nên, …tới luôn bác tài…
Thằng ni thực sự đúng là demo nên chỉ cho evaluate trong 10 days…Vậy cái để ta crack ở đây là…Cho dùng forever
Unpack done … (Đọc tham khảo tut unpack Aspack or dùng ASPackDie 1.4f)
…Sau khi load lên bằng OllyDbg, chuyển sang cửa sổ Text String
Referenced để tìm String báo hết hạn dùng
ASCII "Your Download Boost 2002 Standard Edition copy has expired Please purchase the GOLD Edition to continue!"
Tại đây Enter để về cửa sổ chính (CPU – Main….)
Trang 5004A7F0A 3C 01 CMP AL,1
004A7F0C 75 32 JNZ SHORT dumped_.004A7F40
004A7F0E 6A 00 PUSH 0 ; /Arg1 = 00000000
004A7F10 66:8B0D 447F4>MOV CX,WORD PTR DS:[4A7F44] ; | 004A7F17 B2 03 MOV DL,3 ; |
004A7F19 B8 507F4A00 MOV EAX,dumped_.004A7F50 ; |ASCII
"Your Download Boost 2002 Standard Edition copy has expired
Please purchase the GOLD Edition to continue!"
> Bạn đang stay here
004A7F1E E8 D919F9FF CALL dumped_.004398FC ;
\dumped_.004398FC
004A7F23 48 DEC EAX
004A7F24 75 0E JNZ SHORT dumped_.004A7F34
004A7F26 A1 38064B00 MOV EAX,DWORD PTR DS:[4B0638] 004A7F2B 8B00 MOV EAX,DWORD PTR DS:[EAX]
004A7F2D E8 9689FBFF CALL dumped_.004608C8
004A7F32 EB 0C JMP SHORT dumped_.004A7F40
004A7F34 > A1 38064B00 MOV EAX,DWORD PTR DS:[4B0638] 004A7F39 8B00 MOV EAX,DWORD PTR DS:[EAX]
004A7F3B E8 8889FBFF CALL dumped_.004608C8
004A7F40 > C3 RETN
Quan sát đoạn code ở đây ta thấy ở 004A7F0C có JNZ nhảy out ra khỏi Nag…Như vậy có thể đó là điểm xét hết hạn dùng chưa? Okai Set bp ở 004A7F0C
Run…và paused…Ops…Ta vẫn còn thời gian dùng thử nên khi đến JNZ,
AL = 1 và Jump đến 004A7F40 out khỏi Nag…Vậy là đúng chỗ rùi…
Ta chỉ cần patch –JNZ > JMP để dùng forever