Posted by: Zombie Dec 19 2003, 01:33 PM Production: Download Boost 2002 Standard Protector: Name/Serials Packed: ASPack 2.11c -> Alexey Solodovnikov Comment: Desktop Cycler is a utility
Trang 1Posted by: Zombie Dec 19 2003, 01:33 PM
Production: Download Boost 2002 Standard
Protector: Name/Serials
Packed: ASPack 2.11c -> Alexey Solodovnikov
Comment: Desktop Cycler is a utility to help you managing and changing your desktop items easily It can change and cycle wallpapers, screen savers, desktop themes, start menu icons, IE's toolbar wallpapers
(hotbars), and also all of startup/shutdown logos It also contains list of hundreds resource sites that will help you easily getting all great and free desktop goodies
Tốt hơn là đừng dùng Soft này GUI chuối lém
Sau khi unpacked Load lên bằng Olly, ta tìm đến Successful String (do ở đây khi enter bad Serials không hiện BadBoy mà clear value)
004924BC |> /8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
004924BF | |E8 BCFEFFFF CALL dumped_.00492380
004924C4 | |A1 982D4A00 MOV EAX,DWORD PTR DS:[4A2D98] 004924C9 | |F7D8 NEG EAX
004924CB | |1BC0 SBB EAX,EAX
004924CD | |F7D8 NEG EAX
004924CF | |3C 01 CMP AL,1
004924D1 | |0F85 35020000 JNZ dumped_.0049270C
004924D7 | |B8 8C274900 MOV EAX,dumped_.0049278C ; ASCII
"Desktop Cycler 2001 has been registered successfully."
004924DC | |E8 6FCEFBFF CALL dumped_.0044F350
Ở đoạn code này bạn cũng lưu ý JNZ sẽ nhảy out ra khỏi GoodBoy nếu
AL <> 1 và gần đấy có CALL > Có khả năng CALL gọi hàm check Serials
Set bp ở 004924BF | |E8 BCFEFFFF CALL dumped_.00492380
Run…Paused…F7 để step into xem sao dzui lém ná
Trang 2…
004923EC | 8B55 F8 |MOV EDX,DWORD PTR SS:[EBP-8]
004923EF | A1 A02D4A00 |MOV EAX,DWORD PTR DS:[4A2DA0] 004923F4 | E8 F719F7FF |CALL dumped_.00403DF0
004923F9 75 0A JNZ SHORT dumped_.00492405
004923FB | C705 982D4A00>|MOV DWORD PTR DS:[4A2D98],-1
Khi trace đến 004923EC | 8B55 F8 |MOV EDX,DWORD PTR SS:[EBP-8], ở cửa sổ nhỏ bên dưới ta có….Correct Serials
RightClick lên dòng có Serials ở cửa sổ này, chọn Follow Value in Dump
ta có có …Một đống Serials…
> Có thể thấy thêm rằng 2 lệnh MOV truyền đối số (Fake/Correct Serials) cho CALL phía dưới Hàm nãy sẽ xử lý và sau đó CF sẽ = 1nếu Correct > JNZ không nhảy > Gán vào địa chỉ 4A2498 giá trị -1 và ngược lại
Rồi…Done tiếp…Thằng ni cũn check serials dựa trên list
Cho vài cái demo he
5P5B3-Z3A2-CM22-6Y7Z
CR8L7-C7CC-KZ58-8LCB
3T5G2-D4A3-FZ22-7KAS
7TAH8-K523-UJ77-4U2H
4E4XA-C997-HD2A-2S5X
4G3Q5-X4A5-HC43-6K8S
6G7R6-R536-DB26-8V6B
7ECE9-D3A2-WKA7-3KAP
2P7B3-N474-XV74-4L5M
3U7K7-K976-HW6C-3R4Q
6Y3ZA-T7A8-JB38-3H6F
7G8V9-B245-JS73-5V2X
5X7RC-MA5A-JB26-2V4T
3VAN5-W584-AN83-3WAK
Trang 3CK9C8-AA86-MU28-AJ6Z
7R7JC-S7C3-PP44-8P5N
6P4X9-E455-NQ56-3Y6H
3T4TC-R2A3-FX65-8X5H
Tuy nhiên lưu ý thêm điểm này…Sau khi registered, vào register xóa tên đăng kí đi thì vẫn còn registered to “” ….Vậy nghĩa là nó lưu thông tin registered chỗ khác, thông tin User chỗ khác …
Dùng RegMon để kiểm tra các event truy xuất Reg ta tìm ra…nó lưu ở HKEY_CLASSES_ROOT\htmlfile\TopShell
ValueName: Ijn
Type: REG_BINARY
…Đểu quá
Posted by: Zombie Dec 19 2003, 01:35 PM
Okai Còn
KeyPack
MemMonster 4.35
WinBoost 4.58 (hình như đã có tut)
WinBrush
còn mấy cái ni là dune
Zombie cracked rồi But chưa write tut Tối nay write luôn rồi post
Posted by: Zombie Dec 19 2003, 03:33 PM
tiếp theo là thằng KeyPack 2001
Cũng tương tự thui Tìm đến Correct String rùi Trace vào CALL đến
Trang 400490B00 | 8B55 F8 |MOV EDX,DWORD PTR SS:[EBP-8]
> EDX=Correct Serials
00490B03 | A1 C8AD4900 |MOV EAX,DWORD PTR DS:[49ADC8] 00490B08 | E8 1333F7FF |CALL dumped_.00403E20
00490B0D | 75 0A |JNZ SHORT dumped_.00490B19
00490B0F | C705 C0AD4900>|MOV DWORD PTR DS:[49ADC0],-1
Vài Serials điển hình
7N5J8-U634-CX73-2UCG
4S2L4-M252-WU6C-9JAH
3W2Q5-P478-LP47-7X7Y
2C6C3-E842-JE93-5E7V
Posted by: Zombie Dec 19 2003, 03:52 PM
Production: WinBoost 4.58
Protector: Name/Serials
Packed: ASPack 2.12 -> Alexey Solodovnikov
Comment: WinBoost is a special utility to configure and personalize
Windows Me/9x/NT/2000/XP looks and feels Using easy to use graphical user interface you can configure hundreds of Windows
Me/9x/NT/2000/XP hidden settings, from the Start Menu, Desktop,
Accessories, Windows Explorer, to Internet Explorer This is something that you cannot do on the regular operations In addition, you will get hundreds of selected Windows Me/9x/NT/2000/XP Tips & Tricks to boost your Windows performance
Zombie không có ý post lại bài tut ngừ khác…Mà mún cho cái topic này trọn vẹn đúng nghĩa là toàn bộ Soft của Corp này
Trang 5Okai Thằng ni sau khi unapack, làm tương tự Internet Tweak… Bạn tìm đến đây
0047B6A0 | 8B55 DC |MOV EDX,DWORD PTR SS:[EBP-24] > Follow value in Dump ở đây để lấy hết list Serials
0047B6A3 | 8B45 F4 |MOV EAX,DWORD PTR SS:[EBP-C]
0047B6A6 | E8 2D94F8FF |CALL dumped_.00404AD8
0047B6AB | 75 07 |JNZ SHORT dumped_.0047B6B4
0047B6AD | C745 E4 FFFFF>|MOV DWORD PTR SS:[EBP-1C],-1 0047B6B4 |> 43 |INC EBX
0047B6B5 | 66:81FB F401 |CMP BX,1F4
0047B6BA |.^ 75 CD \JNZ SHORT dumped_.0047B689
0047B6BC | 837D E4 01 CMP DWORD PTR SS:[EBP-1C],1
0047B6C0 | 1BC0 SBB EAX,EAX
0047B6C2 | 40 INC EAX
0047B6C3 | 3C 01 CMP AL,1
0047B6C5 | 0F85 E3000000 JNZ dumped_.0047B7AE
0047B6CB | A1 18A34F00 MOV EAX,DWORD PTR DS:[4FA318] 0047B6D0 | C700 FFFFFFFF MOV DWORD PTR DS:[EAX],-1 0047B6D6 | B8 18B94700 MOV EAX,dumped_.0047B918 ; ASCII
"WinBoost has been registered successfully
Please restart your WinBoost."
Một vài số đại diện
dn3c8y-3q5cm6b8-3u3d62
be6c8y-4f3xu5c2-8j3j86
cj7f7w-8f5dh6x3-6p3i34
yb2i3t-8y8mn4c3-7q6b36
qv3v4d-5g2pb2x8-6c2r22
sk6s3m-8m6uw6r2-3b4s56
bg3b4a-5p4xy7y4-8r2p76
ns5u7v-4x3jf8s3-5y6q67
tf8d6b-3n2af5s3-6g3x75
Trang 6wh6t5u-6b3gw7t6-4v3b43
sv5y6x-8b3cq6s2-3d4x62
rc6t8x-8y7yc7s3-5h7m76
qx8e6r-3y8bw7q6-6h2a64
Còn lại 2 thằng cũng tương tự hix Cracked lười tut wá Bác nào cần thì lên tiếng ha