chương trình sẽ bị crash do chương trình sẽ sử dụng lại đoạn code trên cho 1 công việc khác, công việc chúng ta cần làm là patch tất cả các đoạn code về nguyên mẫu.. Trở lại với đống cod
Trang 1chương trình sẽ bị crash do chương trình sẽ sử dụng lại đoạn code trên cho 1 công việc khác, công việc chúng ta cần làm là patch tất cả các đoạn code về nguyên mẫu Trở lại với đống code ta mới tạo từ đống code thừa:
Ta chỉnh sửa đoạn code trên lại như sau:
Trở lại hàm CALL gọi đoạn mã kiểm tra:
Sửa lại là:
Đồng thời đoạn code vừa nãy khi ta chỉnh lệnh JMP cho nó nhảy xuống mớ code
ta vừa tạo á:
Ta sẽ chỉnh lại cho nó trở lại như ban đầu:
Set 1 breakpoint tại 00416420, nhấn F9 cho target chạy và sẽ break tại 00416420, tiếp tục dùng F8 trace qua đoạn RET các pác sẽ đến được đây:
Trang 2Tiếp tục kéo xuống dưới ta sẽ tạo thêm 1 số đoạn code mới:
Trở lại khúc bên trên ta sẽ patch hàm CALL ở trên để nó nhảy xuống đoạn code
mà ta mới tạo:
Ok, thế là ta đã xử lý xong thằng ku DLL to Lib này roài
Trang 3Phù mệt quá, xin chấp pút tại đây ^_^
-
haule_nth
Thành phố Hồ Chí Minh, Ngày 10 tháng 11 năm 2006 Thank to all people who help me to know the wonderful world of cracking
Real Spy Monitor v2.21
Trang 4REA - Reverse Engineering Association SoftWare
Homepage : http://www.loadtrend.com/realspy
Production : ShareStar, Inc
SoftWare : Real Spy Monitor v2.21
Copyright by : Copyright (C) 2002-2004 ShareStar Inc
Packed : N/A
Language : Microsoft Visual Basic 5.0 / 6.0
Crack Tools : OllyDbg 1.09d, PEiD v0.92
Unpack tools : N/A
Request : Real Serial
Introduction : Real Spy Monitor v2.21
Worried about how your PC is being used? Want to keep tabs on your children, spouse, employees? Need to Prevent your children or employee from some
application or web sites? Real Spy Monitor is the full solution for you For
example, you can use Real Spy Monitor to Monitor Keystrokes typed, Websites visited, Windows viewed, Program executed, Screen snapshots, Files/Docs
accessed Log Internet Chat conservation including AOL/ICQ/MSN/AIM Instant Messengers Spy Web Mail Content including MSN/HotMail, Yahoo! Mail Prevent your children or employee from some application or websites that include special keywords When you left your your PC, Record your PC actions and send them through Email delivery at set times
I/ Information :
- Dùng PEid v0.92 để Detect , chúng ta biết chương trình ko bị pack & được viết bằng Microsoft Visual Basic 5.0 / 6.0 Hihi thằng này viết bằng Visual Basic > hơi khó xơi đó nha :D
Chạy thử chương trình , wah ! một Interface hiện ra , trông cũng khá bắt mắt đấy chứ , chính vì vậy mà giá của nó cũng hơi bị đẹp đó nha Click vào button Register , nhập các thông tin nó request vào xem nó bảo sao Ở đây mình nhập là : Name :
hoadongnoi & Key : 0361985 Nhấn OK Oh ! nó dám pop-up Nag chửi ta kìa : " Registration Key Wrong " Nó chửi Key ta nhập vào là tầm bậy các bạn ạ :sick:
Hic đẹp thế mà bảo là tầm bậy Tức quá , đã vậy kill chít luôn :P
- OK ! Chúng ta hãy nhớ lấy dòng thông báo trên Bây giờ thì load chương trình này vào trong Olly Dbg Sau đó click chuột phải chọn Search for / All referenced text strings để tìm chuỗi thông báo trên Oh! nó đây rùi Double click vào dòng đó , chúng ta sẽ quay trở lại màn hình chính của Olly :
Code:
Trang 500466D36 C785 74FFFFFF>MOV DWORD PTR SS:[EBP-8C],
winrsm.00>; UNICODE "Registration Key Wrong"
00466D40 C785 6CFFFFFF>MOV DWORD PTR SS:[EBP-94], 8
***Lần ngược lên trên chúng ta sẽ đặt BreakPoint tại lệnh Call đầu tiên của
Procedure này : :w00t:
Code:
00466740 FF56 04 CALL NEAR DWORD PTR DS:[ESI+4] ==> Set BreakPoint here
00466743 33C0 XOR EAX, EAX
II/ Craking :
***OK, sau khi đặt BP tại đó , chúng ta nhấn F9 để Run chương trình Chúng ta sẽ nhập lại Name và Key như trên Nhấn Register, Olly sẽ Ice tiến trình tại điểm mà
ta vừa đặt BP Hàm Call này chúng ta ko cần trace into Trace xuống 1 đoạn ta sẽ thấy chương trình lấy User ta nhập vào để chuyển thành User với char hoa
(UpperCase) :
Code:
00466740 FF56 04 CALL NEAR DWORD PTR DS:[ESI+4] ==> We're here
00466743 33C0 XOR EAX, EAX
00466745 57 PUSH EDI
00466746 8945 E4 MOV DWORD PTR SS:[EBP-1C], EAX
00466749 8945 E0 MOV DWORD PTR SS:[EBP-20], EAX
0046674C 8945 DC MOV DWORD PTR SS:[EBP-24], EAX
0046674F 8945 D4 MOV DWORD PTR SS:[EBP-2C], EAX
00466752 8945 D0 MOV DWORD PTR SS:[EBP-30], EAX
00466755 8945 CC MOV DWORD PTR SS:[EBP-34], EAX
00466758 8945 C8 MOV DWORD PTR SS:[EBP-38], EAX
0046675B 8945 C4 MOV DWORD PTR SS:[EBP-3C], EAX
0046675E 8945 C0 MOV DWORD PTR SS:[EBP-40], EAX
00466761 8945 BC MOV DWORD PTR SS:[EBP-44], EAX
00466764 8945 AC MOV DWORD PTR SS:[EBP-54], EAX
00466767 8945 9C MOV DWORD PTR SS:[EBP-64], EAX
0046676A 8945 8C MOV DWORD PTR SS:[EBP-74], EAX
Trang 60046676D 8985 7CFFFFFF MOV DWORD PTR SS:[EBP-84], EAX
00466773 8985 6CFFFFFF MOV DWORD PTR SS:[EBP-94], EAX
00466779 FF96 10030000 CALL NEAR DWORD PTR DS:[ESI+310] 0046677F 8D4D AC LEA ECX, DWORD PTR SS:[EBP-54]
00466782 8D55 9C LEA EDX, DWORD PTR SS:[EBP-64]
00466785 51 PUSH ECX
00466786 52 PUSH EDX
00466787 8945 B4 MOV DWORD PTR SS:[EBP-4C], EAX
0046678A C745 AC 09000>MOV DWORD PTR SS:[EBP-54], 9
00466791 FF15 98534A00 CALL NEAR DWORD PTR
DS:[<&MSVBVM50.#5>; MSVBVM50.rtcTrimVar
00466797 8B35 F8524A00 MOV ESI, DWORD PTR
DS:[<&MSVBVM50. >; MSVBVM50. vbaStrVarMove
0046679D 8D45 9C LEA EAX, DWORD PTR SS:[EBP-64]
004667A0 50 PUSH EAX
004667A1 FFD6 CALL NEAR ESI ;
<&MSVBVM50. vbaStrVarMove>
004667A3 8B3D 44554A00 MOV EDI, DWORD PTR
DS:[<&MSVBVM50. >; MSVBVM50. vbaStrMove
004667A9 8BD0 MOV EDX, EAX ==> chuyển Input vào EDX