Cuối cùng tại đây ta nhấn F7 thực hiện lệnh RETN Now chúng ta đã ra ngoài được quá trình đọc key Chúng ta có thể thấy rằng một lời gọi tới key đăng ký của chúng ta.. Thông báo bắt đăng k
Trang 1Cuối cùng tại đây ta nhấn F7 thực hiện lệnh RETN
Now chúng ta đã ra ngoài được quá trình đọc key
Chúng ta có thể thấy rằng một lời gọi tới key đăng ký của chúng ta Vì vậy chúng
ta có thể đặt 1 BP ở trên nó và restart lại rồi bắt đầu từ đây Nhưng ý tưởng ở đây
là rất đơn giản Thông báo bắt đăng ký popup là được gọi từ một nơi nào đó Ý tưởng là tìm chính xác nơi đó và phân tích ngược xung quanh nơi đó, xem nó được đăng ký như thế nào Tiếp tục trace F8 tới khi nag comes up, chúng ta sẽ tới đây:
Và lời gọi này là our bastard ở đây Vậy thì cái gì chúng ta cần hiểu một tý tại đây,
đó là tại sao lại đến được đây, và rất nhiều điều quan trọng khác, chúng ta có thể nhận được xung quanh nó bằng cách nào đó ?
Trang 2Tốt rồi chúng ta có vài thông tin rất hay … lệnh JE tại địa chỉ 0054C565 sẽ là mục
tiêu của chúng ta Nếu nó không thực hiện lệnh nhảy, chúng ta sẽ vượt qua đăng ký với hệ thống Vì vậy chúng ta phải xem xét cái gì set cho AL=0 sau khi ra khỏi
hàm call tại địa chỉ 0054C55E
Đặt trỏ chuột vào lệnh call trên, và nhấn Enter ta vào trong hàm tại địa chỉ
0054C460
Trang 3Chúng ta đang ở bên trong hàm ở trên kia
Bây giờ, chúng ta cần tìm hiểu xem tại sao EAX=0 khi hàm return Ta sẽ đặt BP tại lệnh PUSH EBP, và chạy cho tới khi break tại BP
Nhấn F9 để chạy và break tại đây
Trang 4Now chúng ta có thể trace cho tới khi thấy điều gì đó thú vị
Well, thật rõ ràng sáng sủa Bạn thấy chúng ta Move 1 vào BL tại địa chỉ
0054C520 và sau đó chúng ta Move giá trị trong EBX vào trong EAX tại địa chỉ 0054C54C, vì vậy bằng cách nào đó chúng ta phải làm cho lệnh MOV BL,1 tại địa chỉ 0054C520 phải được thực thi
Trang 5Trông có vẻ không đơn giản, vì có quá nhiều lệnh nhảy có điều kiện Đây sẽ là vùng patch rộng, chúng ta sẽ xem xét hàm kiểm tra gần nhất
Đặt trỏ chuột vào lệnh call tại địa chỉ 0054C4BF, nhấn Enter để vào hàm tại địa chỉ 0054AA58
Chúng ta thấy lời gọi này có thể là chìa khóa, chúng ta hãy kiểm tra nơi nó đưa ta tới