_Chạy thử File Fix_unpacked.exe. File chạy tốt… Trong quá trình unpack ta đã bypass luôn cái Nag . Unpack Done… #Tut2:Defeat CopyMemII với ArmaDumpers by Deroko _giờ ta làm thịt tiếp Automation Anywhere 2.52 _Dạy là cu này có Debug-Blocker + CopyMem-II + Enable Nanomites Processing + Enable Memory-Patching Protections _Ta có 2 File: dumper1.exe - Debug Blocker oep locator and import fixer dumper2.exe - Copy Mem II dumper and import fixer vì Target này có Copy Mem II nên ta chọn Dumper2.exe. Copy Dumper2.exe vào cùng thư mục của Target _đánh dòng lệnh sau _Nhấn Enter ta có 2 cửa sổ sau: _Nhấn “Try It” để tiếp tục _hehe dạy là ta đã Defact được CopymemII gòi. Đừng nhấn OK vội, Giờ thì mở thêm ImportREC, chọn PID cho chính xác và điền OEP=00010074, Nhấn IAT AutoSearch àGet Imports à Show Valid _ Chọn Show Valid->Cut ThunK(s) , Nhấn Fix Dump chọn File Dumped.exe. _Tới đây cũng đừng nhấn OK vội vì chúng ta cần Fix Nano nữa! Chạy thử File Dumped_.exe _Ko có gì quan trọng chép File “ArmAccess.dll” vào cùng thư mục là OK thôi. Chạy lại File Dumped_.exe xem. Haha chạy thẳng vào giao diện chính ko có cái NAG nhắc nhở nào… Tiếp theo bạn làm như hình dưới _Bị Crash ngay…haha…theo kinh nghiệm cho thấy đó chính là dấu hiệu của Nano. _ Bật ArmInline lên chọn PID cho đúng _Nhấn Locate _Nhấn “Try It” để tiếp tục và làm tiếp như hình dưới _Bên cửa sổ của ArmInline ta thấy như sau: _nhấn Repair Dump và chọn File Dumped_.exe, chạy File dumped_ NanoFix.exe và ta thấy _Yeah!!!!! Unpacked successfull… Còn về phần Cracking mấy Bác tự xử đi…em ko biết gì đâu à nha!!!!! Nếu các bạn muốn giảm dung lượng File dumped_ NanoFix.exe thì chúng ta có thể Delete bớt mấy các Section tàn dư của Arma còn vương vấn lại _Sau khi Xóa _Run thử vẫn chạy ngon lành…Good… GrEeTs Fly Out: Computer_Angel, Zombie, Moonbaby, Hacnho, Benina, kienmanowar, Zoi, Deux, Merc, Trickyboy, Takada, iamidiot, light phoenix, thienthandien, VolX … and you! Nha Trang, Ngày 5 tháng 5 năm 2006 Why Not Bar Reverse Engineering Association SoftWare Homepage : http://www.visual-mp3.com Production : iProgram Development. SoftWare : Visual MP3 CD Burner Copyright by : Copyright © 2002,2003 by iProgram Development. All Rights Reserved. Type : Name / Serial Packed : N / A Language : Microsoft Visual C++ 6.0 Crack Tool : OllyDbg 1.09d, PEiD 0.92, kWdsm 10 Unpack : N / A Request : Correct Serial / KeyGen Visual MP3 CD Burner Visual MP3 CD Burner is a member of the award-winning Visual MP3 Family. With Visual MP3 CD Burner you can burn MP3, MP2, WMA, WAV (compressed/uncompressed) and Ogg Vorbis to audio CD On-The-Fly. Visual MP3 CD Burner uses "Track-at-Once" burning method. The audio CD can be played in all CD/DVD players - at home or in the car. I – Information : - Dùng PEiD kiểm tra biết chương trình không bị PACK và biết chương trìnhđược viết bằng Microsoft Visual C++ 6.0 - Chạy thử chương trình với User và Fake Serial ta nhận được thông báo "The registration code is not valid.". Ta tìm được thông báo này tại địa chỉ : 0040DD19 . 68 C0354500 PUSH VMP3CDBu.004535C0 ; |Arg1 = 004535C0 ASCII "The registration code is not valid." - Truy ngược lên trên ta đặt BreakPoint tại lệnh CALL đầu tiên của FunTion này : 0040DC5B . E8 A01D0200 CALL VMP3CDBu.0042FA00 ; <== Set BreakPoint here II – Cracking : - Quá trình mã hoá của chương trình này rất đơn giản . Từ BP ta trace xuống chút : 0040DCBC . 56 PUSH ESI ; /Arg2 0040DCBD . 51 PUSH ECX ; |Arg1 0040DCBE . 8BCB MOV ECX,EBX ; | 0040DCC0 . E8 5B040000 CALL VMP3CDBu.0040E120 ; \VMP3CDBu.0040E120 === Trace Into === 0040E13A |. C74424 08 C43>MOV DWORD PTR SS:[ESP+8],VMP3CDBu.004536C4 ; ASCII "60583B-" 0040E142 |. C74424 0C BC3>MOV DWORD PTR SS:[ESP+C],VMP3CDBu.004536BC ; ASCII "236064-" 0040E14A |. C74424 10 B43>MOV DWORD PTR SS:[ESP+10],VMP3CDBu.004536B4 ; ASCII "74805F-" 0040E152 |. C74424 14 A83>MOV DWORD PTR SS:[ESP+14],VMP3CDBu.004536A8 ; ASCII "8A69046-" 0040E15A |. C74424 18 9C3>MOV DWORD PTR SS:[ESP+18],VMP3CDBu.0045369C ; ASCII "515E406-" 0040E162 |. C74424 1C 903>MOV DWORD PTR SS:[ESP+1C],VMP3CDBu.00453690 ; ASCII "8032305-" 0040E16A |. C74424 20 843>MOV DWORD PTR SS:[ESP+20],VMP3CDBu.00453684 ; ASCII "5B584E6-" 0040E172 |. C74424 24 783>MOV DWORD PTR SS:[ESP+24],VMP3CDBu.00453678 ; ASCII "365D57B-" 0040E17A |. C74424 28 6C3>MOV DWORD PTR SS:[ESP+28],VMP3CDBu.0045366C ; ASCII "57343A3-" 0040E182 |. C74424 2C 643>MOV DWORD PTR SS:[ESP+2C],VMP3CDBu.00453664 ; ASCII "1533B4-" 0040E18A |. C74424 30 5C3>MOV DWORD PTR SS:[ESP+30],VMP3CDBu.0045365C ; ASCII "364026-" 0040E192 |. C74424 34 503>MOV DWORD PTR SS:[ESP+34],VMP3CDBu.00453650 ; ASCII "5131066-" 0040E19A |. C74424 38 443>MOV DWORD PTR SS:[ESP+38],VMP3CDBu.00453644 ; ASCII "0553437-" === Trace Into === - Trace tiếp ta đến : 0040DCC9 . 56 PUSH ESI ; /Arg2 0040DCCA . 52 PUSH EDX ; |Arg1 0040DCCB . 8BCB MOV ECX,EBX ; | 0040DCCD . E8 5E050000 CALL VMP3CDBu.0040E230 ; \VMP3CDBu.0040E230 === Trace Into === 0040E24A |. C74424 08 4C3>MOV DWORD PTR SS:[ESP+8],VMP3CDBu.0045374C ; ASCII "3665D2F" 0040E252 |. C74424 0C 443>MOV DWORD PTR SS:[ESP+C],VMP3CDBu.00453744 ; ASCII "3444C33" 0040E25A |. C74424 10 3C3>MOV DWORD PTR SS:[ESP+10],VMP3CDBu.0045373C ; ASCII "6262435" 0040E262 |. C74424 14 343>MOV DWORD PTR SS:[ESP+14],VMP3CDBu.00453734 ; ASCII "488304A" 0040E26A |. C74424 18 2C3>MOV DWORD PTR SS:[ESP+18],VMP3CDBu.0045372C ; ASCII "315543A" 0040E272 |. C74424 1C 243>MOV DWORD PTR SS:[ESP+1C],VMP3CDBu.00453724 ; ASCII "4F32247" 0040E27A |. C74424 20 1C3>MOV DWORD PTR SS:[ESP+20],VMP3CDBu.0045371C ; ASCII "353355B" 0040E282 |. C74424 24 143>MOV DWORD PTR SS:[ESP+24],VMP3CDBu.00453714 ; ASCII "4E24E65" 0040E28A |. C74424 28 0C3>MOV DWORD PTR SS:[ESP+28],VMP3CDBu.0045370C ; ASCII "3F3F945" 0040E292 |. C74424 2C 043>MOV DWORD PTR SS:[ESP+2C],VMP3CDBu.00453704 ; ASCII "663145E" 0040E29A |. C74424 30 FC3>MOV DWORD PTR SS:[ESP+30],VMP3CDBu.004536FC ; ASCII "35B6D58" 0040E2A2 |. C74424 34 F43>MOV DWORD PTR SS:[ESP+34],VMP3CDBu.004536F4 ; ASCII "525F574" 0040E2AA |. C74424 38 EC3>MOV DWORD PTR SS:[ESP+38],VMP3CDBu.004536EC ; ASCII "13E5735" === Trace Into === - Sau đó, tương ứng từng giá trị ở đoạn CODE bên trên, chương trình kết hợp tương ứng với một gía trị ở đoạn CODE bên dưới . Chuỗi tạo thành sẽ được so sánh với chuỗ i S ta nhập . Với số vòng lặp là 13 (0xD) ta có được 13 chuỗi Serial thực : 0040DCD2 . 8D4424 34 LEA EAX,DWORD PTR SS:[ESP+34] ; <== SecII 0040DCD6 . 8D4C24 20 LEA ECX,DWORD PTR SS:[ESP+20] ; <== SecI 0040DCDA . 50 PUSH EAX 0040DCDB . 51 PUSH ECX 0040DCDC . 8D9424 A40200>LEA EDX,DWORD PTR SS:[ESP+2A4] ; <== SecISecII  . DWORD PTR SS:[ESP+28],VMP3CDBu.00 4536 6C ; ASCII "57343A3-" 0040E182 |. C74424 2C 643>MOV DWORD PTR SS:[ESP+2C],VMP3CDBu.00 4536 64 ; ASCII " 1533 B4-" 0040E18A |. C74424. 1C3>MOV DWORD PTR SS:[ESP+20],VMP3CDBu.00 4537 1C ; ASCII " 3533 55B" 0040E282 |. C74424 24 143>MOV DWORD PTR SS:[ESP+24],VMP3CDBu.00 4537 14 ; ASCII "4E24E65" 0040E28A. B43>MOV DWORD PTR SS:[ESP+10],VMP3CDBu.00 4536 B4 ; ASCII "74805F-" 0040E152 |. C74424 14 A83>MOV DWORD PTR SS:[ESP+14],VMP3CDBu.00 4536 A8 ; ASCII "8A69046-" 0040E15A