báo trong 1 cái message box nào đó). Và để tìm được đoạn code tính số lần sử dụng, các bác nên dùng 1 chương trình disassembly – chẳng hạn như W32DASM. Trong W32DASM, các bác hãy tìm chuỗi text trong cái message box và các bác sẽ dễ dàng thấy như sau : Code: CMP BYTE PTR [004628D4] , 00 ; kiểm tra xem có phải lần chạy đầu tiên ? JZ 0045B7D9 ; nếu đúng, nhảy đến lần chạy đầu tiên CMP DWORD PTR [004628D8] , 1A ; kiểm tra số lần đã sử dụng (1Ah=26d) JGE 0045B72A ; nhảy nếu lớn hơn hoặc bằng Nhìn vào đoạn code trên các bác dễ dàng thấy được có 2 chỗ quan trọng : 1. 0045B7D9 là nơi chương trình chạy lần đầu tiên, 2. 0045B72A sẽ đánh dấu số lần các bác đã sử dụng chương trình, ở đây nó sẽ so sánh số lần đã dùng với 26, nghĩa là nếu các bác chạy quá 25 lần thì chương trình sẽ tự động disable. Okey, nếu các bác đã hiểu được những điều trên thì việc crack nó không có gì là khó. Các bác có thể đổi 1A (26) thành FF (255) , hay NOP JGE 0045B72A, hoặc đổi JZ 0045B7D9 thành JMP 0045B7D9… Nói chung là có rất nhiều cách, các bác có thể làm theo cách mà các bác thích. Phần lớn các chương trình hạn chế số lần sử dụng đều có những đoạn code tương tự như vậy và nó thường có 1 counter (counter này có thể nằm trong chương trình hoặc 1 file DLL nào đó). Các bác nên chú ý đến vị trí các vị trí đánh dấu số lần sử dụng và hãy kiểm tra 1 cách chắc chắn là không có cái mirror nào khác có khả năng kiểm tra số làn sử dụng cả. 06.8 Serials ======= Memory Echo 1 cách thông thường để tìm real serial là tìm ra cái +ORC gọi memory echo. Đây là nơi mà số serial chúng ta đánh vào được so sánh với real serial của chương trình (1 vài chương trình real serial này được tính từ name mà chúng ta nhập vào). Các bác có thể crack nhiều chương trình mà chỉ cần tìm ra memory echo, hãy chú ý nếu như các bác gặp đoạn code tương tự như sau : Code: mov bl, [esi] ; lấy 1 byte của real serial mov bh, [edi] ; lấy 1 byte của fake serial cmp bl, bh ; so sánh jne … ; nhảy nếu không bằng Ở đây nếu các bác muốn tìm memory echo, trong SoftICE các bác đánh “d esi”, và các bác sẽ thấy được real serial trong Data Window. 1 đoạn code khác cũng làm chức năng tương tự là : Code: mov ecx, (chiều dài của fake serial) ; chuyển chiều dài của fake serial vào ecx repz cmpsw ; so sánh chuỗi tại ds:esi (real serial) với tại es:edi (fake serial) je … ; nhảy nếu bằng Đối với những đoạn code như trên, để tìm memory echo, trong SoftICE các bác đánh “d esi”. Okey, hãy nhìn lên trên, các bác sẽ thấy cái cần thấy. Hi vọng qua 2 ví dụ trên các bác biết được thế nào là memory echo và làm cách nào để tìm ra nó !!! Message Break Code: BMSG <Window-Handle> WM_GETTEXT (password) BMSF <Window-Handle> WM_COMMAND (nút OK) Hãy nhớ : Nếu các bác sử dụng WM_COMMAND để xác định vị trí của Button, các bác hãy tìm handle của button (ví dụ như 0324) và handle của window (ví dụ như 0129) Để tìm button, đừng dùng Buttuon Value mà hãy sử dụng Window Value để BMSG (ví dụ trong trường hợp này để tìm button chúng ta sẽ đánh BMSG 0129 WM_COMMAND Serial CrackingỞ phần này, em sẽ không dùng các hàm API chính (như GetDlgItemTextA hay GetWindowText…) mà sẽ dùng HMEMCPY. Khi chúng ta đặt breakpoint ở HMEMCPY, chúng ta hãy nhấn F10 khoảng 17-25 lần và chúng ta sẽ thấy 1 đoạn code tương tự như sau : Code: PUSH ECX SHR ECX, 2 ; số từ copy REPZ MOVSD ; copy từ DS:ESI vào ES:EDI POP ECX AND ECX, 3 REPZ MOVSB ; tương tự REPZ MOVSD , nhưng chỉ copy 1 byte XOR DX XOR AX Nhìn thì đoạn code trên có vẻ rắc rối, nhưng các bác đừng lo. Các bác sẽ dễ dàng tìm ra ở đó phương pháp set break trên serial hoặc name của các bác. Tại REPZ MOVSD, trong SoftICE các bác đánh “D DS:EDI” (nếu là 32bit) hoặc “D DS:DI” (nếu là 16bit) . Các bác sẽ thấy fake name hoặc fake serial. Bây giờ hãy đánh “D ES:EDI” (32bit) hoặc đánh “D ES:DI” (16bit). Nó sẽ hiện ra vị trí mà thông tin bạn nhập vào được copy tới (ví dụ như 22BF:00000000). Hãy chú ý tới segment (ở đây là 22BF). Nếu các bác set BPR trên range của memory, các bác sẽ không thể break lại lần nữa. Bây giờ hãy ấn F10 cho đến khi các thông tin các bác nhập vào được copy xong (nghĩa là vượt qua REPZ MOVSD). Tại đây các bác hãy đánh “PAGE 22BF:00000000” . Các bác sẽ thấy tương tự như sau : Code: Linear | Physical | Attributes | Type 80284960 | 01603960 | PD A AU RW | System Bây giờ công việc của chúng ta là đặt BPR (breakpoint trên range) tại địa chỉ ở trong cột Linear. Để làm được các bác cần biết số byte có trong range, và các bác buộc phải dùng SELECTOR 30 : Ví dụ : BPR 30:80284960 30:80284969 RW Nó sẽ set break trên 9 byte trên range trong suốt quá trình RW (đọc/viết). Nếu các bác muốn biết điểm khác nhau giữa các địa chỉ, các bác có thể đánh : D 30:80284960 Nhớ là các bác phải luôn dùng bộ lọc 30, bởi nó luôn luôn tồn tại. Tiếp theo chúng ta ấn F12 rồi tìm name/serial. Xong các bác nhấn F5 rồi đánh BD <HMEMCPY> và các bác sẽ break khi fake name/serial của các bác được chương trình đọc. Tiếp theo là công việc của các bác :)) Serial # Cracking sử dụng HMEMCPY 1 hàm API khá thú vị dùng để crack serial là HMEMCPY. Nó sẽ được gọi mỗi khi chuỗi được copy và memory. Để sử dụng HMEMCPY, trước hết các bác đánh đại cái gì đó và registration dialog, sau đó load SoftICE và đánh BPX HMEMCPY. Trở lại chương trình và nhấn nút OK/Register… SoftICE sẽ nhảy ra và hãy ấn F11 để trở về nơi gọi nag. Nếu có nhiều hộp thoại edit box, nhấn Ctrl-D 1 và F11 cho đến khi các bác biết chắc rằng toàn bộ thông tin mà các bác đã được copy. Bây giờ các bác sẽ thấy như sau : Code: PUSH DWORD PTR [DI] CALL KERNEL!LOCALUNLOCK Hầu hết các code đều được kiểm tra từ 1 file executable, bây giờ hãy ấn F10 sau khi các bác đã disable các breakpoint. Các bác sẽ “nhảy” qua rất nhiều instruction (có thể là 50 hoặc nhiều hơn), và chắc chắn các bác sẽ nhày qua Kernel32!_freqasm trước khi trở về đoạn code của chương trình. Khi các bác đã trở về được đoạn code của chương trình , hãy “nhảy” với F10 nhưng phải thật chậm. Nếu các bác tìm thấy 2 serial được đặt trong stack và sau đó lệnh CALL được thực hiện > đánh D để xem chúng. Visual Basic Serial Cracking Trước khi set BPX rtcMsgBox trong SoftICE, các bác cần phải có file MSVBVM50.DLL. Sau đó hãy nhập bất kì cái gì đó trong Registration Box và nhấn Enter. SoftICE sẽ break tại rtcMsgBox. Bây giờ hãy disassemble chương trình ra , đi đến đoạn code gọi message box. Set breakpoint trước đoạn code so sánh, các bác nên biết rằng các function của Visual Basic không khác lắm với API của WIN32, nên họ vẫn sẽ đặt 1 vài thông số nào đó trong stack. Và “tóm” các thông số này rất dễ, các bác hãy ấn F5 và F11 vài lần > các bác sẽ thấy những đoạn code “trên cả tuyệt vời” Những function đáng để “thử” : __vbaLenBstr (nhận chiều dài chuỗi) __vbaStrCopy __vbaStrMove Visual Basic 6 Serial Catching Trước hết các bác open WINICE.DAT lên mà thay đổi 1 chút : Code: F5=”^x;^dd eax;” EXP=C:\WINDOWS\SYSTEM\MSVBVM60.DLL Trong hộp thoại registration hãy nhập bất kì cái gì mà các bác thích. Xong hãy vào SoftICE và đánh “BPX MSVBVM60!_vbaStrCat”. Thoát khỏi SoftICE và nhấn nút OK trong hộp thoại registration > SICE nhảy ra : Code: :66060B5F PUSH EBP :66060B60 MOV EBP,ESP :66060B60 MOV EBP,ESP :66060B62 PUSH EBP :66060B65 PUSH EAX :66060B66 PUSH DWORD PTR [EBP+08] :66060B69 PUSH DWORD PTR [EBP+0C] :66060B6C CALL [661106E8] :66060B72 TEST EAX,EAX :66060B7A MOV EAX,[EBP+08] :66060B7D POP EBP :66060B7E RET 0008 Bây giờ hãy đánh những lệnh sau : Code: BC * [Enter] BPX 66060B7D [Enter] X [Enter] Tại đây chúng ta nhấn F5 cho đến khi thấy real serial (là những kí tự) trong Data Window. 06.9 Time Limits ========== 30-Day-Time-Limit Rất nhiều chương trình shareware chỉ cho phép chúng ta sử dụng trong 1 thời gian ( thường là 30 ngày). Vạy nhiệm vụ của chúng ta là tìm ra đoạn code so sánh số ngày sử dụng , và thay đổi nó. Đây là đoạn code đó : Code: mov ecx, 1E ; đặt 1E (1Eh=30d) vào ecx mov eax, [esp+10] ; đặt số ngày đã dùng vào eax cmp eax, ecx ; so sánh eax và ecx jl … ; nhảy nếu nhỏ hơn (nghĩa là tiếp tục được dùng chương trình) Cách đơn giản nhất trong trường hợp này là đổi “mov eax, [esp+10]” thành “mov eax, 1”. Làm như vậy chương trình sẽ luôn luôn nghĩ là chúng ta đang chạy chương trình vào ngày đầu tiên. Hết hạn sử dụng Nếu chương trình mà các bác cần crack đã hết hạn dùng , các bác có thể tìm trong Registry khóa CURRENT_USER và LOCAL_MACHINE các khóa có liên quan đến chương trình đó và xóa nó đi. Sau đó cài lại chương trình ( các bác nên nhớ là cũng phải xóa sạch các file có liên quan đến chương trình đó nhá !!! ) Lazy Programmer’s Trial Check Chương trình của các bác chỉ cho phép chạy thử trong 30 ngày ??? Hãy xem làm cách nào để 1 programmer lười biếng kiểm tra số ngày dùng đó : Code: CMP DWORD PTR register,1E JLE/JGE … Các bác hãy xem các thông số sau : 83 là CMP, 1E là 30 ngày, 7E là JLE hoặc 7D là JGE. Bây giờ mở 1 chương trình HEX editor và tìm các thông số trên. Các bác sẽ tìm thấy chúng trong 1 hoặc nhiều vị trí khác nhau - điều đó không quan trọng. Các bác hãy cứ đổi JLE (7E 33) thành JMP (EB 33). Chắc chắn chương trình sẽ không bao giờ hết hạn nữa !!! Crack Time Limit sử dụng W32DASM Hãy chỉnh đồng hồ hệ thống sang 1 năm -> chương trình của các bác chắc chắn sẽ hết hạn ngay. Khơi động chương trình, 1 message sẽ hiện ra, hãy nhớ nội dung của nó nhé (tốt nhất là ghi ra giấy). Dùng W32DASM để load file vào và tìm nội dung của cái message ban nãy. Tìm ra rồi -> đến đoạn code cần tìm -> phân tích đoạn code -> crack nó. . Code: :6 606 0B5F PUSH EBP :6 606 0B 60 MOV EBP,ESP :6 606 0B 60 MOV EBP,ESP :6 606 0B62 PUSH EBP :6 606 0B65 PUSH EAX :6 606 0B66 PUSH DWORD PTR [EBP +08 ] :6 606 0B69 PUSH DWORD PTR [EBP+0C] :6 606 0B6C CALL. :6 606 0B6C CALL [6 611 06 E8] :6 606 0B72 TEST EAX,EAX :6 606 0B7A MOV EAX,[EBP +08 ] :6 606 0B7D POP EBP :6 606 0B7E RET 00 08 Bây giờ hãy đánh những lệnh sau : Code: BC * [Enter] BPX 6 606 0B7D [Enter] X. MOVSD). Tại đây các bác hãy đánh “PAGE 22BF :00 000 000 ” . Các bác sẽ thấy tương tự như sau : Code: Linear | Physical | Attributes | Type 802 849 60 | 01 6 03 9 60 | PD A AU RW | System Bây giờ công việc