Cracker Handbook 1.0 part 333 ppt

chương trình sẽ bị crash do chương trình sẽ sử dụng lại đoạn code trên cho 1 công việc khác, công việc chúng ta cần làm là patch tất cả các đoạn code về nguyên mẫu. Trở lại với đống code ta mới tạo từ đống code thừa: Ta chỉnh sửa đoạn code trên lại như sau: Trở lại hàm CALL gọi đoạn mã kiểm tra: Sửa lại là: Đồng thời đoạn code vừa nãy khi ta chỉnh lệnh JMP cho nó nhảy xuống mớ code ta vừa tạo á: Ta sẽ chỉnh lại cho nó trở lại như ban đầu: Set 1 breakpoint tại 00416420, nhấn F9 cho target chạy và sẽ break tại 00416420, tiếp tục dùng F8 trace qua đoạn RET các pác sẽ đến được đây: Tiếp tục kéo xuống dưới ta sẽ tạo thêm 1 số đoạn code mới: Trở lại khúc bên trên ta sẽ patch hàm CALL ở trên để nó nhảy xuống đoạn code mà ta mới tạo: Ok, thế là ta đã xử lý xong thằng ku DLL to Lib này roài  Phù mệt quá, xin chấp pút tại đây ^_^ haule_nth Thành phố Hồ Chí Minh, Ngày 10 tháng 11 năm 2006 Thank to all people who help me to know the wonderful world of cracking Real Spy Monitor v2.21 REA - Reverse Engineering Association SoftWare Homepage : http://www.loadtrend.com/realspy Production : ShareStar, Inc SoftWare : Real Spy Monitor v2.21 Copyright by : Copyright (C) 2002-2004 ShareStar Inc . Packed : N/A Language : Microsoft Visual Basic 5.0 / 6.0 Crack Tools : OllyDbg 1.09d, PEiD v0.92 Unpack tools : N/A Request : Real Serial . Introduction : Real Spy Monitor v2.21 Worried about how your PC is being used? Want to keep tabs on your children, spouse, employees? Need to Prevent your children or employee from some application or web sites? Real Spy Monitor is the full solution for you. For example, you can use Real Spy Monitor to Monitor Keystrokes typed, Websites visited, Windows viewed, Program executed, Screen snapshots, Files/Docs accessed. Log Internet Chat conservation including AOL/ICQ/MSN/AIM Instant Messengers Spy Web Mail Content including MSN/HotMail, Yahoo! Mail Prevent your children or employee from some application or websites that include special keywords. When you left your your PC, Record your PC actions and send them through Email delivery at set times. I/ Information : - Dùng PEid v0.92 để Detect , chúng ta biết chương trình ko bị pack & được viết bằng Microsoft Visual Basic 5.0 / 6.0 . Hihi thằng này viết bằng Visual Basic - -> hơi khó xơi đó nha . :D Chạy thử chương trình , wah ! một Interface hiện ra , trông cũng khá bắt mắt đấy chứ , chính vì vậy mà giá của nó cũng hơi bị đẹp đó nha . Click vào button Register , nhập các thông tin nó request vào xem nó bảo sao . Ở đây mình nhập là : Name : hoadongnoi & Key : 0361985 . Nhấn OK . Oh ! nó dám pop-up Nag chửi ta kìa : " Registration Key Wrong " . Nó chửi Key ta nhập vào là tầm bậy các bạn ạ :sick: . Hic đẹp thế mà bảo là tầm bậy . Tức quá , đã vậy kill chít luôn . :P - OK ! Chúng ta hãy nhớ lấy dòng thông báo trên . Bây giờ thì load chương trình này vào trong Olly Dbg . Sau đó click chuột phải chọn Search for / All referenced text strings để tìm chuỗi thông báo trên . Oh! nó đây rùi . Double click vào dòng đó , chúng ta sẽ quay trở lại màn hình chính của Olly : Code: 00466D36 . C785 74FFFFFF>MOV DWORD PTR SS:[EBP-8C], winrsm.00>; UNICODE "Registration Key Wrong" 00466D40 . C785 6CFFFFFF>MOV DWORD PTR SS:[EBP-94], 8 ***Lần ngược lên trên chúng ta sẽ đặt BreakPoint tại lệnh Call đầu tiên của Procedure này : :w00t: Code: 00466740 . FF56 04 CALL NEAR DWORD PTR DS:[ESI+4] ==> Set BreakPoint here . 00466743 . 33C0 XOR EAX, EAX II/ Craking : ***OK, sau khi đặt BP tại đó , chúng ta nhấn F9 để Run chương trình .Chúng ta sẽ nhập lại Name và Key như trên . Nhấn Register, Olly sẽ Ice tiến trình tại điểm mà ta vừa đặt BP . Hàm Call này chúng ta ko cần trace into . Trace xuống 1 đoạn ta sẽ thấy chương trình lấy User ta nhập vào để chuyển thành User với char hoa (UpperCase) : Code: 00466740 . FF56 04 CALL NEAR DWORD PTR DS:[ESI+4] ==> We're here 00466743 . 33C0 XOR EAX, EAX 00466745 . 57 PUSH EDI 00466746 . 8945 E4 MOV DWORD PTR SS:[EBP-1C], EAX 00466749 . 8945 E0 MOV DWORD PTR SS:[EBP-20], EAX 0046674C . 8945 DC MOV DWORD PTR SS:[EBP-24], EAX 0046674F . 8945 D4 MOV DWORD PTR SS:[EBP-2C], EAX 00466752 . 8945 D0 MOV DWORD PTR SS:[EBP-30], EAX 00466755 . 8945 CC MOV DWORD PTR SS:[EBP-34], EAX 00466758 . 8945 C8 MOV DWORD PTR SS:[EBP-38], EAX 0046675B . 8945 C4 MOV DWORD PTR SS:[EBP-3C], EAX 0046675E . 8945 C0 MOV DWORD PTR SS:[EBP-40], EAX 00466761 . 8945 BC MOV DWORD PTR SS:[EBP-44], EAX 00466764 . 8945 AC MOV DWORD PTR SS:[EBP-54], EAX 00466767 . 8945 9C MOV DWORD PTR SS:[EBP-64], EAX 0046676A . 8945 8C MOV DWORD PTR SS:[EBP-74], EAX 0046676D . 8985 7CFFFFFF MOV DWORD PTR SS:[EBP-84], EAX 00466773 . 8985 6CFFFFFF MOV DWORD PTR SS:[EBP-94], EAX 00466779 . FF96 10030000 CALL NEAR DWORD PTR DS:[ESI+310] 0046677F . 8D4D AC LEA ECX, DWORD PTR SS:[EBP-54] 00466782 . 8D55 9C LEA EDX, DWORD PTR SS:[EBP-64] 00466785 . 51 PUSH ECX 00466786 . 52 PUSH EDX 00466787 . 8945 B4 MOV DWORD PTR SS:[EBP-4C], EAX 0046678A . C745 AC 09000>MOV DWORD PTR SS:[EBP-54], 9 00466791 . FF15 98534A00 CALL NEAR DWORD PTR DS:[<&MSVBVM50.#5>; MSVBVM50.rtcTrimVar 00466797 . 8B35 F8524A00 MOV ESI, DWORD PTR DS:[<&MSVBVM50.__>; MSVBVM50.__vbaStrVarMove 0046679D . 8D45 9C LEA EAX, DWORD PTR SS:[EBP-64] 004667A0 . 50 PUSH EAX 004667A1 . FFD6 CALL NEAR ESI ; <&MSVBVM50.__vbaStrVarMove> 004667A3 . 8B3D 44554A00 MOV EDI, DWORD PTR DS:[<&MSVBVM50.__>; MSVBVM50.__vbaStrMove 004667A9 . 8BD0 MOV EDX, EAX ==> chuyển Input vào EDX . EAX 00 466779 . FF96 10 0 300 00 CALL NEAR DWORD PTR DS:[ESI+ 3 10 ] 00 46677F . 8D4D AC LEA ECX, DWORD PTR SS:[EBP-54] 00 466782 . 8D55 9C LEA EDX, DWORD PTR SS:[EBP-64] 00 466785 . 51 PUSH ECX 00 466786. PUSH EDX 00 466787 . 8945 B4 MOV DWORD PTR SS:[EBP-4C], EAX 00 46678A . C745 AC 09 000 >MOV DWORD PTR SS:[EBP-54], 9 00 4667 91 . FF15 98534A 00 CALL NEAR DWORD PTR DS:[<&MSVBVM 50. #5>;. MSVBVM 50. rtcTrimVar 00 466797 . 8B35 F8524A 00 MOV ESI, DWORD PTR DS:[<&MSVBVM 50. __>; MSVBVM 50. __vbaStrVarMove 00 46679D . 8D45 9C LEA EAX, DWORD PTR SS:[EBP-64] 00 4667A0 . 50 PUSH EAX 00 4667A1