...............Cheeze
& Onion Crackerz
Kru
...............
presentz
| Tutorial No.: 2 ( ADD4GOODREMOVE ) |
Date: 31.03.99 |
| ToolZ: |
W32Dasm, HACKERSVIEW |
->> HALLIHALLO <<-
Gundsäzliches:Wenn Ihr an ein Proggie heran geht, müsst Ihr
erst einmal abchecken wie es läuft und wie es geschützt
ist(30 Tg. Vollversion, mit Zeitbegrenzung bzw.
so etwas Ähnliches).
Und legt immer eine crc.exe an und eine Sicherheitzkopie
(z.B ADD4GOOD.EXX)
So nun zum Opfer "ADD4GOODREMOVE 2.0.0" !
Installieren, NAME und BOGUS-NUMMER eingeben und auf UNLOCK......
KABAUTZ, eine FEHLERMELDUNG !!! <<- MERKEN
So danach stellt Ihr die Systemuhr vor (30 Tg).
Mal gucken was dann passiert. <<-Bei mir GARNICHTZ !
Also keine Zeitbegrenzung, oder was geht ab?
So, das Proggie in WDASM geladen und Dissasembelt, STRING REF in RUHE
durchsehen.
Mir kam der Text "THE CODE FOR THIS" interessant vor.
DOOPELKLICK AUF "THE CODE FOR THIS" und ein wenig Hochscrollen,dort
seht Ihr ein "JE"(jump if equal,74 oder 0f84) den grünen Balken von
WDASM auf den"JE" und Ihr seht den OFFSET(bd8) in der unteren Leiste von
WDASM. <<-OFFSET aufschreiben !
So nun HVIEW gestartet,und "F4"(Decode mode),"F5"(Suchen)und OFFSET
eingeben.
Ihr seht die Location von gerade,"F3"(Editieren) gedrückt und 74
in 75(0f85) geändernt.
"F9"(Update),"F10"(Quit)
Startet das Proggie jetzt mal und guckt es euch mal an.
Ihr könnt zwar einen Namen und eine falsche Nummer eingeben und es
registriert sich, aber wenn Ihr dann das Prog weiterlaufen lasst, seht
Ihr oben denn Namen und daneben "UNREGISTERED" <<-zHiT !!
NA,EGAL.
WDASM geladen und sich zur Location von gerade geBeamT und mal schauen
was vor dem Sprung passiert. <<-der CALL darüber !!
Nehmen wir mal denn CALL über TEST EAX, EAX und drücken,oben in WDASM,
auf CALL.
Wir scrollen ein wenig hoch um zu schauen woher der Call überhaupt kommt
und stellen fest das unsere Location von gerade auch aufgelistet ist
(CALL 004017d1). Dort stehen noch 3 andere adRessen.
Gehen wir doch einmal die Adressen durch. Ihr findet bei 00402cfc ein
weiteren "JE" und darüber ein TEST EAX, EAX. <<-INTERESSANT !
So OFFSET(2103) wie gerade aufgeschrieben und HVIEW geladen.
Den Jump geändert und Quit. <<-wie oben !
Danch Proggie gestartet und TARATA Alles weg, auch die REGISTER BOX
Dort steht nun ORDERINFO (ist mir auch lieber).
Achtet bitte bei meinen Tutorialz NICHT auf die Wortwahl und Grammatik!
Habe in den letzten 2 tg. 4 Tutorialz geschrieben.
Und selber erst seit cA.6 Wochen dabei..
Viel Spass damit !
cu
tco95´
biOnic
merLin