Cracked by Viper Zx
[NeuRoM@nCerZ]
Cracked by Viper Zx
[NeuRoM@nCerZ]
Zielprogramm:Fine Print 3.36
Tools: Softice 3.25,Hview 6.04
Das Prog hat eine Codeeingabe wozu ich aber noch etwas am Ende dieses Tutors
schreiben werde.
Wir versuchen Fineprint gleich beim Start zu registrieren (Startabfrage
;-))
Dazu gehen wir auf START/EINSTELLUNGEN/DRUCKER und wählen das
Prog (Treiber)
aus dann auf Drucker ->Eigenschaften.
So jetzt setzen wir einen Break auf createwindowexca mit diesem
Break hält Softice direkt vor dem Erstellen des Fensters von Fineprint
an.
Und hier muß sich entscheiden wie sich das Programm präsentiert
ob Registriert
oder nicht.
Der Break ist gesetzt jetzt drücken wir auf Testseite drucken (Prog
wird gestartet)
Softice springt an.
Wir drücken F11 und landen in der Rundll32 jetzt sollange F12 drücken
bis
wir in der Fpui3a (ist die dll im Windows System Verzeichnis)sind jetzt
solange F10 bis keine Returns mehr kommen, dabei landen wir schließlich
auf einen Jump bei 210087d9 denn wir ausnoppen uns siehe da das Prog
ist Registriert.
ABER noch interesanter ist der Call über unserem Jump der normalerweise
eine 1 für Registriert und eine 0 (was ja auch der Fall ist )für
Shareware zurückgibt
also rein in denn Call 21012e00 und gleich am Anfang einen Mov eax,000000001
und dannach
ein Ret und der Call gibt immer eine 1 für Registriert zurück.
Das wars auch schon wieder!!!!!
Anmerkung:
Wenn man sich den Call 21012e00 mit Wdsam32 ansieht sieht man dort die
String Ref.
Regname,Regnummer also wird hier defenitiv auf Registriert oder Shareware
geprüft.
Achso zur Codeeingabe noch ein paar Sätze.
Dort die Richtige Stelle zu finden war für mich relativ schwer
da die Breaks zu weit
vom eigentlichen Vergleich weg waren.
Ich habs dann mit Wdsam32 gesucht und jetzt ACHTUNG die String Ref.
für die O.K
Meldung ist ein Fake (denke ich) wenn man den Jump dort umpatcht kommt
man nie wieder
aus der O.K Schleife raus.Die Richtige O.k Meldung wird wieder in der
EXE des Prog´s
generiert.Wie ich denn richtigen Vergleich gefunden habe kann ich nicht
erklären ,war
mehr durch willkürliche Break´s setzen mit Wdsam32 ;-).
Die Codeeingabe umpatchen bringt ja auch nicht´s da es beim Neustart
wieder unregistriert
ist.Dies sollt bloß ein Hinweis sein!!!!
Der Codeeingabe Jump:210119cb Jne
|
GCCNavigator
|
        |