Ako cracknut MagumaStudio 1.3.4-RC2 by ::[brwm]::
Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: ::[brwm]::
Datum: 23.1.2006
Hodnocení/Hlasovalo: 2.32/22
Teraz to uz nebude len o bezduchom crackovani CrackMe. Konecne spravime nieco, co nam prinesie uzitok v kazdonennom zivote :)
O com to bude tentoraz?
V dnesnom diele sa budeme zaoberat odstranenim NAG Screenu. Je to to hnusne okno, ktore sa otvara hned pri otvoreni aplikacie a slubuje nam modre z neba, len aby sme si zakupili dany program (a otravuje zivot).
Tiez si povieme nieco o krokovani programu (ako inak ako v Olly :))
Co budeme potrebovat?
moj oblubeny editor
MagumaStudio 1.3.4-RC2 (pozor, nie open, ale free!!!)
Hiew 7.01
OllyDbg, PEiD
Let's go...
Ako prve by som odporucil trochu preskumat Magumu. Vsimnime, ze pri spustani aplikacie sa vytvara NAG. I ked je aplikacia free napadne nas (teda aspom mna), ci tam ten hnusny NAG vobec musi byt. Odpoved je jednoducha. Nemusi. A my spravime vsetko pre to, aby tam nebol :)
Velmi jednoduchou metodou (pomocou PEiD) zistime, ze program je napisany v Delphi a nepouziva ziadny packer, takze sa nemusime zdrziavat a mozme hned nakopnut OllyDbg.
A co teraz. Mame nasledujuce poznatky:
-program je vytvoreny v Delphi (uf, este ze nie VB)
-nag sa musi vytvarat niekde na zaciatku programu
A prichadza na rad krokovanie. Pomocou
F8 (namiesto F9 - spustenie) budeme prechadzat program pekne kusok po kusku. Budeme vidiet ako sa menia hodnoty v registroch a pod. Pekne si krokujeme (odporucam s citom:)) a zrazu z jasneho neba sa objavi v popredi nieco biele. Bingo! To je ono. Presne tu sa vytvara NAG programu Maguma Studio. Pozreme sa do okna
CPU (v Olly) a vidime, ze sme skoncili na adrese 63A79A. Adresu si zapamatame a v ollym opat otvorime Magumu.
Stlacime
Ctrl+G (presunie nas na nami zadanu adresu) a zadame adresu, ktoru sme si mali zapamatat. (Schvalne, kolko z vas si ju zapamatalo? :)). Uz nam iba staci overit si, ci je to ta spravna adresa. Tak teda v casti okna ktora ma nadpis
Disassembly 2krat poklikame na adrese 63A79A. Otvori sa nam okno. Namiesto
CALL 004A2998 zadame NOP. Vieme preco? Chceme predsa zakazat zobrazovat sa NAGU, ktory je volany z tejto adresy. Ok. ked uz sme si to overili, mozme zmenit kod natrvalo.
Zmena kodu
Ja na to pouzivam Hiew (zhananie cracku necham na vas:)).
No. Mozme otvorit Magumu. Po otvoreni vidime iba splet znakov a podobnych hovadin. To nic. Prepneme si to pomocou
F4 do
Decode. Hned je to krajsie, lebo vidime asm prikazy. Pomocou
F5 sa dostaneme na adresu, ktoru chceme upravit, cize
.0063A79A (nie, nepomylil som sa. ta bodka tam musi byt!!!)
Stlacime
F3 a nasledne z moznosti vybereme Asm, cize
F2. Vidime
call 0000A1D98. Toto zmazeme a prepiseme na
nop (= no operation). Lenze, ma to maly hacik. Call ma 5 bytov (
zistime to v Ollym, ked namiesto call napiseme nop a ono to nop hodi az na 5 adries, od 63A79A - 63A79E). Takze aj v Hiew musime zadat 5 nopov. Nopy budu od 00239B9A - E. Cize ked vynopujeme adresu 63A79A a stlacime Enter, pokracujeme na nasledujucu adresu (teda az po to E).
screen. Ked to uz mame (
screen), mozme stlacit
F9, tym to cele ulozime
Ukoncime Hiew.
Samozrejme, da sa to aj v ollym, len vam chcem predstavit aj ine nastroje :)
Dufam, ze rozumite. Keby nie, tak komentare. Rad odpoviem na vase pripadne dotazy :)
!!! CLANOK SLUZI VYHRADNE NA STUDIJNE UCELY !!!