X-Priority:3
Status:R
Return-Path:
Delivered-To: erratum@softhome.net
Received: (qmail 25379 invoked by uid 417); 27 Jul 2000 06:58:26 -0000
Received: from mk.egroups.com (207.138.41.165) by mx0a.softhome.net with SMTP; 27 Jul 2000 06:58:26 -0000
X-eGroups-Return: sentto-2031675-112-964680664-erratum=softhome.net@returns.onelist.com
Received: from [10.1.10.36] by mk.egroups.com with NNFMP; 27 Jul 2000 06:51:04 -0000
Received: (qmail 5926 invoked from network); 27 Jul 2000 06:51:03 -0000
Received: from unknown (10.1.10.27) by m2.onelist.org with QMQP; 27 Jul 2000 06:51:03 -0000
Received: from unknown (HELO smtp.telkom.net) (203.130.252.38) by mta1 with SMTP; 27 Jul 2000 06:51:01 -0000
Received: (qmail 63164 invoked from network); 27 Jul 2000 06:52:09 -0000
Received: from dialup-190.malang.telkom.net.id (HELO 203.130.249.190) (203.130.249.190) by smtp.telkom.net with SMTP; 27 Jul 2000 06:52:09 -0000
X-Mailer: The Bat! (v1.44)
Message-ID: <1793286758.20000727130106@Phreaker.net>
In-reply-To: <44162434.20000721175731@Phreaker.net>
References: <1814221224.20000720175246@Phreaker.net> <3976E3043C0.20E8ERRATUM@smtp.centrin.net.id> <44162434.20000721175731@Phreaker.net>
MIME-Version: 1.0
Mailing-List: list hack-crack-id@egroups.com; contact hack-crack-id-owner@egroups.com
Delivered-To: mailing list hack-crack-id@egroups.com
Precedence: bulk
List-Unsubscribe:
Reply-To: hack-crack-id@egroups.com
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
X-Becky-CharSet:ISO-8859-1
How to ELIMINATE NAG WINDOW
by demon brando
Target: WinSolo
Where : http://home.worldonline.dk/~andersa/download/index.htm
Level : Very beginner
Tools : W32DASM, HiEW
=====================================================================
Essay:
Tutorial ini untuk mengenalkan salah satu teknik cracking pada para
pemula yang ingin belajar cracking.
Kita ini akan meng-krak dengan men-disassemble target untuk mencari
pemicu munculnya nag window. Lalu kita akan melakukan patch pada
WinSolo.EXE
Proteksi program ini adalah expired date yang akan menampilkan
nag window. Proteksinya adalah 'semu' karena kenyataannya program bisa
tetap dijalankan setelah melewati expired date.
Jadi masalahnya adalah bagaimana menghilangkan nag window message
yang berbunyi:
"FYI. A more recent version of WinSolo bla...bla...bla..."
Ok, Let's go...
- Run W32DASM, kemudian buka WinSolo.EXE untuk di-disassemble
- Tekan String Data References button untuk menampilkan String Data
References list window.
- Cari teks "FYI. A more recent version of ..." di SDR list window.
Klik kanan 2 kali untuk menuju line dimana message window dipanggil.
- Minimize SDR list window, kembali ke W32DASM window. Kamu akan
melihat ini:
..0040113B: 03D0 add edx,eax
..0040113D: 83FAFC cmp edx,FFFFFFFC
..00401140: 7E05 jle 00401147
..00401142: 83FA78 cmp edx,00000078
..00401145: 7E14 jle 0040115B
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00401140(U)|
..00401147: 6A40 push 00000040
Possible StringData Ref from Data Obj -> "WinSolo"
..00401149: 6850114100 push 00411150
Possible StringData Ref from Data Obj -> "FYI. A more recent version of ..."
..0040114E: 68B4104100 push 004110B4
..00401153: 6A00 push 00000000
* Reference to: USER32.MessageBoxA, Ord:0195h
..00401155: FF1570644100 call dword ptr [00416470]
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0040115B(U)|
..0040115B: 8B4C2470 mov ecx, dword ptr [esp+70]
..0040115F: 8B54246C mov edx, dword ptr [esp+6C]
---------------------------------------------------------------------
Cara 1: Taruh NOP di 00401147 sampai 0040115A
---------------------------------------------------------------------
- Geser ke line .00401147, lalu catat offset-nya di status line (bag.
bawah W32DASM), yang kurang lebih isinya:
"...Code Data @00401147 @Offset 00000547h in File WinSolo.EXE"
- Exit dari W#@DASM
- Buka WinSolo.EXE dengan HiEW. F5, ketikkan 547
- Tekan
seperti ini:
..00401147: 6A40 push 040
..00401149: 6850114100 push 000411150 ;" AP"
..0040114E: 68B4104100 push 0004110B4 ;" A¦"
..00401153: 6A00 push 000
..00401155: FF1570644100 call MessageBoxA ;USER32.dll
Nah, itu adalah Code Data yang kita lihat di W32DASM.
F4, pilih Hex mode. Kamu akan melihat tampilan seperti ini
WINSOLO.EXE FRO PE.00401147 -------- 83968 ¦ Hiew 6.40 (c)SEN
-----------------------------------------------------------------------------
..00401140: 7E 05 83 FA-78 7E 14 6A-40 68 50 11-41 00 68 B4 ~â·x~¶j@hPA h¦
..00401150: 10 41 00 6A-00 FF 15 70-64 41 00 8B-4C 24 70 8B A j §pdA ïL$pï
Tekan F3 untuk edit, dan ketikkan 90 di 00401147 sampai 0040115A.
WINSOLO.EXE FRO PE.00401147 -------- 83968 ¦ Hiew 6.40 (c)SEN
-----------------------------------------------------------------------------
..00401140: 7E 05 83 FA-78 7E 14 90-90 90 90 90-90 90 90 90 ~â·x~¶ÉÉÉÉÉÉÉÉÉ
..00401150: 90 90 90 90-90 90 90 90-90 90 90 8B-4C 24 70 8B ÉÉÉÉÉÉÉÉÉÉÉïL$pï
Kalau sudah selesai tekan F9 untuk update.
F4 dan pilih Decode. Kamu akan melihat NOP di line 401147 sampai
40115A. F10 untuk exit. Run WinSolo.EXE untuk melihat hasil 'patch' kita.
---------------------------------------------------------------------
Cara 2: Ubah JUMP yang menuju ke code data pemanggil nag window
---------------------------------------------------------------------
- Perhatikan baris berikut di W32DASM:
..0040113D: 83FAFC cmp edx,FFFFFFFC
..00401140: 7E05 jle 00401147 --------> jump to nag window
..00401142: 83FA78 cmp edx,00000078
..00401145: 7E14 jle 0040115B --------> jump to good code (no nag window)
- Catat offset-nya untuk code data 401140. Exit W32DASM. Buka
WinSolo.EXE dengan HiEW. F5 masukkan offset yang kita catat tadi
..0040113D: 83FAFC cmp edx,-004 ;""
..00401140: 7E05 jle .000401147 -------- (1)
..00401142: 83FA78 cmp edx,078 ;"x"
..00401145: 7E14 jle .00040115B -------- (2)
- F3 untuk mengedit, lalu ganti jump code tersebut menjadi:
..0040113D: 83FAFC cmp edx,FFFFFFFC
..00401140: 7E00 jle 00401142
..00401142: 83FA78 cmp edx,00000078
..00401145: EB14 jmp 0040115B
atau
..0040113D: 83FAFC cmp edx,FFFFFFFC
..00401140: EB19 jmp 00401142
..00401142: 83FA78 cmp edx,00000078
..00401145: 7E14 jle 0040115B
- F9 untuk update. F10 exit HiEW.
- Run WinSolo.EXE untuk melihat hasilnya.
=====================================================================
Catatan:
CMP = COMPARE
JLE = JUMP if LESS or EQUAL
JMP = JUMP
NOP = NO OPERATION
=====================================================================
Kesimpulan:
Pemicu nag window pada WinSolo adalah kode yang membandingkan tanggal
sekarang dengan expired date. Nag window bisa dieliminasi dengan
melakukan bypass (JUMP) ke baris kode yang tidak menampilkan nag
window atau membuat program tidak melakukan operasi apapun (NOP) saat
proses mencapai kode yang menampilkan nag window.
---------------------------------------------------------------------
--------------------------------------------------------------------
Distance, Credit Cards, Utilities and more! Visit today to start saving!
http://click.egroups.com/1/7534/3/_/_/_/964680664/
--------------------------------------------------------------------|e>-
To unsubscribe from this group, send an email or visit to:
1.demon_13daz@yahoo.com
2.www.demonbrando.co.cc
Bagikan
hack-crack
4/
5
Oleh
demonbrando