sau đó khi Analyze chương trình ta chỉ việc chọn nó từ Plugins menu, công việc tiếp theo
là hoàn toàn tự động.Trogn quá trình tìm kiếm nếu như phát hiện chương trình có sử
dụng Crypto một hộp thoại thông báo sẽ hiện ra như sau :



Một số phím tắt khi sử dụng IDA


- Trong tab IDA View-A: để nhảy tới entry point của file exe hay các entry point của file
dll đang disasm, dùng tổ hợp phím Ctrl+E

- Di chuyển tới một địa chỉ VA: phím G

- Tìm kiếm chuỗi trong tab Name, Strings : Menu->Search (Alt-T):

- Liệt kê các tham chiếu đến một label: Menu->Jmp->Jmp to xrefs , hoặc sử dụng phím
X

- Viết comment cho một đoạn code: dùng phím ; hoặc Shift+; (hai chức năng này hơi
khác nhau một chút).

- Lưu bookmark: Muốn ghi bookmark tại một địa chỉ để sau này còn quay lại, ta bấm
chuột phải vào phần địa chỉ .text bên trái, chọn Mark position (Alt+M), đặt tên
bookmark cho dễ nhớ. Liệt kê các bookmark Ctrl+M

- Thực hi
ện tính toán trong IDA: gõ Shìt + / để hiện cửa sổ lệnh, gõ biểu thức có cú pháp
giống ngôn ngữ C. Chức năng này gần tương tự như lệnh calc bên OllyDbg.

- Đổi tên label, tên biến hay tên hàm cho dễ đọc : di chuyển con trỏ tới đó, dùng phím
N

- Xác định symbolic constant: ví dụ trong đoạn code sau
Code:
.text:0040C842 push edx ; phkResult
.text:0040C843 push 0 ; lpSecurityAttributes
.text:0040C845 push 0F003Fh ; samDesired
.text:0040C84A push 0 ; dwOptions
.text:0040C84C push 0 ; lpClass
.text:0040C84E push 0 ; Reserved
.text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows CE
Services\\"
.text:0040C855 push 80000002h ; hKey
.text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near Procedure
Để xác định hằng số 80000002h tương ứng với Symbol nào, chỉ cần bấm chuột phải,
chọn Symbolic constant->Use standard và chọn lấy hằng thích hợp trong list hiện ra,
Ở đây ta chọn HKEY_LOCAL_MACHINE. Kết quả
Code:
.text:0040C842 push edx ; phkResult
.text:0040C843 push 0 ; lpSecurityAttributes
.text:0040C845 push KEY_ALL_ACCESS ; samDesired
.text:0040C84A push REG_OPTION_NON_VOLATILE ; dwOptions
.text:0040C84C push 0 ; lpClass
.text:0040C84E push 0 ; Reserved
.text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows CE
Services\\"
.text:0040C855 push HKEY_LOCAL_MACHINE ; hKey
.text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near Procedure


kienmanowar (
)
BÀI 6: FIND REAL SERIAL

Phần 3: Find Real Serial in “RECYCLE BIN”

Vài lời tâm sự cho vui, lâu lắm rồi tôi ko được tâm sự với các bạn nên cũng “buồn
buồn”.Hôm nay xin mạn phép nói nhiều một chút. Ai nghe ko vào xin bỏ qua cho.
Thật ra benina tính ko tiếp tục viết các lọat tut như vầy nữa, vì viết các lọat tut này nó
giống như một cuốn sách , đòi hỏi sự logic rất cao. Đồng thời để dễ hiểu , dễ đọc người
viết phả
i có một quá trình thực tế crack rất nhiều và một bề dày kinh nghiệm rất lớn.
Nhưng benina thì….có kinh nghiệm cái cóc khô gì đâu. Biết gì nói đó. Nói trật lất mà
cũng ko thấy ai lên tiếng.Tôi biết có nhiều người rất giỏi, nhưng tui chưa bao giờ thấy họ
thật tình chia sẽ với các newbie chúng ta. Họ tham gia forum chủ yếu là …đặt ”cái tôi”
của mình ở thanh tiêu đề forum. Họ tham gia forum để post vài ba câu khó hiểu chủ yếu
là “trình diễn” cái gọi là kiế
n thức thâm hậu của mình nhưng lại vô ích cho mọi người.
Thậm chí tui “khẩn cầu tha thiết” mà họ vẫn giữ cái đống kiến thức họ có để chui xuống
mồ chứ ko share cho ai. Theo benina thì những người như thế sống trên thế gian này thật
ko có ích lợi gì , chui xuống mồ càng sớm càng tốt cho rồi.Vì vậy các bạn newbie cứ an
tâm, benina này biết gì thì các bạn sẽ biết cái đó. Tui sẽ share hết cho các bạn những gì
tui họ
c được từ các tut nước ngòai . Nếu sai , các bạn cứ chỉ bảo, góp ý. Benina này sẽ
cám ơn rất rất nhiều. Vì như vậy chúng ta mới cùng tiến bộ. Những lời lẽ trên đây mặc dù
có tính “hồi giáo cực đoan”, nhưng ko nói ra thì ko thức tỉnh được mọi người . Tôi nghĩ
trong forum chắc cũng có nhiều người rất bận bịu với cuộc sống. Nhưng các bạn thân
mến, các bạn hảy ch
ơi hết mình trên sân chơi mà mình yêu thích. Đừng chơi nữa vời, như
thế sẽ ko đáng mặt “anh hùng mã thượng”. Benina nói vậy có đúng ko các bạn?!

Cực đoan quá , cực đoan quá…. Các bạn hảy bỏ qua cho tôi…hôm nay tôi hơi khùng một
chút….hihi

Còn bây giờ…. tôi xin lấy một ví dụ tìm Real serial trong “đống rác” hết sức đơn giản để
làm ví dụ cho những gì tui post ở bài 5:

Thật tội lỗi với mấy nhà sản xuất “cha mẹ” của các phần mềm quá xá!!. Hôm nay tui lại
“phá giới” để “sốp” 1 em soft “hồng nhan bạt mệnh” FullDisk 5.2. “Sốp” xong thấy “đã
thiệt” nên đành giới thiệu cho các bạ
n nào “háo” “sắc”,bầm, đâm, chém mấy cái soft. : ))

Hôm nay cũng là chiều thứ bảy ,rãnh rỗi, lấy tờ báo echip tuần này ra đọc , thấy giới
thiệu phần mềm FullDisk 5.2 cũng hay hay. Dowload nó về và ……trời. Crack chưa đến
5 phút như Rongchaua có lần nói mà tui ko tin nổi. Thật quá đơn giản các bạn ạ!. Hôm
nay tôi mới sáng mắt ra.Quả thật chỉ có 5 phút. Và thấy đây cũng là một “bằng chứng
trước tòa “cho những gì tui post ở bài 5, nên đành phải “thành thậ
t khai báo” cho các bạn
biết và cũng vì phần mềm này chỉ có 10$ nên lương tâm benina cũng ko bị cắn rứt thành
từng miếng .Hihi

FIND REAL SERIAL IN “RECYCLE BIN”
Author: Benina
Target: FullDisk 5.2
Download: />
Size: 1,22MB
File cracking: D:\Program Files\FullDisk\Fulldisk.exe
Tools : OllDbg 1.10
Comment: Đây là tiện ích cho bạn biết chính xác dung lượng của từng thư mục hay phân
vùng ổ đĩa bằng màu sắc.
Method:

-Search string trong messagebox Badboy : “Name / Code mis match. Try again.”
-Tìm ra tử huyệt tải :
0040ACA5 . 74 60 JE SHORT Fulldisk.0040AD07
-Tìm thấy chuổi Real Serial trong cửa sổ stack tại dòng lệnh:

0040AC88 . E8 030A0000 CALL Fulldisk.0040B690

Chuổi Real serial như sau:
Name: benina
Code: 6F508A8AC3AAB74FF1C90E771DF722B9

1.Thu thập thông tin:


-Dùng Peid biết được phần mềm này ko bị pack, viết bằng ngôn ngữ Microsoft Visual
C++ 6.0.



(hình 01)

-Load file Fulldisk.exe lên Olly, Run chương trình (F9).

-Vào menu File/Chọn mục Register…(hình 02)


(hình 02)

-Nhập fake Name và code như sau: (hình 03)
Name : benina

Code : 01234567890

(hình 03)
-Click vào button : Validate My Codes. Bad boy xuất hiện: (hình 04)



(hình 04)
-Trong Bad boy ta thấy có chuổi “Name / Code mis match. Try again.”
2.Cracking:

-Như thông lệ chúng ta tìm “điểm đích” trước .Trong Olly nhấn CTRL-F2 tải lại chương
trình.

a-Searh string “Name / Code mis match. Try again.”:

-Bằng cách click phải vào vùng code của cửa sổ CPU. Xuất hiện menu pop-up. Chọn
Search for/ All referenced text strings. (Như hình 05)


(hình 05)
-Cửa sổ Text strings referenced xuất hiện (như hình 06)

(hình 06)
-Đầu tiên chúng ta đưa Thanh sáng của cửa sổ về đầu list trong cửa sổ Text strings tại địa
chỉ 00401250 (như hình 06a)


(hình 06a)


-Click phải vào cửa sổ Text strings referenced xuất hiện menu pop-up. Chọn Search for
text (như hình 07)

(hình 07)
-Đánh vào chử đầu “Name” trong chuổi “Name / Code mis match. Try again.” Và chọn
mục Case sensitive trong hộp thọai Enter text to search for. Nhấn OK: (như hình 08)

(hình 08)

-Nhấn OK, xuất hiện kết quả tìm được như hình 09:


(hình 09)
Chưa tìm thấy chuổi string “Name / Code mis match. Try again.”
-Chúng ta search tiếp bằng cách chọn “Search next” (CTRL-L)trong menu pop-up khi
click phải chuột (như hình 10)


(hình 10)
-Search next cho đến khi tìm ra chuổi “Name / Code mis match. Try again.” Tại địa
chỉ 0040AD0B (như hình 11)

(hình 11)
-Dclick vào địa chỉ 0040AD0B để đế
n vùng code trong cửa sổ CPU như hình 12


(hình 12)
Vậy đến đây chúng ta đã tìm được “điểm đích” tại địa chỉ :
0040AD0B . 68 58E94100 PUSH Fulldisk.0041E958 ; ASCII "Name /

Code mis-match. Try again."

b. Quá trình cracking.

-Từ điểm đích chúng ta bắt đầu mò lên xem sao.
-Đầu tiên tôi thấy dòng routine này có chuổi "Thank you for registering!"

0040ACFB . 68 3CE94100 PUSH Fulldisk.0041E93C ; ASCII "Thank
you for registering!"

Haha, vậy là ta đã đến được “ vùng chết” của soft rồi!!!
-Lên một chút chúng ta sẽ thấy lệnh nhảy có điều kiên JE
