Cracker Handbook 1.0 part 161 docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (81.75 KB, 6 trang )
Posted by: Zombie
Dec 19 2003, 01:33 PM
Production: Download Boost 2002 Standard
Protector: Name/Serials
Packed: ASPack 2.11c -> Alexey Solodovnikov
Comment: Desktop Cycler is a utility to help you managing and changing
your desktop items easily. It can change and cycle wallpapers, screen
savers, desktop themes, start menu icons, IE's toolbar wallpapers
(hotbars), and also all of startup/shutdown logos. It also contains list of
hundreds resource sites that will help you easily getting all great and free
desktop goodies.
Tốt hơn là đừng dùng Soft này GUI chuối lém
Sau khi unpacked Load lên bằng Olly, ta tìm đến Successful String (do ở
đây khi enter bad Serials không hiện BadBoy mà clear value)
004924BC |> /8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
004924BF |. |E8 BCFEFFFF CALL dumped_.00492380
004924C4 |. |A1 982D4A00 MOV EAX,DWORD PTR DS:[4A2D98]
004924C9 |. |F7D8 NEG EAX
004924CB |. |1BC0 SBB EAX,EAX
004924CD |. |F7D8 NEG EAX
004924CF |. |3C 01 CMP AL,1
004924D1 |. |0F85 35020000 JNZ dumped_.0049270C
004924D7 |. |B8 8C274900 MOV EAX,dumped_.0049278C ; ASCII
"Desktop Cycler 2001 has been registered successfully."
004924DC |. |E8 6FCEFBFF CALL dumped_.0044F350
Ở đoạn code này bạn cũng lưu ý JNZ sẽ nhảy out ra khỏi GoodBoy nếu
AL <> 1 và gần đấy có CALL > Có khả năng CALL gọi hàm check
Serials.
Set bp ở 004924BF |. |E8 BCFEFFFF CALL dumped_.00492380
Run…Paused…F7 để step into xem sao dzui lém ná
….
004923EC |. 8B55 F8 |MOV EDX,DWORD PTR SS:[EBP-8]
004923EF |. A1 A02D4A00 |MOV EAX,DWORD PTR DS:[4A2DA0]
004923F4 |. E8 F719F7FF |CALL dumped_.00403DF0
004923F9 75 0A JNZ SHORT dumped_.00492405
004923FB |. C705 982D4A00>|MOV DWORD PTR DS:[4A2D98],-1
Khi trace đến 004923EC |. 8B55 F8 |MOV EDX,DWORD PTR SS:[EBP-
8], ở cửa sổ nhỏ bên dưới ta có….Correct Serials
RightClick lên dòng có Serials ở cửa sổ này, chọn Follow Value in Dump
ta có có …Một đống Serials…
> Có thể thấy thêm rằng 2 lệnh MOV truyền đối số (Fake/Correct
Serials) cho CALL phía dưới. Hàm nãy sẽ xử lý và sau đó CF sẽ = 1nếu
Correct > JNZ không nhảy > Gán vào địa chỉ 4A2498 giá trị -1 và
ngược lại
Rồi…Done tiếp…Thằng ni cũn check serials dựa trên list
Cho vài cái demo he
5P5B3-Z3A2-CM22-6Y7Z
CR8L7-C7CC-KZ58-8LCB
3T5G2-D4A3-FZ22-7KAS
7TAH8-K523-UJ77-4U2H
4E4XA-C997-HD2A-2S5X
4G3Q5-X4A5-HC43-6K8S
6G7R6-R536-DB26-8V6B
7ECE9-D3A2-WKA7-3KAP
2P7B3-N474-XV74-4L5M
3U7K7-K976-HW6C-3R4Q
6Y3ZA-T7A8-JB38-3H6F
7G8V9-B245-JS73-5V2X
5X7RC-MA5A-JB26-2V4T
3VAN5-W584-AN83-3WAK
CK9C8-AA86-MU28-AJ6Z
7R7JC-S7C3-PP44-8P5N
6P4X9-E455-NQ56-3Y6H
3T4TC-R2A3-FX65-8X5H
Tuy nhiên lưu ý thêm điểm này…Sau khi registered, vào register xóa tên
đăng kí đi thì vẫn còn registered to “” ….Vậy nghĩa là nó lưu thông tin
registered chỗ khác, thông tin User chỗ khác …
Dùng RegMon để kiểm tra các event truy xuất Reg ta tìm ra…nó lưu ở
HKEY_CLASSES_ROOT\htmlfile\TopShell
ValueName: Ijn
Type: REG_BINARY
…Đểu quá
Posted by: Zombie
Dec 19 2003, 01:35 PM
Okai Còn
KeyPack
MemMonster 4.35
WinBoost 4.58 (hình như đã có tut)
WinBrush
còn mấy cái ni là dune
Zombie cracked rồi But chưa write tut Tối nay write luôn rồi post
Posted by: Zombie
Dec 19 2003, 03:33 PM
tiếp theo là thằng KeyPack 2001
Cũng tương tự thui Tìm đến Correct String rùi Trace vào CALL đến
00490B00 |. 8B55 F8 |MOV EDX,DWORD PTR SS:[EBP-8]
> EDX=Correct Serials
00490B03 |. A1 C8AD4900 |MOV EAX,DWORD PTR DS:[49ADC8]
00490B08 |. E8 1333F7FF |CALL dumped_.00403E20
00490B0D |. 75 0A |JNZ SHORT dumped_.00490B19
00490B0F |. C705 C0AD4900>|MOV DWORD PTR DS:[49ADC0],-1
Vài Serials điển hình
7N5J8-U634-CX73-2UCG
4S2L4-M252-WU6C-9JAH
3W2Q5-P478-LP47-7X7Y
2C6C3-E842-JE93-5E7V
Posted by: Zombie
Dec 19 2003, 03:52 PM
Production: WinBoost 4.58
Protector: Name/Serials
Packed: ASPack 2.12 -> Alexey Solodovnikov
Comment: WinBoost is a special utility to configure and personalize
Windows Me/9x/NT/2000/XP looks and feels. Using easy to use graphical
user interface you can configure hundreds of Windows
Me/9x/NT/2000/XP hidden settings, from the Start Menu, Desktop,
Accessories, Windows Explorer, to Internet Explorer. This is something
that you cannot do on the regular operations. In addition, you will get
hundreds of selected Windows Me/9x/NT/2000/XP Tips & Tricks to boost
your Windows performance.
Zombie không có ý post lại bài tut ngừ khác…Mà mún cho cái topic này
trọn vẹn đúng nghĩa là toàn bộ Soft của Corp này.
Okai Thằng ni sau khi unapack, làm tương tự Internet Tweak…
Bạn tìm đến đây
0047B6A0 |. 8B55 DC |MOV EDX,DWORD PTR SS:[EBP-24]
> Follow value in Dump ở đây để lấy hết list Serials
0047B6A3 |. 8B45 F4 |MOV EAX,DWORD PTR SS:[EBP-C]
0047B6A6 |. E8 2D94F8FF |CALL dumped_.00404AD8
0047B6AB |. 75 07 |JNZ SHORT dumped_.0047B6B4
0047B6AD |. C745 E4 FFFFF>|MOV DWORD PTR SS:[EBP-1C],-1
0047B6B4 |> 43 |INC EBX
0047B6B5 |. 66:81FB F401 |CMP BX,1F4
0047B6BA |.^ 75 CD \JNZ SHORT dumped_.0047B689
0047B6BC |. 837D E4 01 CMP DWORD PTR SS:[EBP-1C],1
0047B6C0 |. 1BC0 SBB EAX,EAX
0047B6C2 |. 40 INC EAX
0047B6C3 |. 3C 01 CMP AL,1
0047B6C5 |. 0F85 E3000000 JNZ dumped_.0047B7AE
0047B6CB |. A1 18A34F00 MOV EAX,DWORD PTR DS:[4FA318]
0047B6D0 |. C700 FFFFFFFF MOV DWORD PTR DS:[EAX],-1
0047B6D6 |. B8 18B94700 MOV EAX,dumped_.0047B918 ; ASCII
"WinBoost has been registered successfully.
Please restart your WinBoost."
Một vài số đại diện
dn3c8y-3q5cm6b8-3u3d62
be6c8y-4f3xu5c2-8j3j86
cj7f7w-8f5dh6x3-6p3i34
yb2i3t-8y8mn4c3-7q6b36
qv3v4d-5g2pb2x8-6c2r22
sk6s3m-8m6uw6r2-3b4s56
bg3b4a-5p4xy7y4-8r2p76
ns5u7v-4x3jf8s3-5y6q67
tf8d6b-3n2af5s3-6g3x75
wh6t5u-6b3gw7t6-4v3b43
sv5y6x-8b3cq6s2-3d4x62
rc6t8x-8y7yc7s3-5h7m76
qx8e6r-3y8bw7q6-6h2a64
Còn lại 2 thằng cũng tương tự hix Cracked lười tut wá Bác nào cần thì
lên tiếng ha
