Screenweaver v2.051

Screenweaver v2.051

amois

Program Url: w*w.screenweaver.com
Program Tipi: ?

Araçlar:

SoftICE

Basit (x) Orta (x) Zor ( ) Pro ( )

Başlangıç

Ekran koruyucu uretmemizi sagliyormus.

Yazı

Delphi ile yazilmis, ama tercihim yine SoftIce. Install isleminden sonra Directory'e baktigimizda "Registration.dat" dosyasini goruyoruz. Bu dosya sifreli ve icerigine gore program "Trial" veya "Full" oluyor. Dosyanin program tarafindan ne zaman okunduguna bakalim. [bpx createfilea do "d esp->4"] --> dosya adini gorene kadar [F5] -->

0187:00DD78E8 5C 53 43 52 45 45 4E 57-45 41 56 45 52 20 49 49 \SCREENWEAVER II
0187:00DD78F8 5C 72 65 67 69 73 74 72-61 74 69 6F 6E 2E 64 61 \registration.da
0187:00DD7908 74 00 44 50 0C 79 DD 00-0C 79 DD 00 CC 0F 00 00 t.DP.y...y......

017F:004092E2 CALL KERNEL32!CreateFileA
017F:004092E7 POP ESI                                 <-- Buradayiz
017F:004092E8 POP EBX
017F:004092E9 RET

Bu noktadan itibaren [F10] ile takibe baslayalim. Memory'i kontrol ederek ilerleyelim.

0187:004D65E8 54 52 49 41 4C 20 56 45-52 53 49 4F 4E 00 00 00 TRIAL VERSION...?
0187:004D65F8 FF FF FF FF 2F 00 00 00-53 6F 66 74 77 61 72 65 ..../...Software

017F:004D629E MOV EDX,[EBP-04]
017F:004D62A1 CALL 00403DA0                        <-- [d edx]

4D62A1 de [d edx] ile "TRIAL VERSION" yazisini gorecegiz. [F10] ile ilerlemeye devam.

017F:004D62E3 MOV EAX,[EBP-04]                     <-- [d eax] --> "TRIAL VERSION"
017F:004D62E6 MOV EDX,004D65E8                     <-- [d edx] --> "TRIAL VERSION"
017F:004D62EB CALL 004040DC                        <-- esit mi ?
017F:004D62F0 JNZ 004D64F2                         <-- iyi cocuk

Bu kadarina da pes dogrusu. 4D62E3 de eax'e atanan deger ile 4D65E8 bolgesindeki deger karsilastiriliyor. Esitseler --> "TRIAL VERSION" oluyorlar. Degilseler "Full" olacaklar herhalde. [ebp-04] bolgesi degisken, [04D65E8] bolgesi sabit. Buyuk ihtimalle kullanici adi [ebp-04] adresine ataniyor.

0187:00DDD14C 54 52 49 41 4C 20 56 45-52 53 49 4F 4E 00 00 00 TRIAL VERSION...?

0187:004D65E8 54 52 49 41 4C 20 56 45-52 53 49 4F 4E 00 00 00 TRIAL VERSION...?

Bu noktadan hareketle 4D62F0 adresini patch yapinca program "FULL" oluyor. Ama hala "TRIAL VERSION" adina "Registered" gorunuyor. Istedigimiz bir Name icin bunu degistirelim.

0167:004D62E3 MOV EAX,[EBP-04]                     <-- "TRIAL VERSION"
0167:004D62E6 MOV EDX,004D65E8                     <-- "TRIAL VERSION"
0167:004D62EB MOV DWORD PTR [EAX],696F6D61         <-- "amoiL VERSION"
0167:004D62F1 MOV DWORD PTR [EAX+04],62665F73      <-- "amois_fbRSION"
0167:004D62F8 MOV DWORD PTR [EAX+08],00000000      <-- "amois_fb"
0167:004D62FF JMP 004D64F2

"Registration.dat" dosyasinin sifreli olmasi yuzunden, benimle program arasindaki mucadelenin cok zor olacagini dusunmustum. Sakin sakin dusununce ve probleme bakis acisini degistirince, cok da kolay olabiliyormus.

Son Notlar

Bir programı kullanarak para kazanıyorsanız, programı satın alın.