|
Script Master v1.7 & ExeStealth v2.4 |
|
amois |
|
Program Tipi: Web utility & Protector |
|
Araçlar:
SoftICE, Icedump |
|
|
|
|
HTML optimizasyonu & Protector.
|
Yazı |
Script Master v1.7
“Yoda’s Crypter 1.2” ile korunmus. Programi, OEP’de iken dump etmeyi
deneyecegiz.
[bpx LoadLibraryA] -> [F12]
0167:0046B15B
CALL [EBP+004026F0]
0167:0046B161 MOV ESI,EAX
<- Buradayiz
Oncelikle [d 401000] ile program kodu baslangic
bolgesine bakalim.
0030:00401000
?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................
Herhangi bir data yok. Bu bolgeye data yazilmasini bekleyecegiz. [bpm
401000] ->
0030:00401000
04 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0030:00401010 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
Ilk datalar yazilmaya baslandi. Fakat bunlarin gecerli kod olma ihtimalleri cok
dusuk. Breakpoint aktif durumda iken [F5]
0030:00401000
04 10 40 00 03 07 42 6F-6F 6C 65 61 6E 01 00 00 ..@...Boolean...
0030:00401010 00 00 01 00 00 00 00 10-40 00 05 46 61 6C 73 65 ........@..False
Program decrypt olmaya basladi.
0167:00469A86
MOV AL,[EDI]
0167:00469A88 INC EDI
<- Buradayiz
0167:00469A89 SUB AL,E8
Bu noktadan itibaren Icedump’in Tracex ozelligini kullanabiliriz.
[\tracex 401000 468000] ->
0167:004523A0
PUSH EBP
<- Bu da ne ? :))
0167:004523A1 MOV EBP,ESP
0167:004523A3 ADD ESP,-0C
Dump & PEditor islemlerinden sonra, programin Delphi ile yazildigini
ogreniyoruz. Benim tercihim yine SoftIce olacak.
Menu -> About -> Register -> “1907” sallama serial
-> [bpx hmemcpy] -> birkac tane [F12]
0167:004358B7
CALL 0041C26C
0167:004358BC MOV EAX,[EBP-0114]
<- Buradayiz
0167:004358C2 MOV EDX,00435DE8
<- [d edx] :))
0167:004358C7 CALL 00403A38
[d eax] ile “1907”, [d edx]
ile de ilginc birkac sayi gorecegiz.
016F:00435DE8
33 39 37 31 39 30 38 00-FF FF FF FF 09 00 00 00 3971???.........
016F:00435DF8 5C 33 39 37 31 2E 39 30-38 00 00 00 FF FF FF FF \3971.???.......
016F:00435E08 09 00 00 00 5C 37 39 31-33 2E 35 38 37 00 00 00 ....\7913.???...
016F:00435E18 FF FF FF FF 09 00 00 00-5C 38 31 34 39 2E 37 39 ........\8149.??
016F:00435E28 31 00 00 00 FF FF FF FF-09 00 00 00 5C 39 39 31 1...........\???
016F:00435E38 33 2E 37 38 39 00 00 00-FF FF FF FF 0D 00 00 00 3.789...........
016F:00435E48 54 68 61 6E 6B 20 79 6F-75 20 21 21 21 00 00 00 Thank you !!!...
016F:00435E58 FF FF FF FF 07 00 00 00-37 39 31 33 35 38 37 00 ........7913???.
016F:00435E68 FF FF FF FF 07 00 00 00-38 31 34 39 37 39 31 00 ........8149???.
016F:00435E78 FF FF FF FF 07 00 00 00-39 39 31 33 37 38 39 00 ........9913???.
Bu sayilara bagli olarak “Registered User” sayisi; 1, 5, 30 olabiliyor. Bu kadar
kotu bir koruma olamaz herhalde.
Asil komik olan, ayni firmanin “ExeStealth”
adinda bir Protector’u satiyor olmasi. Bu programi protools’da gormustum. “Very
Strong Protection” dedigi icin dikkatimi cekti. Bakalim ne kadar “strong”
?
ExeStealth2.exe nin kendisi protection kullanmiyor ve Delphi ile yazilmis. Biz
de zavalli “notepad.exe” yi kobay olarak sececegiz. Notepad.exe protect
edildikten sonra boyutu 53248 den 80384 e degisti. Yani, 80384 – 53248 = 27136
lik bir degisim.
Bu degisim miktarinin ilk basta bir anlami yok aslinda. Ama, biraz dikkatlice
programin directory’sini incelersek, “eb4.exe” adli bir dosyayi ve boyutunun
27136 oldugunu gorecegiz. Demek ki, eb4.exe bizim notepad.exe ile birlesmis.
Notepad.exe’yi normal methodlarla unprotect etmeyi deneyecegiz. OEP degerimizin
4010CC oldugunu zaten biliyoruz. Amacimiz, protector’un bu adrese nasil
geldigini tesbit etmek ve bunu generic bir hale getirmek.
Bilinen butun yontemleri denesek de bir sonuc alamiyoruz. Cunku, program bir
turlu 4010CC’ye ugramiyor. Peki nasil oluyor da calisiyor ? Belki de
orjinal OEP’yi degistirdi ve bu nedenle bir sonuc alamiyoruz. Orjinal
notepad.exe’deki baslangic degerlerini hafizada search etmemiz de sonucsuz
kalacak. Belki de, adamlarin dedigi gibi hakikaten “strong”.
Ama, umidimizi kaybetmeden debug etmeye devam edelim.
Yukaridan asagiya dogru inerek, programin calismaya basladigi CALL’larin icine
girelim. Soyle bir yere geleceksiniz;
0167:0040AFE2
MOV [ESI+14],EAX
0167:0040AFE5 MOV EAX,[EBP-04]
0167:0040AFE8 CALL 004035C0
0167:0040AFED MOV [ESI+10],EAX
0167:0040AFF0 MOV DWORD PTR [ESI+1C],00000001
0167:0040AFF7 PUSH ESI
0167:0040AFF8 CALL SHELL32!ShellExecuteEx
0167:0040AFFD TEST EAX,EAX
40AFE5’de iken [d eax] yapinca ;
016F:00B7081C
63 3A 5C 74 65 6D 70 32-37 A6 A0 24 5C 34 34 33 c:\temp27..$\443
016F:00B7082C 34 2E 65 78 65 00 67 72-61 6D 20 46 69 6C 65 73
4.exe.gram Files
Korumanin da boylesine pes dogrusu ! 4434.exe -> resmen
notepad.exe’nin orjinal hali.
Armadillo’nun cok cok kotu bir kopyasi bence.
Biraz gulmek icin, sitedeki bolumu ekledim. (Ingilizce’si bile kotu :))
“It is very expensive do make a software. Cracker and hacker have
warez,cracks,serials in the internet. There are spezial software do decompile
your software do the orginal source back. Everyone can decompile your software.
Your problem is not !!!enog profit or lose money for your business.
How can protect me?
A program, it protect software is EXE STEALTH. It is a EXE-Protector for protect
your EXE files. Exe Stealth is written in delphi, pascal and assembler.
How can use it?
It is very easy to use. Compile your software and open exe stealth. Then select
your exe file and protect it. Only 0.5 - 2sec.
EXE Stealth options:
+ You need only 400kb on your harddisk.
+ The protected file is only 30kb bigger as the orginal (you can compress it).
+ Cryptor for better protect.
+ Easy to use and install it.
+ Anti decompiling
+ Anti debuging
+ Anti Disassembers
+ Anti crack with CRC protect and anti virus or trojaner protect.
+ Anti Serial-Sniffing
+ 1 year support and updates “
Buyuk ihtimalle, protools'da dalga gecmek icin "very strong protection" ibaresini koydular. Baska izahi yok cunku. Yalniz, bir noktayi atlamamak
gerekiyor. Notepad.exe'yi protect ederken ExeStealth2.exe'nin DEMO versiyonunu
kullandik. FULL olunca farkli olabilir. Bu protection'i kullanan program
bulamadigim icin deneme sansim olmadi.
|
|
Bir programı kullanarak para kazanıyorsanız, programı satın alın.