pcDedektif 2.2 |
|
kresuz
|
Program Url:www.testmaker.net
Program Tipi:Pc takip ediyor |
Araçlar:
OllyDbg v1.10,Peid |
|
Basit (X) Orta () Zor ( )
Pro ( ) |
Programlar demo limitle korunuyor.Kayıt sayıları sınırlı.Kendi çalışmasını gizliyor.Görev yöneticisinde gözükmüyor.Ama peid le Task Viewer de Programın calışması ve olduğu direktörü görebiliyoruz.
Ayrıca program hafızada iken ollydbg de yüklenmiyor.Ama burada da programcı hatalar yapmış.
Önce peidle bakıp programın yerini ögrenelim.
Evet program C:\WINDOWS\pcdf direktöründe.Programın calısması icin CTRL+SHIFT+ALT +K Tuşlarına aynı anda basın.Demo sürüm uyarısı ekrana geldi.
Kontrol paneline basıp programa girin.Programcının yaptıgı hata burada baslıyor.Programı kaldır tusuna basıp programı kaldırın.
Program kaldırılınca direk programın oldugu direktöre dönüyoruz.Program bize bu direktörü silmemizi söylüyor.Uyanık ya.
Bize hem programın yerini söylüyor,hemde programı ollydbg de yuklenecek hale getirmiş oluyor.Programı hafızadan silmiş oluyor.
Program hafızadan klasik yöntemlerle (kill task) silinmiyordu.
Programı ollydbg de yükleyin.F9 ile Çalıştırın. CTRL+SHIFT+ALT +K Tuşlarına aynı anda basın.Demo sürüm uyarısı yine ekrana geldi.
Kayıt ol tuşuna basın.Seri no :167772166 Kayıt no:11111-22222-33333 yazın tamam tusuna basmadan ollydbg ye dönün breakpoint koyacagız.
Ollydbgde ALT+E yapın.(Program Visual Basic le yazıldıgından) MSVBVM60.dll dosyası üzerinde CTRL+N yapın ve __vbaVarCmpEq e F2 ile
breakpoint koyun.(Karsılastırmaları kontrol ediyor.)
Şimdi programa dönüp tamam tuşuna basın.
breakpoint MSVBVM60.__vbaVarCmpEq çalışdı.
734FBCF9 M> FF7424 0C PUSH DWORD PTR SS:[ESP+C] ==>Burada durdu.Bu sefer Breakpointi kaldırmayın.Dursun.F8 ile devam
734FBCFD FF7424 0C PUSH DWORD PTR SS:[ESP+C]
734FBD01 6A 00 PUSH 0
734FBD03 E8 0F53FFFF CALL MSVBVM60.734F1017 ==>F7 ile call içine girin.
734FBD08 8BC8 MOV ECX,EAX
734FBD0A 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
734FBD0E 83F9 02 CMP ECX,2
734FBD11 75 08 JNZ SHORT MSVBVM60.734FBD1B
734FBD13 66:C700 0100 MOV WORD PTR DS:[EAX],1
734FBD18 C2 0C00 RETN 0C
734FBD03 E8 0F53FFFF CALL MSVBVM60.734F1017 ==>F7 yapınca
734F1017 55 PUSH EBP ==>F8 ile devam
734F1018 8BEC MOV EBP,ESP
734F101A 83EC 38 SUB ESP,38
734F101D 8B55 10 MOV EDX,DWORD PTR SS:[EBP+10] ; pcSistem.00407565
734F1020 8B4D 0C MOV ECX,DWORD PTR SS:[EBP+C]
734F1023 53 PUSH EBX
734F1024 56 PUSH ESI
734F1025 66:8B31 MOV SI,WORD PTR DS:[ECX]
734F1028 57 PUSH EDI
734F1029 66:8B3A MOV DI,WORD PTR DS:[EDX]
734F102C B8 FF7F0000 MOV EAX,7FFF
734F1031 23F8 AND EDI,EAX
734F1033 23F0 AND ESI,EAX
734F1035 66:83FF 09 CMP DI,9
734F1039 0F84 D3770000 JE MSVBVM60.734F8812
734F103F 66:83FE 09 CMP SI,9
734F1043 0F84 C9770000 JE MSVBVM60.734F8812
734F1049 0FB745 08 MOVZX EAX,WORD PTR SS:[EBP+8]
734F104D 68 01000300 PUSH 30001
734F1052 50 PUSH EAX
734F1053 51 PUSH ECX
734F1054 52 PUSH EDX
734F1055 FF15 700E5073 CALL DWORD PTR DS:[73500E70] ; OLEAUT32.VarCmp ==> karsılastırma var F7 yapın
734F105B 8945 08 MOV DWORD PTR SS:[EBP+8],EAX
734F105E 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8]
734F1061 85F6 TEST ESI,ESI
734F1063 0F8C E9780000 JL MSVBVM60.734F8952
734F1069 8D46 FF LEA EAX,DWORD PTR DS:[ESI-1]
734F106C 5F POP EDI ; MSVBVM60.734FBD08
734F106D 5E POP ESI ; MSVBVM60.734FBD08
734F106E 5B POP EBX ; MSVBVM60.734FBD08
734F106F C9 LEAVE
734F1070 C2 0C00 RETN 0C
734F1055 FF15 700E5073 CALL DWORD PTR DS:[73500E70] ; OLEAUT32.VarCmp ==> karsılastırma vardı F7 yapınca
7711FA4D O> 8BFF MOV EDI,EDI ==>F8 ile devam
7711FA4F 55 PUSH EBP
7711FA50 8BEC MOV EBP,ESP
7711FA52 83EC 38 SUB ESP,38
7711FA55 53 PUSH EBX
7711FA56 8B5D 0C MOV EBX,DWORD PTR SS:[EBP+C]
7711FA59 56 PUSH ESI
7711FA5A 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8]
7711FA5D 57 PUSH EDI
7711FA5E 0FB70B MOVZX ECX,WORD PTR DS:[EBX]
7711FA61 0FB706 MOVZX EAX,WORD PTR DS:[ESI]
7711FA64 BA FF7FFFFF MOV EDX,FFFF7FFF
7711FA69 23CA AND ECX,EDX
7711FA6B 23C2 AND EAX,EDX
7711FA6D 83F9 11 CMP ECX,11
7711FA70 ^ 0F87 DDF5FFFF JA OLEAUT32.7711F053
7711FA76 8D1440 LEA EDX,DWORD PTR DS:[EAX+EAX*2]
7711FA79 8D14D1 LEA EDX,DWORD PTR DS:[ECX+EDX*8]
7711FA7C 81FA 26020000 CMP EDX,226
7711FA82 ^ 0F87 E6FBFFFF JA OLEAUT32.7711F66E
7711FA88 0FB692 21F81177 MOVZX EDX,BYTE PTR DS:[EDX+7711F821>
7711FA8F - FF2495 A1F61177 JMP DWORD PTR DS:[EDX*4+7711F6A1]
771203E7 FF75 14 PUSH DWORD PTR SS:[EBP+14]
771203EA FF75 10 PUSH DWORD PTR SS:[EBP+10]
771203ED FF73 08 PUSH DWORD PTR DS:[EBX+8] ==>İlk yer icin gercek serial [EBX+8] de
771203F0 FF76 08 PUSH DWORD PTR DS:[ESI+8] ==>İlk yer icin yazdıgımız sallama serial [ESI+8] de
771203F3 E8 30FFFFFF CALL OLEAUT32.VarBstrCmp ==>Karsılastır.
771203F8 ^ EB 99 JMP SHORT OLEAUT32.77120393
771203FA 90 NOP
İlk bölüm icin olan seriali not alın.F9 a basın.Tekrar breakpoint calıstı İkinci bölüm icin serial yerine döndük.
734FBCF9 M> FF7424 0C PUSH DWORD PTR SS:[ESP+C]
734FBCFD FF7424 0C PUSH DWORD PTR SS:[ESP+C]
734FBD01 6A 00 PUSH 0
734FBD03 E8 0F53FFFF CALL MSVBVM60.734F1017 ==>F7 ile call içine girin.Yukarıdaki yaptıklarımızın aynısını yapın.
734FBD08 8BC8 MOV ECX,EAX ;Nedeni aynı döngülerle ikinci ve ücüncü serialler hesaplanıyor.
734FBD0A 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
İkinci bölüm icin olan seriali not aldıkdan sonra Üçünçü bölüm için yine F9 a basın ve yukarıdaki işlerin aynısını yapın.
Programı yeniden kurun.Not aldıgınız serialleri girin.Hepsi bu kadar.
Yukarıda gördügünüz gibi programcı cok acemice davranmıs.Bize programın oldugu direktörü kendiniz silin diyor,Bütün korumalarını
kendi eli ile kaldırıyor.Sonrada kızıyorlar.Şimdiye kadar gördüğüm en kek vaziyet.İşin espirisi ama böyle yapmamalılar.
Bu tutoriali yazmaktaki amacım programcılara ,programlarını daha iyi korumaları için yol göstermektir..
Son olarak şunu söyleyeyim:Bir programı kullanarak para kazanıyorsanız,o programı mutlaka satın alın.Emeğe değer verin...
Lisansız kullanımdan tutoriali hazırlayanlar sorumlu değildir.
Bu yazıda yazım yanlışları , bilgi hatası
olabilir.Eğer bir yanlış bulursanız bana mail atın düzeltmeye çalışırım.
E-Mail: kresuz
http://kresuz.zor.org
http://kresuz.da.ru