İlk önce Aktivasyon butonunu aktif hale getirip programın işleyişini görelim. Olly'i açıp programı yükleyin.
Ayrıca P32 Dasm programını açıp programı yükleyin. Aşağıdaki resimdeki gibi adresleri bulup Ollyde BP koyalım.
00683550 adresi aktivasyon kodu bölümüne yazılan karakterleri kontrol ediyor. Diğer adresimiz ise Buton aktif hale
geldikten sonra ki işlemi kontrol ediyor. Ollye geri dönüp ctrl + g basın çıkan kutucuğa 00683550 yazıp ok basın.
Sizi ilgili adrese göndercek F2 ile BP koyun. Şimdi F9 la programı çalıştırın. Lisans yerine gelip Aktivasyon kodunu yazın.
1 karakter yazdıktan sonra Olly geri düşeceksiniz. Aşağıdaki adreste olmanız gerekmektedir.
00683550 > \55 PUSH EBP ------------------------> Burdayız. F8 le devam edelim.
00683551 . 8BEC MOV EBP,ESP
00683553 . 83EC 0C SUB ESP,0C
00683556 . 68 C64D4000 PUSH <JMP.&MSVBVM60.__vbaExceptHandler> ; SE handler installation
0068355B . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00683561 . 50 PUSH EAX
00683562 . 64:8925 000000>MOV DWORD PTR FS:[0],ESP
00683569 . 83EC 2C SUB ESP,2C
0068356C . 53 PUSH EBX
0068356D . 56 PUSH ESI
0068356E . 57 PUSH EDI ; USER32.PeekMessageA
0068356F . 8965 F4 MOV DWORD PTR SS:[EBP-C],ESP
00683572 . C745 F8 A81E40>MOV DWORD PTR SS:[EBP-8],PC.00401EA8
00683579 . 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8]
0068357C . 8BC6 MOV EAX,ESI
0068357E . 83E0 01 AND EAX,1
00683581 . 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
00683584 . 83E6 FE AND ESI,FFFFFFFE
00683587 . 56 PUSH ESI
00683588 . 8975 08 MOV DWORD PTR SS:[EBP+8],ESI
0068358B . 8B0E MOV ECX,DWORD PTR DS:[ESI] ; MSVBVM60.7340A830
0068358D . FF51 04 CALL DWORD PTR DS:[ECX+4]
00683590 . 8B55 0C MOV EDX,DWORD PTR SS:[EBP+C]
00683593 . 33FF XOR EDI,EDI ; USER32.PeekMessageA
00683595 . 897D E8 MOV DWORD PTR SS:[EBP-18],EDI ; USER32.PeekMessageA
00683598 . 897D D8 MOV DWORD PTR SS:[EBP-28],EDI ; USER32.PeekMessageA
0068359B . 66:833A 79 CMP WORD PTR DS:[EDX],79
0068359F 75 12 JNZ SHORT PC.006835B3---------------------------> Nopluyoruz.
006835A1 . 66:8B46 44 MOV AX,WORD PTR DS:[ESI+44]
006835A5 . 66:05 0100 ADD AX,1
006835A9 . 0F80 86000000 JO PC.00683635
006835AF . 66:8946 44 MOV WORD PTR DS:[ESI+44],AX
006835B3 > 66:837E 44 02 CMP WORD PTR DS:[ESI+44],2
006835B8 7C 47 JL SHORT PC.00683601------------------------------> Nopluyoruz. Sonra F9 basın..
006835BA . 83EC 10 SUB ESP,10
006835BD . B9 0B000000 MOV ECX,0B
006835C2 . 8BD4 MOV EDX,ESP
006835C4 . 83C8 FF OR EAX,FFFFFFFF
006835C7 . 68 0D000180 PUSH 8001000D
006835CC . 56 PUSH ESI
F9 bastıktan sonra Aktivasyon butonunun aktif olduğunu görürsünüz. Şimdi bu butonun yaptığı işi görmek için.
Ollye geri dönüp gene ctrl+g basın çıkan pencerede 00682730 adresini yazıp ok basın.
Doğru yaptı iseniz aşağıdaki gibi bi yerde olmanız lazım.
00682730 > \55 PUSH EBP-----------------------------------> Burdayız. F8 le devam edelim.
00682731 . 8BEC MOV EBP,ESP
00682733 . 83EC 0C SUB ESP,0C
00682736 . 68 C64D4000 PUSH <JMP.&MSVBVM60.__vbaExceptHandler> ; SE handler installation
0068273B . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00682741 . 50 PUSH EAX
00682742 . 64:8925 000000>MOV DWORD PTR FS:[0],ESP
00682749 . 81EC B8000000 SUB ESP,0B8
0068274F . 53 PUSH EBX
00682750 . 56 PUSH ESI
00682751 . 57 PUSH EDI ; USER32.PeekMessageA
00682752 . 8965 F4 MOV DWORD PTR SS:[EBP-C],ESP
....................
00682A1A /0F84 15020000 JE PC.00682C35-----> Buraya gelene kadar F8 basın Burayı nopluyoruz. F8 le devam ediyoruz.
00682A91 /0F84 9E010000 JE PC.00682C35------>Buraya gelene kadar F8 basın Burayı nopluyoruz. F8 le devam ediyoruz.
00682B08 /0F84 27010000 JE PC.00682C35------>Buraya gelene kadar F8 basın Burayı nopluyoruz. F8 le devam ediyoruz.
00682B81 /0F84 AE000000 JE PC.00682C35----->Buraya gelene kadar F8 basın Burayı nopluyoruz. F8 le devam ediyoruz.
00682C14 /74 1F JE SHORT PC.00682C35----->Buraya gelene kadar F8 basın Burayı nopluyoruz. F8 le devam ediyoruz.
00682C19 . FF92 F8060000 CALL DWORD PTR DS:[EDX+6F8] ; PC.00423F26 F7 ile Callın içine girelim.
JMP den sonra aşağıdaki yerdeyiz.
00683870 > \55 PUSH EBP------> Burdayız. F8 le devam ediyoruz.
00683871 . 8BEC MOV EBP,ESP
00683873 . 83EC 18 SUB ESP,18
00683876 . 68 C64D4000 PUSH <JMP.&MSVBVM60.__vbaExceptHandler> ; SE handler installation
0068387B . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00683881 . 50 PUSH EAX
00683882 . 64:8925 000000>MOV DWORD PTR FS:[0],ESP
.......
00683A6E . C785 44FFFFFF >MOV DWORD PTR SS:[EBP-BC],PC.0043DC20 ; UNICODE "regksd1.dll"
Serial bu dosyaya kayıt oluyor. Normalde biraz daha incelersek gerçek seriali buluyoruz. Ama biz API yardımı ile bulalım.
F9la devam ediyoruz. Bizi tebrik ediyor program.
Ollyde yapılan değişiklikleri kayıt edip yeni dosyayı PC1.exe diye kayıt edelim.
(Umarım yapılana değişiklikleri nasıl kalıcı yapacağımızı biliyoruzdur). Bilmeyen arkadaşlar
Kresuz ustanın daha önceki dökümanlarını bi okusunlar. Şimdi PC1.exe yi Ollyde yükleyin. çalıştırmayın.
Biz gerçek seriali 2 yol ile bulacaz bunlarıda API yardımı ile yapacaz. Şimdi Alt+E basın çıkan pencerede
C:\WINDOWS\system32\MSVBVM60.DLLdosyasının üzerine gelip ctrl+N basın.
View Names Modülünde rtcR8ValFromBstr APISINI bulun. F2 ile BP koyun. F9 la programı çalıştırın.
Olly ilk yerde duracak ilk durduğu yer bizim HDD nomuz. Registers (FPU) Penceresinde duruyor
Sonra gene F9 basın.
Sahte Serialimiz :) Gene F9 basın gene HDD nomuz çıktı Bir daha F9 yapalım
Gerçek Serialimiz ondalık kısmıda gözüküyor 2 defa daha F9 basalım .
Gerçek serialimiz net şekilde belli not alalım. Sonra BP koyduğumuz API yı F2 ile kaldıralım. F9 basalım .
Lisans yerine gelip gene sallama seriali yazalım. Buton aktif olcak butona basmadan olly geri dönüp
Alt+E basın çıkan pencerede C:\WINDOWS\system32\MSVBVM60.DLLdosyasının üzerine gelip ctrl+N basın.
View Names Modülünde __vbaStrMove APISINI bulun. F2 ile BP koyun sonra program geri dönüp butona basın.
Olly geri düşeceksiniz. ilk durduğunuz yer sallama serial olan yer F9 bir daha basın gerçek seriali görceksiniz.
Not aldığınız serialle aynı mı ? Muhtemelen aynıdır :)
Şimdi Ollyden çıkıp PC1.exe yi çalıştırın . Lisans kısmına gelip gerçek serial yazın. Size tebrik mesajı gelecektir.
Program otomatik kapanacaktır.
Sonra ister PC1.exe yi ister PC.exe yi çalıştırın lisans kısmına gelip mutlu sona ulaşın :)
İnşallah faydalı döküman olmuştur API leri nasıl kullacağımız yönünden
Önemli not şayet bu işlemlerden sonra gene program Full olmuyorsa
C:\WINDOWS\system32\regksd1.dll dosyasını bulup not defteri ile açın. Göreceğiniz gibi
biri HDD nonuz diğeri Gerçek serialiniz vardır.
Gerçek serial kısmını silip aynı şekilde not aldığınızla değiştirin sonra kayıt edin. Sorun bölede çözülüyor. )
|
|
Bu yazıda yazım yanlışları , bilgi hatası olabilir.Eğer bir yanlış bulursanız bana mail atın düzeltmeye çalışırım.