Search and Recover 2

Silinen bilgileri kurtaran güzel bir proğram.Trial versiyonu maximum 3 file kurtarıyor. Peid ile bakalım.ASPack 2.12b ile paketlenmiş.Yine peid v0,93 ile unpack yapalım.

OllyDbg v1.10 ile unpack yapılan proğramı yükleyelim.F9 ile proğramı çalıştırın.kernel32 modülünde proğram durdu.
Proğram çalışana kadar Shift+F9'a basın.Enter Serial Number bölümünde (Buraya gelirken ollydbg'a gecerse 
yine Shift+F9'a basalım) User ID:kresuz   Serial Number:12345-12345-1234567890 yazıyoruz.Ok tuşuna basmadan önce ollydbg'a 
dönün.Alt+E ile Executable modules listesinde User32.dll üzerine gelip ctrl+N yapın.Buradaki listeden GetWindowTextA'
F2 ile breakpoint koyup tekrar proğrama dönüp ok.tusuna basın.Breakpoint çalıştı.Şimdi Ollydbg'deyiz.F2 ile breakpointi
kaldırın.Proğram koduna gelinceye kadar F8 ile ilerleyin.

* Reference To: USER32.GetWindowTextA, Ord:0178h
                                  |
:005129B7 E8A45EEFFF              Call 00408860
:005129BC 8D45F4                  lea eax, dword ptr [ebp-0C]       ==>Buradayız
:005129BF 8BD6                    mov edx, esi
:005129C1 E89E2AEFFF              call 00405464
:005129C6 8B45F4                  mov eax, dword ptr [ebp-0C]
:005129C9 8D55F8                  lea edx, dword ptr [ebp-08]
:005129DB E83C75EFFF              call 00409F1C                     ==>Girilen User ID küçük harfli ise büyük harfliye dönüştürülüyor.
:005129E0 8B45F0                  mov eax, dword ptr [ebp-10]          (Mr_Stop'un yazılarından.F7 ile girip inceleyin)


* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0067BB3F(C)
|
:0067BB8C E8836CE9FF              call 00512814                     ==>Hafızada bulunabilecek,crack için kullanılan 
:0067BB91 84C0                    test al, al                         (Keygen,Tmg,Serial.com,Keygeneratör gibi) kelimeleri kontrol ediyor.
:0067BB93 7409                    je 0067BB9E
:0067BB95 B001                    mov al, 01
:0067BB97 E83CD2FFFF              call 00678DD8
:0067BB9C EB42                    jmp 0067BBE0


:0067BBB7 8B45E0                  mov eax, dword ptr [ebp-20]       ==>Girilen ismi eax'a al
:0067BBBA 8D55E4                  lea edx, dword ptr [ebp-1C]
:0067BBBD E80E6AE9FF              call 005125D0                     ==>Seriali oluştur.(keygen)
:0067BBC2 8B45E4                  mov eax, dword ptr [ebp-1C]       ==>eax serial"55609-R2760-4717865606"
:0067BBC5 8B55FC                  mov edx, dword ptr [ebp-04]       ==>edx sallama serial

* Reference to: system.@LStrCmp;
|
:0067BBC8 E8C79AD8FF              call 00405694                     ==>karşılaştır
:0067BBCD 750C                    jne 0067BBDB                      ==>kötü çocuk
:0067BBCF 8B55FC                  mov edx, dword ptr [ebp-04]
:0067BBD2 8BC6                    mov eax, esi

:0067BBBD E80E6AE9FF              call 005125D0                    ==>F7 ile serialin oluştuğu call'i inceleyelim.

:00512662 8B45FC                  mov eax, dword ptr [ebp-04]      ==>İsmi eax'a al
:00512665 0FB64418FF              movzx eax, byte ptr [eax+ebx-01] ==>İsimden bir karakter al
:0051266A 8D143B                  lea edx, dword ptr [ebx+edi]
:0051266D 2BC2                    sub eax, edx
:0051266F 8D55E4                  lea edx, dword ptr [ebp-1C]
:00512672 E88D80EFFF              call 0040A704                    ==>Seriali oluştur.
:00512677 8B55E4                  mov edx, dword ptr [ebp-1C]
:0051267A 8D45F4                  lea eax, dword ptr [ebp-0C]
:0051267D E8CE2EEFFF              call 00405550
:00512682 EB20                    jmp 005126A4

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00512700(C)
|
:005126E2 8D45D8                  lea eax, dword ptr [ebp-28]      ==>birinci bölüm için Oluşan serialin ilk 5 karakterini al
:005126E5 8B55F4                  mov edx, dword ptr [ebp-0C]         örnek:55609
:005126E8 8A541AFF                mov dl, byte ptr [edx+ebx-01]
:005126EC E8632DEFFF              call 00405454
:005126F1 8B55D8                  mov edx, dword ptr [ebp-28]
:005126F4 8D45F0                  lea eax, dword ptr [ebp-10]
:005126F7 E8542EEFFF              call 00405550
:005126FC 43                      inc ebx
:005126FD 83FB06                  cmp ebx, 00000006
:00512700 75E0                    jne 005126E2
:00512702 8D45F0                  lea eax, dword ptr [ebp-10]
:00512705 BA00285100              mov edx, 00512800
:0051270A E8412EEFFF              call 00405550
:0051270F 8D45F0                  lea eax, dword ptr [ebp-10]
:00512712 BA0C285100              mov edx, 0051280C                ==>serialin 2.bölümü için başa R2 ekle
:00512717 E8342EEFFF              call 00405550
:0051271C BB03000000              mov ebx, 00000003
:0051275D 8B55D4                  mov edx, dword ptr [ebp-2C]
:00512760 8D45F0                  lea eax, dword ptr [ebp-10]
:00512763 E8E82DEFFF              call 00405550                    ==>R2'ye serialin ikinci bölümünü ekle.
:00512768 4B                      dec ebx                             örnek R2760
:00512769 85DB                    test ebx, ebx
:0051276B 75B4                    jne 00512721
:00512775 E8D62DEFFF              call 00405550                    ==>Serialin bölümlerinin arasına "-" koy.
                                                                      55609-R2760

:005127A5 8B55CC                  mov edx, dword ptr [ebp-34]
:005127A8 8D45F0                  lea eax, dword ptr [ebp-10]
:005127AB E8A02DEFFF              call 00405550                    ==>Serialin 3.bölümü.  4717865606
:005127B0 4B                      dec ebx                             
:005127B1 46                      inc esi
:005127B2 75E2                    jne 00512796
 
  

                                                    



Son Notlar 

Bu programı kullanarak para kazanıyorsanız lütfen satın alın. Bu yazının yazılma amacı program yazanlara 
programlarını daha iyi korumaları konusunda yol göstermektir. Lisanssız kullanımda Dokümanı hazırlayan sorumlu 
değildir. Diyeceğim şudurki: Emek verilmiş bir şeyi çalma, onu satın al.

kresuz
E-Mail: kresuz@hotmail.com