|
Tutorial Cracking : BetterJPEG v2.0.0.9
|
Target : BetterJPEG v2.0.0.9
Tool : OllyDebug DeFixeD
Exe Info PE
Import REConstructor.v1.7c
BetterJPEG is a JPEG editor specifically designed to avoid recompression loss when editing and resaving JPEG images. BetterJPEG takes advantage of the fact that JPEG images consist of a number of small independent blocks and does not recompress blocks that don't have to be changed.
Buka BetterJPEGnya, kita lihat ada apa saja didalamnya...!
Ada tulisan unregistered copy - 30 days.
Di menu help ada registration box.
"Entered key is not valid" bila salah.
Scan BetterJPEG.exe dengan Exe Info PE untuk melihat programnya dipack dengan apa??
Diproteksi dengan "ASprotect ver 2.1 / 2.^".
Buka file BetterJPEG.exe dengan OllyDebug DeFixeD.
Di "CPU - main thread, module BetterJP", klik "plugins" pilih "ODbgScript" trus "Run Script..."
Pilih script dari folder scripts OllyDebug DeFixeD "Aspr2.XX Unpacker 1.0SE.osc"
OllyDebug DeFixeD akan berjalan otomatis.
Klik ok untuk pesan yang muncul.
Hasilnya ada di "c:\Program Files\BetterJPEG 2" dengan nama "de_BetterJPEG.exe"
Di "CPU - main thread, module BetterJP", klik "plugins" pilih "ODbgScript" trus "Log Window..."
AB5626 AsprAPIloc: 00AC269C
AB5626 Aspr1stthunk: 00446000
ABF965 Total API in this Asprotect = 0000000D
ABF965 CheckKeyAndDecrypt 00445B10
ABF965 GetTrialDays 00445B20
A80156 CRC check at 0040D66C
43EB1F Address of IAT = 00446000
43EB1F RVA of IAT = 00046000
43EB1F Size of IAT = 00000AB0
43EB1F Address of OEP = 0043EB1F
43EB1F RVA of OEP = 0003EB1F <=== catat ini
Jangan keluar dari OllyDebug DeFixeD dulu.
Buka Import REConstructor.v1.7c.
Dibagian "Attack to an Active Process" pilih "c:\program files\betterjpeg 2\betterjpeg.exe (00000FE8)"
Dibagian "IAT Infos Needed" masukkan "0003EB1F" di "OEP"
Klik "AutoSearch" trus "Get Imports"
Dibagian "Imported Functions Found" hapus yang "valid:NO"
Klik "Fix Dump"
Pilih di "c:\Program Files\BetterJPEG 2" yang "de_BetterJPEG.exe"
Hasilnya adalah "de_BetterJPEG_.exe"
Buka file de_BetterJPEG_.exe dengan OllyDebug DeFixeD.
Di "CPU - main thread, module de_Bette", klik kanan pilih "Search for" terus "All Referenced Text Strings".
Geser keatas terus klik kanan pilih "Search For Text".
Pada "Enter Text to Search For" masukkan kata "entered", hilangkan tanda di case sensitive dan tandai entire scope.
kita berada dialamat
0041256B PUSH 00456D4C ASCII "Entered key is not valid.",LF,"Do you want to retry?"
Klik dua kali dialamat diatas
0041255B |. |E8 A0FDFFFF |CALL 00412300
00412560 |. |85C0 |TEST EAX,EAX
00412562 |. |0F85 85000000 |JNZ 004125ED
00412568 |. |50 |PUSH EAX
00412569 |. |6A 05 |PUSH 5
0041256B |. |68 4C6D4500 |PUSH 00456D4C ; ASCII "Entered key is not valid.",LF,"Do you want to retry?"
Beri breakpoint dialamat "0041255B" dengan F2
Klik restart program atau Ctrl+F2
Klik run atau F9
Isikan registrasinya dengan namamu.
OllyDebug DeFixeD akan berhenti dialamat "0041255B"
Klik "Step Into" atau F7 dialamat "0041255B" untuk masuk kedalam "CALL"
00412300 /$ 51 PUSH ECX ; de_Bette.00458470
00412301 |. 8B4424 0C MOV EAX,DWORD PTR SS:[ESP+C]
00412305 |. 56 PUSH ESI
00412306 |. 57 PUSH EDI
00412307 |. 8B7C24 10 MOV EDI,DWORD PTR SS:[ESP+10]
0041230B |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
0041230D |. 8D5424 08 LEA EDX,DWORD PTR SS:[ESP+8]
00412311 |. 8BF1 MOV ESI,ECX
00412313 |. 8B0F MOV ECX,DWORD PTR DS:[EDI]
00412315 |. 52 PUSH EDX
00412316 |. 50 PUSH EAX
00412317 |. 51 PUSH ECX
00412318 |. C74424 14 000>MOV DWORD PTR SS:[ESP+14],0
00412320 |. E8 6B000000 CALL 00412390
00412325 |. 83C4 0C ADD ESP,0C
00412328 |. 85C0 TEST EAX,EAX
0041232A |. 74 19 JE SHORT 00412345
Trace kodenya kebawah.
Dialamat "0041232A" kode "JE" ganti dengan "NOP"
Klik kanan "Copy to Executable" trus klik "All Modification" trus "Copy All".
Klik kanan lagi "Save File" dan overwrite dengan nama yang sama.
Keluar dari OllyDebug.
Credit to : Yohukm
03/07/09
|