|
Tutorial Cracking : WinDriver Ghost v2.01
|
Target : WinDriver Ghost v2.01
Tool : OllyDebug DeFixeD
PEiD v0.95
Quick Unpack v2.1
Program ini dapat dari temanku yang seorang teknisi komputer (freeland) untuk keperluan backup semua driver yang ada dikomputer sehingga kita gak perlu instal satu persatu drivernya setelah instal ulang total komputer.
Saatnya Mulai
Instal WinDriver Ghost v2.01 dulu di komputermu.
Trus jalankan WinDriver Ghost, kita lihat apa saja yang muncul...!
Eh...Belum apa apa udah muncul Registration!.
Dikasih 15 hari untuk mencoba sepuasnya.
Klik Register Now.
Muncul "Invalid Registration Code", harap dicatat nih...!
Langkah pertama :
Scan WinDrvGhost.exe dengan PEiD untuk melihat programnya dipack dengan apa??
Programnya diproteksi dengan "UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo".
Jalankan Quick Unpack.
Buka filenya WinDrvGhost.exe
Di OEP Findersnya pilih ForceOEP by Feuerrader & Archer.
Klik Full Unpack
Muncul Import Table, pilih save.
Klik exit
Langkah kedua :
Buka file WinDrvGhost__.exe (file hasil Unpack) dengan OllyDebug DeFixeD.
Di "CPU - main thread, module WinDrvGh", klik kanan pilih "Search for" terus "All Referenced Text Strings".
Geser keatas terus klik kanan pilih "Search For Text".
Pada "Enter Text to Search For" masukkan kata "invalid registration", hilangkan tanda di case sensitive dan tandai entire scope.
kita berada dialamat
0049D6A0 PUSH 0049D938 ASCII "Invalid Registration Code"
0049D6A5 PUSH 0049D954 ASCII "Please make sure the registration",CR,"code and the registration name are",CR,"correct."
Klik dua kali dialamat diatas
0049D662 . /EB 54 JMP SHORT 0049D6B8
0049D664 > |8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] <== jump dari atas
0049D667 . |8B80 04030000 MOV EAX,DWORD PTR DS:[EAX+304]
0049D66D . |33D2 XOR EDX,EDX
0049D66F . |E8 6062FAFF CALL 004438D4
0049D674 . |8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
0049D677 . |8B80 00030000 MOV EAX,DWORD PTR DS:[EAX+300]
0049D67D . |33D2 XOR EDX,EDX
0049D67F . |E8 5062FAFF CALL 004438D4
0049D684 . |8D45 EC LEA EAX,DWORD PTR SS:[EBP-14]
0049D687 . |BA 03000000 MOV EDX,3
0049D68C . |E8 977AF6FF CALL 00405128
0049D691 . |8D45 EC LEA EAX,DWORD PTR SS:[EBP-14]
0049D694 . |BA 34D94900 MOV EDX,0049D934
0049D699 . |E8 E674F6FF CALL 00404B84
0049D69E . |6A 00 PUSH 0
0049D6A0 . |68 38D94900 PUSH 0049D938 <== kita disini
0049D6A5 . |68 54D94900 PUSH 0049D954
Kita trace satu persatu keatas
Dialamat "0049D664" adalah hasil lompatan dari "0049D32C".
Ternyata lompatan ini sangat panjang sampai melewati...
0049D4E4 . 68 5CD84900 PUSH 0049D85C ; ASCII "Registration Success!"
0049D4E9 . 68 74D84900 PUSH 0049D874 ; ASCII " Thank you for your support.",CR,"We will work even harder and",CR,"notify you future releases."
Yang artinya kita harus merubah lompatan pada alamat 0049D32C menjadi "NOP" dan alamat seterusnya.
0049D32C /0F84 32030000 JE 0049D664
0049D350 /0F84 0E030000 JE 0049D664
0049D374 /0F84 EA020000 JE 0049D664
0049D398 /0F84 C6020000 JE 0049D664
0049D3BC /0F84 A2020000 JE 0049D664
0049D3E0 /0F84 7E020000 JE 0049D664
0049D404 /0F84 5A020000 JE 0049D664
0049D428 /0F84 36020000 JE 0049D664
0049D44C /0F84 12020000 JE 0049D664
0049D4C4 /0F84 9A010000 JE 0049D664
Di semua alamat diatas, kode JE kita rubah menjadi NOP sehingga nantinya tak akan lompat ke 0049D664.
Ok, double klik semuanya masukkan NOP trus assemble, trus cancel.
Klik kanan "Copy to Executable" trus klik "All Modification" trus "Copy All".
Klik kanan lagi "Save File" dan overwrite dengan nama yang sama.
Keluar dari OllyDebug.
Jalankan WinDrivernya, masukkan sesuka hatimu serial numbernya trus klik "Register".
Nikmati hasilnya..!!!?
|