Target : Notepad 98
Tool : W32Dasm v8.9
Hiew v6.81 Ok, mulai... Ketika kita membuka file text besar (100kb keatas)? Ternyata notepad mengeluarkan sebuah pesan: “This file is too large for Notepad to open Would you like to use WordPad to read this file?” Yang kita akan lakukan adalah menghilangkan pesan itu dan langsung membukanya dengan WordPad. Mari kita mulai: Jalankan W32dasm dan disassemble NOTEPAD.EXE. Kita cari pada program's String Data References. Klik menu "Refs" and pilih "String Data References". Temukan : String Resource ID=00052: "This file is too large for Notepad to open.Would you like t" Klik ganda stringnya. --------------------------- NOTEPAD.EXE ----------------------------- * Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00402AA9(C)
|* Possible Reference to String Resource ID=00052: "This file is too large for Notepad to open. Would you like t"
|
:00402ABF 6A34 push 00000034 --------------------------- NOTEPAD.EXE ----------------------------- Disini kamu mendarat. Kita pikirkan dahulu. Jika kita merubah Conditional Jump di alamat : 00402AA9, kita mungkin membuat Notepad menganggap bahwa file yang kita buka dibawah 100kb dan akan membuat gangguan pada memori Windows. Yang kita lakukan ialah menemukan dimana pesan tersebut dipanggil dan membiarkan notepad berjalan tanpa pesan itu. Saatnya mulai! Klik "Functions" menu and pilih "Imports". Ini adalah fungsi yang dimiliki Windows dan Notepad memanggilnya untuk berjalan. Cari dan temukan : "USER32.MessageBoxA". Dari sini pesan tersebut dipanggil dan klik ganda --------------------------- NOTEPAD.EXE ----------------------------- * Reference To: USER32.MessageBoxA, Ord:01ACh
:004033B1 FF15A8644000 Call dword ptr [004064A8] (We landed here!)
:004033B7 83F806 cmp eax, 00000006
:004033BA 0F85A7000000jne 00403467
:004033C0 6804010000 push 00000104
:004033C5 8D858CFDFFFF lea eax, dword ptr [ebp+FFFFFD8C] --------------------------- NOTEPAD.EXE ----------------------------- Pada alamat diatas terdapat perintah yang memanggil pesan "messagebox" dan menjalankan WordPad atau keluar, tergantung pilihan kita. Pertama, "00402D61", memanggil "messagebox", kemudian "00402D6A" lompat dan keluar jika "EAX" tidak "00000006". Jadi kita akan menghilangkan "call" "00402D61" dan menghilangkan "jump" "00402D6A" sehingga program akan selalu memanggil WordPad. Catat "Call" pada alamat "00402D61" dan tulis lokasi offsetnya (Lokasinya tampak dibawah "@Offset..."). Lakukan untuk "jne" pada alamat "00402D6A". Sekarang tutup W32dasmnya. PROSES:
Jalankan NOTEPAD.EXE di Hiew. Tekan "F4" dan pilih "Decode", Tekan "F5" (Go to location...), dan tulis: ".33B1" (lokasi offset pertama yang kamu tulis). Tekan "F3" untuk meng-edit dan tulis: "404840484048" . Tekan "F9" untuk meng-Update-nya. Sekarang kita lanjutkan dengan lokasi offset kedua. Tekan "F5" dan tulis: ".33BA". Tekan "F3" untuk meng-edit dan tulis: "404840484048". Tekan "F9" terus "F10" untuk keluar. Selesai sudah cracking Notepad! Coba dan buka file text besar (100kb keatas). Yes! Notepad langsung membukanya dengan WordPad? CONCLUSION:
Sedikit tentang HEX language: 40 (in HEX) ----stands for---->"inc eax"
48 (in HEX) ----stands for---->"dec eax"
90 (in HEX) ----stands for----> "nop" (nothing happens when 90 is written)
|