Parker

I. Introduction
Parker merupakan aplikasi yang *hanya* dapat dijalankan di lingkungan C++ Builder. Kelihatannya sebuah plugin buat C++ Builder?? Yah, pertama kali anda menjalankan program ini, akan muncul pesan dalam bahasa Perancis. Ini yang akan kita hilangkan. Dan yang kedua, kita akan berusaha mendapatkan serial dengan SoftICE

II. Nag removing
Seperti biasa, buka Parker1.exe. Kamu akan melihat sebuah kotak error. Tutup dan kemudian Ctrl+D dan set breakpoint dengan bpx messageboxa. Teken F5 lalu jalankan lagi Parker1.exe. Boom! kita kembali ke SoftICE. Tekan F11 satu kali lalu tekan Enter.

* Referenced by a CALL at Address:
|
:00425F53
|
:00425E9C 81C400FEFFFF add esp, FFFFFE00
:00425EA2 803D2C6C430000 cmp byte ptr [00436C2C], 00
:00425EA9 7550 jne 0042EFB <-- tampilkan pesan error kalo tidak sama dengan 0
:00425EAB 6800010000 push 00000100
:00425EB0 8D442404 lea eax, dword ptr [esp+04]
:00425EB4 50 push eax

* Possible Reference to String Resource ID=65462: "Ce programme doit être exécuté dans l'environnement C++Build"
|
:00425EB5 68B6FF0000 push 0000FFB6
:00425EBA A1086C4300 mov eax, dword ptr [00436C08]
:00425EBF 50 push eax
...
* Reference To: USER32.MessageBoxA, Ord:0000h
|
:00425EF6 E8A3BA0000 Call 0043199E
:00425EFB E84CCEFFFF call 00422D4C <-- Kamu disini (tampilkan pesan error dan exit)

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|
:00425EA9(U)
|
:00425F00 81C400020000 add esp, 00000200
:00425F06 C3 ret <-- kembali ke program

Disini kita bisa langsung mempatch. Kode yang diganti yaitu:
0042EA9 7550 jne 0042EFB
menjadi:
0042EA9 EB55 jmp 0042F00

Sekarang buka Hiew lalu open Parker1.exe. Lalu teken F4 dan pilih Decode. Tekan F5 dan masukkan .00425EA9 Setelah itu tekan F3 dan ketik EB55 Tekan F9 kemudian F10. Sekarang buka lagi Parker1.exe. Nah, nag udah ilang nich!

III. Serial Fishing
Yang paling mudah untuk serial fishing adalah dengan deadlisting dulu pada W32DAsm. Jadi jalanin W32DAsm dan disassembly Parker1.exe. Lihat pada Refs->String Data References. Wow! Apa nich? Ini yang kita cari, "REGISTERED !!!". Click dua kali dan kita akan dibawa ke rutin assembly sebagai berikut:

:0040152A 8B4DB0 mov ecx, dword ptr [ebp-50] <-- ecx=serial palsu
:0040152D 3B4DAC cmp ecx, dword ptr [ebp-54] <-- Perbandingan yang umum!
:00401530 7538 jne 0040156A <-- Kalo nggak sama, lompat ke not registered
:00401532 66C745D82C00 mov [ebp-28], 002C

* Possible StringData Ref from Data Obj ->"REGISTERED !!!" <-- Kamu disini

Dari sini kita bisa menebak, kalo [ebp-54] adalah serial yang asli, sedang ecx adalah yang palsu. Ingat alamat 0040152D soalnya kita akan pasang breakpoint pada alamat itu. So, jalanin aja Parker1.exe dan isi nama dan serial kamu (gue pake Anugerah dan serial 12345). Teken Ctrl+D dan bpx hmemcpy dan teken F5. Tambahkan satu nomer lagi pada serial (jadinya 123456). Boom! Kita kembali ke SoftICE. Tekan F11 satu kali, lalu tekan F12 (9 kali), sampai kamu liat pada bagian bawah SoftICE menjadi PARKER1!.text...

:0041EFBD 5E pop esi <-- kamu disini
:0041EFBE 5B pop ebx :0041EFBF C3 ret

Setelah itu, clear breakpoint dengan bc * dan pasang breakpoint dengan bpx 0040152D. Lalu tekan F5. Click pada Check! dan Boom! Kita kembali ke SoftICE lagi. Jangan lupa untuk menghilangkan breakpoint dengan bc *. Sekarang, kita bisa melihat serial palsu dan yang asli. Ketik ? ecx untuk melihat serial yang palsu, kamu akan melihat tampilan:

0001E240 0000123456 <-- yang kanan adalah serial kita

Lalu gunakan ed [ebp-54] untuk melihat serial asli.

0167:0067F834 00032AA2 <-- Kanan adalah serial asli dalam Hex (Alamat 0167 mungkin tidak sama dengan komputer anda). Kita perlu mengetahui nilai desimal dari 32AA2. Jadi, kita gunakan ? 32AA2

00032AA2 000207522 <-- Kanan: serial asli dalam desimal

Akhirnya serialnya ketemu juga! Sekarang masukkan nama dan serial yang asli.

Anugerah
207522

REGISTERED !!! Gimana? Gampang apa nggak? Mudah-mudahan kamu bisa ngikutin dech.