|
Tutorial Cracking : WinSolo
|
Target : WinSolo
Tool : W32Dasm v8.93, Hiew v6.83
Proteksi program ini adalah expired date yang akan menampilkan nag window. Proteksinya
adalah 'semu' karena kenyataannya program bisa tetap dijalankan setelah melewati
expired date. Jadi masalahnya adalah bagaimana menghilangkan nag window message
yang berbunyi:
"FYI. A more recent version of WinSolo bla...bla...bla..."
Ok, Let's go...
- Run W32DASM, kemudian buka WinSolo.EXE untuk di-disassemble
- Tekan String Data References button untuk menampilkan String Data
References list window.
- Cari teks "FYI. A more recent version of ..." di SDR list window.
Klik kanan 2 kali untuk menuju line dimana message window dipanggil.
- Minimize SDR list window, kembali ke W32DASM window. Kamu akan
melihat ini:
..0040113B: 03D0 add edx,eax
..0040113D: 83FAFC cmp edx,FFFFFFFC
..00401140: 7E05 jle 00401147
..00401142: 83FA78 cmp edx,00000078
..00401145: 7E14 jle 0040115B
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00401140(U)|
..00401147: 6A40 push 00000040
Possible StringData Ref from Data Obj -> "WinSolo"
..00401149: 6850114100 push 00411150
Possible StringData Ref from Data Obj -> "FYI. A more recent version of ..."
..0040114E: 68B4104100 push 004110B4
..00401153: 6A00 push 00000000
* Reference to: USER32.MessageBoxA, Ord:0195h
..00401155: FF1570644100 call dword ptr [00416470]
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0040115B(U)|
..0040115B: 8B4C2470 mov ecx, dword ptr [esp+70]
..0040115F: 8B54246C mov edx, dword ptr [esp+6C]
---------------------------------------------------------------------
Cara 1: Taruh NOP di 00401147 sampai 0040115A
---------------------------------------------------------------------
- Geser ke line .00401147, lalu catat offset-nya di status line (bag. bawah W32DASM),
yang kurang lebih isinya:
"...Code Data @00401147 @Offset 00000547h in File WinSolo.EXE"
- Exit dari W32DASM
- Buka WinSolo.EXE dengan HiEW. F5, ketikkan 547
- Tekan 1 atau 2 kali, sampai kamu melihat tampilan HiEW seperti ini:
..00401147: 6A40 push 040
..00401149: 6850114100 push 000411150 ;" A.P"
..0040114E: 68B4104100 push 0004110B4 ;" A.¦"
..00401153: 6A00 push 000
..00401155: FF1570644100 call MessageBoxA ;USER32.dll
Nah, itu adalah Code Data yang kita lihat di W32DASM.
F4, pilih Hex mode. Kamu akan melihat tampilan seperti ini
WINSOLO.EXE .FRO PE.00401147 -------- 83968 ¦ Hiew 6.40 (c)SEN
-----------------------------------------------------------------------------
..00401140: 7E 05 83 FA-78 7E 14 6A-40 68 50 11-41 00 68 B4 ~.â·x~¶j@hP.A h¦
..00401150: 10 41 00 6A-00 FF 15 70-64 41 00 8B-4C 24 70 8B .A j §pdA ïL$pï
Tekan F3 untuk edit, dan ketikkan 90 di 00401147 sampai 0040115A.
WINSOLO.EXE .FRO PE.00401147 -------- 83968 ¦ Hiew 6.40 (c)SEN
-----------------------------------------------------------------------------
..00401140: 7E 05 83 FA-78 7E 14 90-90 90 90 90-90 90 90 90 ~.â·x~¶ÉÉÉÉÉÉÉÉÉ
..00401150: 90 90 90 90-90 90 90 90-90 90 90 8B-4C 24 70 8B ÉÉÉÉÉÉÉÉÉÉÉïL$pï
Kalau sudah selesai tekan F9 untuk update.
F4 dan pilih Decode. Kamu akan melihat NOP di line 401147 sampai
40115A. F10 untuk exit. Run WinSolo.EXE untuk melihat hasil 'patch' kita.
---------------------------------------------------------------------
Cara 2: Ubah JUMP yang menuju ke code data pemanggil nag window
---------------------------------------------------------------------
- Perhatikan baris berikut di W32DASM:
..0040113D: 83FAFC cmp edx,FFFFFFFC
..00401140: 7E05 jle 00401147 --------> jump to nag window
..00401142: 83FA78 cmp edx,00000078
..00401145: 7E14 jle 0040115B --------> jump to good code (no nag window)
- Catat offset-nya untuk code data 401140. Exit W32DASM. Buka
WinSolo.EXE dengan HiEW. F5 masukkan offset yang kita catat tadi.
Kamu akan melihat ini:
..0040113D: 83FAFC cmp edx,-004 ;"."
..00401140: 7E05 jle .000401147 -------- (1)
..00401142: 83FA78 cmp edx,078 ;"x"
..00401145: 7E14 jle .00040115B -------- (2)
- F3 untuk mengedit, lalu ganti jump code tersebut menjadi:
..0040113D: 83FAFC cmp edx,FFFFFFFC
..00401140: 7E00 jle 00401142
..00401142: 83FA78 cmp edx,00000078
..00401145: EB14 jmp 0040115B
atau
..0040113D: 83FAFC cmp edx,FFFFFFFC
..00401140: EB19 jmp 00401142
..00401142: 83FA78 cmp edx,00000078
..00401145: 7E14 jle 0040115B
- F9 untuk update. F10 exit HiEW.
- Run WinSolo.EXE untuk melihat hasilnya.
Kesimpulan:
Pemicu nag window pada WinSolo adalah kode yang membandingkan tanggal
sekarang dengan expired date. Nag window bisa dieliminasi dengan
melakukan bypass (JUMP) ke baris kode yang tidak menampilkan nag
window atau membuat program tidak melakukan operasi apapun (NOP) saat
proses mencapai kode yang menampilkan nag window.
|