tools yang diperlukan :
1.OllyDbg
2.kalo kali ini gw di temani secarik kopi hangat :coffe:
progie percobaan : best uninstall
begin
buka ollyDBg,,lalu buka progie best uninstall...
lalu coba kita masukan eser/pass sembarangan (kalo gw seperti biasa "stealer CCPB")
muncul ket harus restart untuk melengkapi registrasi...
setelah di lihat kita buka ntu progie lagi ternyata belum terregistrasi dgn perfect...
maka..keluar dari pogie tersebut dan buka ulang ollydgb dan buka progie best uninstall.
klik kanan lalu search for > all intermodular calls
akan muncul page baru...klik destination (untuk sorting)
lalu carilah kata2 di page destination "RegQueryValueExa" (ini adalah value name ttn open registry)
udah ketemu???
lalu set breakpoint di seluruh "RegQueryValueExa" dgn cara klik kanan lalu pilih
"set breakpoint on every call to RegQueryValueExa.
kalo sudah klik c di toolbar ato tekan alt+c (show cpu)
lalu jalan kan progienya dengan cara tekan F9 atao klik tanda play di toolbar..
klik F9 terus sampe kita temukan di pojok kanan tulisan serial seperti di gambar.
lalu kita trace petunjuk berikutnya ,,,dengan cara klik F8..
klik terus F8 sampe menemukan serial palsu yang kita buat pertama kali waktu registrasi.
di code 0043C98 klik kanan lalu follow in dump...liat hex dump di pojok kiri bawah
lalu di hex dump 31 32 33 34 di highlight (klik kiri lalu tarik) lalu klik kanan
break point > hardware on access > dword
setelah itu kita mau disable breakpoint dgn cara klik di toolbar B ato tekan alt+b..
di form breakpoint klik kanan lalu disable all
lalu klik run lagi F9 ...terus klik F9 sampai ketemu user/pass yg kita buat pertama kali.
di bawah line nya ad CALL 005EF9C8 (udah dekat dgn serial yg asli nih)
mulai dgn trace lagi klik F8. terus klik ...sampe pada line kayak gini.
AScII "serial"
0013FCC4 |00C37E34 ASCII "1QG3-N7H2-2H3S-EYCF"
setelah dapat serial tersebut...maka gw masukan user : serial dan pass : 1QG3-N7H2-2H3S-EYCF
setelah dicoba....dgn user/pass nya...hasilnya...
Tidak ada komentar:
Posting Komentar