Tutorial 1 - Zebra 1.1 CrackMe
Written By SE_Xuality - Se_Xuality@hacker.am 02 Aralęk 2001 Pazar
Protection : Very Easy
Packed : NotFound
Language : Assembly
Ihtiyac Duyulan Programlar : Windasm 8.x ,Hiew 6.x , Zebra1.1.zip (Kirilacak Program)
(Bu programlari download bolumunden download edebilirsiniz..)
Giris :
Ilk olarak hedef programi calistiriyoruz.. Sifre kismina rasgele bisiler yazip register butonuna tikliyoruz...
amanin oda ne "Sorry ... The Serial ....." falan filan.... yani anliyacaginiz bizim seriali kabul etmedi...
hemen ise koyuluyoruz.....Ilk olarak programimizin bir kopyasini olusturuyoruz.. Bunun en iyi yolu program secili iken CTRL+C ve CTRL+V tuslarina basmaktir..
Simdi aciyoruz WinDAsm programimizi ve "Open File to Disassemble" butonuna tikliyoz...neden? cunku hedef programimizi Anlayacagimiz dile yani assembly dilinin orjianal haline cevirecegiz...Neyse tikliyoz iste asagida resimde kabak gibim gorunuyor.. onu yapin..
Bu dialog kutusundan "kopya zebrone.exe" dosyasini aciyoruz...Belli bir muddet programin disassembly edilmesini bekliyoruz...
Program Assembly diline cevirildi.. Bundan sonrasi oldukca kolay...Gorudugunuz gibi Windasm'da kodlar gozuktu..Hic Beklemeden String Ref (Asagida gozukuyor) Fare ile uzerinde beklediginizde "String Data References" ipucu gozukuyor...Hemen bu butona Tikliyoz.. Cunku bize gosterilen hani o "Sorry. Istn't Correct Serial " falan filan Mesaj kutusunu bulacagiz....
Tamaaaammm.... Asagida Bize gosterilen mesaji ve programin icerisindeki diger stringleride gordunuz... Simdi bu stringlerden herhangi birinin koddaki yerine gitmek istiyorsaniz.. Asagidaki gibi Stringin uzeirine 2 defa tiklamak...
Bundan sonrasini siz Windasm'in icinden devam edeceksiniz , ben text olarak gosterecegim....Simdi kodu incelemeye baslaycagiz.. Bulundugumuz yer bizim giridigimiz serial ile dogru serialin karsilastirildigi yer....
----------------------------------------------------------------------------------------------------------------------------
:004012C5 E8E2010000 Call 004014AC
:004012CA 8D45F6 lea eax, dword ptr [ebp-0A]
:004012CD 50 push eax
:004012CE 8D45EC lea eax, dword ptr [ebp-14]
:004012D1 50 push eax
:004012D2 E873000000 call 0040134A ------->Seriali karsilastiran procedure..
:004012D7 83C408 add esp, 00000008
:004012DA 09C0 or eax, eax
:00
4012DC 7416 je 004012F4 ------->Karsilastirma yanlis ise 004012F4'e git yani hata mesajini goster dogruysa devam et.:004012DE 6A00 push 00000000
* Possible StringData Ref from Data Obj ->"Great !!!"
---------> Bizi tebrik eden mesaj...|
:004012E0 6826324000 push 00403226
* Possible StringData Ref from Data Obj ->"Congratulations, you have cracked "
->"the Zebra Crackme ver 1.1"
|
:004012E5 6830324000 push 00403230
:004012EA FF7508 push [ebp+08]
* Reference To: USER32.MessageBoxA, Ord:018Ah
|
:004012ED E8C6010000 Call 004014B8
:004012F2 EB14 jmp 00401308
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:
004012DC(C)|
:
004012F4 6A00 push 00000000* Possible StringData Ref from Data Obj ->"Hmmmm :P"
-------> SErial yanlis hata uyarisi....|
:004012F6 68F8314000 push 004031F8
* Possible StringData Ref from Data Obj ->"Sorry... The Serial isn't correct "
->":"
|
:004012FB 6801324000 push 00403201
:00401300 FF7508 push [ebp+08]
* Reference To: USER32.MessageBoxA, Ord:018Ah
|
:00401303 E8B0010000 Call 004014B8
----------------------------------------------------------------------------------------------------------------------------
Saniyorum :00
4012DC 'deki karsilastirma yi gordunuz.. iste bu karsilastirma dogru serial ile bizim kini karsilastiriyor ve hata mesajini belirliyor... Bize kalanda bunu tam tersine cevirmek.. yani girilen serial yanlis ise dogru kabul et olayi...boyle yapinca programa kafadan bir serial girince bile bize tesekkur edecek.. olay bu iste... Simdi bu karsilastirma rutininin adresini bir yerlere kaydetmemiz gerekiyor fakat solda gorunen adresini degil... Yon tuslari ile bu adresin uzerine geliyoruz.. yani je 004012F4 'nin... Simdi Windasm'in En altina bakin... Burada Cesitli yazilar goreceksiniz.. Bunlar bu satir ile ilgili bilgileri gosteriyor.... Simdi bu bilgiler arasinda OffSet yazan yeri buluyoruz... Asagidaki resimde olay kabak gibi gozukuyor... Simdi bu offset adresini bir yere yaziyoruz... (00000006DChin 6Dc ksimini)
Simdi'de orjinal Zebrone.exe programimiza sag tusla tikliyoruz. ve Hiew'i seciyoruz.. (bu secenegin cikmasi icin hiew.exe 'nin c:\Windows\SendTo klasorune kisayolunun olusturulmasi gerekiyor...) Yada Zebrone.exe dosyasini surukleyerek hiew.exe programimizin uzerinede birakabilrsiniz.. Ayni sey degisen bisey yok.. 1. yolun resmini de asagida veriyorum....
Daha sonra Hiew acilmasi gerekli ve asagidaki goruntuyu aynen gormeniz gerekli... Pencere acildiysa ama sayilar farkli gozukuyorsa Enter tusuna 2 defa basin...Yada bu pencereyi gorecek kadar enter tusuna basin...
Simdi F5 tusuna basiyoruz.. Ve sol ust kosede kucucuk bir kutucuk cikiyor...Simdi bu kutucuga gitmemiz gereken adresi yaziyoruz...Bu adresi az once bir yerlere kaydetmistik hatirlarsaniz....Neydi 6Dc idi.. Simdi bu kutucuga bu degeri giriyoruz.. ve enter tusuna basiyoruz..
Simdi Hiew'de ayni windasm'daki gibi disassembly edilen kisma geldik... Fakat simdi yapmamiz gereken bu satiri tam tersine degistirmek... yani je
004012F4 i jne 004012F4 yapmak.. Boyle olursa satir tam tersi isler ve yanlis giriste dogru, dogru giriste yanlis der...Bu degistirme olayini yapmak icinde bu satirdayken F3 tusuna basiyoruz... ve 7416 yazan kismi 7516 olarak degistiriyoruz.. Asagidaki resim gibi .....Ve F9 tusuna basiyoruz..Ve F10 tusuna basiyoruz...(Yani kaydedip cikiyoruz...)Bu sayilarda ne anlama geliyor diyorsaniz.. Assembly uzerine yazdigim tutorial'leri okuyun....
Simdi HIEW penceresi kapandi.. yapmamiz gereken Zebrone.exe dosyasini calistirmak vee kafadan bir serial girmek.... Bukadar...
Son soz.:::
Bu CrackMe programlari Crack'erlar tarafindan yaziliyor... Ve internette bir cok yerde bulabilirsiniz... (ozellikle www.crackme.cjb.net adresinde 100'lerce var.. vede hepsi birbirinden daha zorlu ve cekici)....Ve bu acikladigim sekiledede rahatlikla hepsini'de kirarak kendinizii gelistirmebilirsininz... Bu kadar basit... Basariya ulasmanin yolu surekli tekrardan gecer.....
Mail Atmaktan cekinmeyin her turlu konuda yardimci olabilirim...
Se_Xuality@hacker.am