August 1999 |
"DLL Show V4.3" |
Win Code Reversing |
|
vom Instructor |
|
Finden der korrekten Serial mit SoftIce |
|
|
Programm- URL: Hier
|
||
Tools : Softice V4.0 | ||
Level |
Leicht ( X ) Mittel ( ) Schwer ( ) |
Die Einleitung |
Der Autor von Dllshow for Windows 95 sagt:-
"DLL Show fâ¿r Windows 95 ist ein kleines
System Tool, welches eine Liste aller laufenden Tasks und Prozesse und der dazugeh÷rigen DLL's
anzeigt.Klicke mit der Maus auf einen aufgelisteten Task oder Prozess und du siehst die
DLL's, die der Prozess benutzt".
Das Sicherungssystem |
Das Programm ist ein 30 Tage Trial Programm, mit einem Nag
Screen, der bei jedem Start des Programms angezeigt wird.Wenn wir das Programm starten und
im Hintergrund RegMon laufen lassen, sehen
wir diese 3 EintrΣge in der Registrierungsdatei, die noch keine Werte enthalten:
HKCU\Software\Software By
Design\DLLSow For Windows
95\Registration\Code 0x0
HKCU\Software\Software By Design\DLLSow For
Windows 95\Registration\Organization
""
HKCU\Software\Software By Design\DLLSow For
Windows
95\Registration\User
""
Diese 3 EintrΣge werden nach einer erfolgreichen Registration ausgefâ¿llt.
Um den Registrations Screen zu erreichen gehe ins 'Help' Men⿠und wΣhle das Untermen⿠'Registration' .
Du wirst nach folgenden Angaben gefragt:
User Name:
Organization: (nicht
erforderlich)
Registration:
Die L÷sung |
Das Programm nutzt die 32 Bit Funktion GETDLGITEMTEXTA
,um die Registrationseingaben zu lesen.
Starte DLLShow,gehe in das
Registrationsmen⿠und ergΣnze die geforderten Eingaben.
1. Wenn du das getan hast, starte Softice durch Drâ¿cken von CTL-D.
2. Tippe ein: bpx getdlgitemtexta ,dann x um Softice zu verlassen.
3. Drâ¿cke auf den 'OK' Button.
4. Softice unterbricht beim Beginn der 1. System Funktion GetDlgItemTexta.
5. Drâ¿cke x
zwei mal.
Drâ¿cke 'F11'
wir sind jetzt im DLLShow
Code, nach den 3 Eingabeaufrufen, hier ist der Code :
Mit F10 tracen wir durch den Code und â¿berprâ¿fen regelmΣ▀ig die Register...
Bei Adresse 40D390 wird in eine Unterroutine gesprungen, in dieser Unterroutine wird die korrekte Serial erzeugt und in EAX gespeichert, unsere fake Serial befindet sich in EBX. Bei Adresse 40D395 erfolgt der Vergleich der beiden Serials.Bei Adresse <40D39B> wird dann je nachdem zur Fehlermeldung oder zu der Erfolgsmeldung gesprungen. Bei Adresse <40D398> ?EAX eingeben, und die richtige Serial ist zu sehen.
Das Finale |
Das wars dann auch schon wieder, Breakpoint gel÷scht, Serial eingegeben und siehe da, wir sind registriert.
-- Mein Dank geht an 'Sandman' fâ¿r seine hervorragenden Tutorials --
Tutorial
von: Instructor
Page gestaltet: 17.August
1999