CRACKING QUICK BATCH FILE COMPILER V2.1.5.0

Wednesday, March 30, 2011 5:23 PM by Computer and Programming
CRACKING QUICK BATCH FILE COMPILER V2.1.5.0
Oleh X-Bite
Published: Oktober 23, 2007

Hai semuanya.. ketemu lagi dengan saya X-Bite di tutorial ke 2 saya... Jika anda adalah anggota jasakom, mungkin anda telah pernah membaca nama program tersebut... Yup.. ingat artikel yang dibuat oleh teman kita tomplix see dengan judul "Bikin Virus Dengan Perintah CMD", dimana kita menggunakan program ini sebagai kompilernya... Perlu diketahui, versi software ini mungkin telah diperbaharui, karena program ini telah lama bercokol di hardisk saya :) (sejak tahun 2006), namun saya rasa teknik proteksi yang digunakan kurang lebih sama...

Tentang Target:
Quick Batch File compiler converts your batch files into actual programs (EXE format) in one click. This program may be run on Windows 95/98/Millenium/2000/2003/XP without any limitations. Content of your batch file will be encripted and protected from changes.
--------------------------------------------------------------------------------
Main features
Protects contents of a batch file from the non-authorized change .
Hides contents of a batch file from viewing. Keep your secrets!
It is not necessary to be the programmer to create the program.
It is very useful to installation and automation tasks.
Can compile any batch file to exe format compatible with Win95/98/Me/2000/XP/2003.

Proteksi:
1. Serial Number
2. Nag pada hasil kompiler

Tools:
1. PEID 0.94 ; fungsinya untuk "investigasi" file exe. dapat di download di www.peid.has.id
2. Ollydbg v.1.10 ; debugger paling keren, senjata kita yang paling utama :)
3. ImpREC ; rebuilder, cari di google karena saya lupa alamatnya ;)
4 . Sedikit Logika ; :)

Evaluasi Program:
1. Install Quickbfc, dan jalankan program untuk melihat proteksi pada software ini... anda akan melihat "UNREGISTERED COPY" :( pada status bar sebelah kanan bawah. Coba klik help>>register.. isi dengan nama X-Bite dan Licence Key 1111222233334444 kemudian klik Register...Opsss.. tidak ada yang terjadi, bahkan peringatan error(invalid) atau semacamnya tidak muncul... cukup.. tutup programnya...


http://www.jasakom.com/images/Artikel2007/CrackQuick0.bmp

2. Buka program ini pada PEiD, anda akan melihat jika program ini menggunakan packer "UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo"
dan jika kita membuka plugin kripto analizer pada PEiD, kita akan melihat bahwa program ini juga dienkripsi.

http://www.jasakom.com/images/Artikel2007/CrackQuick1.bmp

Unpacking Program:

1. Jalankan Ollydbg, kemudian open file quickbfc.exe, karena program ini di packing, maka yang pertama perlu kita lakukan adalah membuka packingnya (karena jika program di pack, kita akan sulit membaca program dan membuat breakpoint :) ), berikut ini adalah cara yang biasa digunakan untuk membongkar program dari packernya:), (info: packing file exe prinsipnya sama dengan winrar atau winzip), caranya tekan f8(trace over) sekali hingga nilai ESP berubah.. kemudian klik kanan pada ESP>>follow in dump.

http://www.jasakom.com/images/Artikel2007/CrackQuick2.bmp

Kita akan dibawa ke alamat 0012FFA4 pada dump window disebelah kiri bawah. kemudian blok 4 byte pada alamat tersebut beri hardware breakpoint dengan cara klik kanan>>breakpoint>>hardware, on access>>dword.

http://www.jasakom.com/images/Artikel2007/CrackQuick3.bmp

Setelah itu tekan f9(run), kita akan berhenti pada alamat ini
00563A23 - E9 3811F4FF JMP 004A4B60
jump ini merupakan jump menuju OEP(original entry point), (info: OEP adalah awal dari program yang telah di unpack di dalam memori). tekan f8 sekali lagi, maka kita berada di EOP program, ingat alamatnya.(info: pada komputer anda mungkin alamatnya tidak sama)
Dari sini, kita dapat membuat dump dari program yang telah di unpack di memori menjadi file exe dengan bantuan plugin OllyDump.... caranya klik kanan>>dump debugged process... akan muncul dialog box seperti ini...

http://www.jasakom.com/images/Artikel2007/CrackQuick4.bmp

uncheck rebuild import (karena kita akan melakukannya dengan ImpREC dan juga karena ollydump sering memberi hasil yang kurang memuaskan :) ), kemudian klik saja dump...beri nama dump.exe dan save...(info: saat ini dump.exe ini tidak akan berjalan sebagaimana mestinya :) )

2. Buka ImpREC, kemudian klik pada attach to an active process, pilih file quickbfc.exe (info: quickbfc saat ini berjalan pada ollydbg).. kemudian isikan alamat EOP program (karena olly berjalan pada virtual address 400000 maka kita harus mengurangkan alamat EOP dengan 400000 = 004A4B60-00400000=000A4B60, klik IAT auto search, kemudian klik get imports, dan klik fix dump...pilih file dump.exe tadi.. sekarang file dump.exe telah dapat berjalan sebagaimana mestinya pada file dump_.exe (info: hapus dump.exe karena kita tidak menggunakannya lagi :) )

http://www.jasakom.com/images/Artikel2007/CrackQuick5.bmp


Patching Program:
Akhirnya kita sampai juga pada acara yang kita tunggu-tunggu yaitu cracking program... buka file dump_.exe tadi kemudian f9(run).

 http://www.jasakom.com/images/Artikel2007/CrackQuick6.bmp
Setelah program berjalan, buka registrasi pada program quickbfc pada help>>register, isikan dengan nama X-Bite dan Licence Key 1111222233334444, jangan pencet regiter dulu. Kembali pada olly klik kanan>>search for>>all referenced text string .... kemudian scroll keatas dan klik kanan search for text "Registration Successful!" (info: kata yang muncul jika registrasi berhasil, saya tahu karena saya telah mencobanya :) ) dobel klik pada text yang di temukan kita akan terlempar ke kode assembler pada badan program..


004A2FAE . 8B15 D0B14A00 MOV EDX,DWORD PTR DS:[4AB1D0]
004A2FB4 . A1 CCB14A00 MOV EAX,DWORD PTR DS:[4AB1CC]
004A2FB9 . E8 7EF9FFFF CALL 004A293C ; call yang menentukan nilai al
004A2FBE . 84C0 TEST AL,AL ;tes apakah valid atau tidak
004A2FC0 . 74 35 JE SHORT 004A2FF7
004A2FC2 . 6A 00 PUSH 0 ; /Arg1 = 00000000
004A2FC4 . 66:8B0D FC2F4A00 MOV CX,WORD PTR DS:[4A2FFC] ; |
004A2FCB . B2 02 MOV DL,2 ; |
004A2FCD . B8 08304A00 MOV EAX,004A3008 ; |ASCII "Registration Successful!" ;kita disini
004A2FD2 . E8 4D05F9FF CALL 00433524 ; \dump_.00433524
004A2FD7 . 8B83 70030000 MOV EAX,DWORD PTR DS:[EBX+370]
004A2FDD . 8B80 08020000 MOV EAX,DWORD PTR DS:[EAX+208]
004A2FE3 . BA 01000000 MOV EDX,1
004A2FE8 . E8 1FDEF9FF CALL 00440E0C
004A2FED . BA 2C304A00 MOV EDX,004A302C ; ASCII "Registered version"
004A2FF2 . E8 71DDF9FF CALL 00440D68
004A2FF7 > 5B POP EBX


Tidak seperti tutorial sebelumnya, kali ini kita akan mencoba menerawang lebih dalam pada call 4A293C (info: dapat kita lihat jika call ini dipanggil sebanyak empat kali pada alamat "Local calls from 004A091B, 004A2FB9, 004A3AC1, 004A427E") sehingga jika kita meng-nop-kan conditional jump, kita harus melakukan 4 patching pada 4 call tersebut), kita akan menggunakan cara lain yang lebih efisien :)...dimana kita akan merubah nilai al yang menentukan valid tidaknya licensi program yang kita berikan didalam call tersebut sehingga 4 call yang memanggilnya akan menerima al=1(registered)... set breakpoint(F2) pada alamat 004A2FB9.. kembali pada program quickbfc, pencet register (mungkin programnya sudah capek nunggu di register:) ).... Hups... program break pada alamat tadi.. teken F7(step into) untuk masuk kedalam call 4A293C...


004A293C /$ 55 PUSH EBP ;call 4a293c
004A293D |. 8BEC MOV EBP,ESP
004A293F |. 33C9 XOR ECX,ECX ; antara alamat 004A293F sampai 004A29D5 saya potong karena terlalu banyak :)
004A29D5 .^E9 CE15F6FF JMP 00403FA8
004A29DA .^ EB E3 JMP SHORT 004A29BF
004A29DC 8BC3 MOV EAX,EBX ; al di set disini, dimana ebx bernilai 0
004A29DE . 5E POP ESI
004A29DF . 5B POP EBX
004A29E0 . 8BE5 MOV ESP,EBP
004A29E2 . 5D POP EBP
004A29E3 . C3 RET


Saat saya trace over (F8) dan melewati beberapa loop yang panjang :), saya menemukan kalau register AL diset pada alamat 004A29DC (MOV EAX,EBX ) dimana nilai EBX adalah 0..... jadi bagaimana cara membuat AL menjadi 1 agar kita menjadi registered user???.. caranya mudah.. assemble(spasi) saja program menjadi mov al,1(2 byte)... perhatikan disini mov eax,ebx hanya 2 byte sehingga jika kita mengganti dengan mov eax,1 (5 byte) perintah dibawahnya akan tertimpa.. dan program akan hang atau error...

Sesudah mengganti MOV EAX,EBX menjadi MOV AL,01 ...coba pencet F9(run).. maka kita akan mendapat pesan "Registration Successful!" (masih ingat pesan ini?:) ) kita juga akan melihat tanda UNREGISTERED COPY pada sudut kanan bawah telah menjadi Registered Version...LOL :D
Untuk menyimpan perubahan yang kita lakukan, Klik kanan>>Copy to executable>>All modifications>>copy all>> klik kanan>>save file>> beri nama Quickbfc.exe>>save

0 Response to "CRACKING QUICK BATCH FILE COMPILER V2.1.5.0"

Post a Comment