Detalhes

Categoria: Pilotando o rato I-1

Atualização: Domingo, 14 Junho 2009 17:29

Autor: vovó Vicki

Acessos: 12596

O velho e bom DeDe

DaFixer é o autor brazuca do DeDe e ainda circulava na net até o ano 2000. De repente sumiu e a única coisa que posso dizer é que tenho saudade! Sei lá o que este cara anda fazendo, mas, se isto serve de consolo, continuo usando o DeDe e procurando por algum aplicativo que se compare ao dele. Tá certo, o DeDe está desatualizado e anda abrindo o bico com o win XP e as versões mais atuais do Delphi. Mesmo assim...

Rode o DeDe, clique no botão identificado por uma pasta e abra o Ser-Me.exe. Em seguida, clique no botão [Process] e aguarde até receber a mensagem de "Dump successfull ! :)". Assim que você clicar o botão [OK] da mensagem, recebe duas mensagens de erro (pelo menos eu recebo) dizendo "Access violation...". Não se deixe impressionar - clique nos botões [OK] e vá em frente. Quando a coisa se acalmar, clique na aba DFM para ver a já conhecida estrutura da Form1 que deve mostrar as alterações que fizemos usando o editor de recursos. Depois clique na aba DFU para que, no painel da esquerda, seja mostrada a Unit1-TForm1. No painel da direita, aba Events, estão listados Button1Click, Button2Click e Button3Click. Como já sabemos que o nosso alvo é o Button1, dê um duplo clique no próprio para obter o seguinte código fonte:

004596DC   53                     push    ebx
004596DD   8BD8                   mov     ebx, eax
004596DF   B858CC4500             mov     eax, $0045CC58

* Possible String Reference to: "Error"
|
004596E4   BA58974500             mov     edx, $00459758
004596E9   E8EAABFAFF             call    004042D8
004596EE   B854CC4500             mov     eax, $0045CC54

* Possible String Reference to: "Wrong Serial !"
|
004596F3   BA68974500             mov     edx, $00459768
004596F8   E8DBABFAFF             call    004042D8
004596FD   C7055CCC450010100000   mov     dword ptr [$45CC5C], $00001010
00459707   A15CCC4500             mov     eax, dword ptr [$45CC5C]
0045970C   50                     push    eax
0045970D   A158CC4500             mov     eax, dword ptr [$45CC58]
00459712   E81DB0FAFF             call    00404734
00459717   50                     push    eax
00459718   A154CC4500             mov     eax, dword ptr [$45CC54]
0045971D   E812B0FAFF             call    00404734
00459722   50                     push    eax
00459723   8BC3                   mov     eax, ebx
00459725   E84624FEFF             call    0043BB70
0045972A   50                     push    eax

* Reference to: user32.MessageBoxA
|
0045972B   E898D7FAFF             call    00406EC8
00459730   A360CC4500             mov     dword ptr [$45CC60], eax

* Possible Reference to Control 'Button1:TButton'
|
00459735   8B8304030000           mov     eax, [ebx+$0304]
0045973B   8B10                   mov     edx, [eax]
0045973D   FF5250                 call    dword ptr [edx+$50]
00459740   84C0                   test    al, al
00459742   740A                   jz      0045974E

* Possible String Reference to: "Get Rid of This little fucker :P"
|
00459744   B880974500             mov     eax, $00459780
00459749   E8BA55FDFF             call    0042ED08
0045974E   5B                     pop     ebx
0045974F   C3                     ret

Quer mais? É tudo do que estávamos precisando! O autor do crackme pediu para que o programa aceitasse qualquer serial (até mesmo um serial vazio) e que a mensagem dizendo "Get Rid of This little fucker :P" fosse eliminada. Pois então está fácil: anote o endereço inicial desta rotina e vamos para a próxima ferramenta.