 |
CRACKING QUICK BATCH FILE COMPILER V2.1.5.0
Oleh X-Bite
Published: Oktober 23, 2007
Print
Hai semuanya.. ketemu lagi dengan saya X-Bite di
tutorial ke 2 saya... Jika anda adalah anggota jasakom, mungkin anda
telah pernah membaca nama program tersebut... Yup.. ingat artikel yang
dibuat oleh teman kita tomplix see dengan judul "Bikin Virus Dengan
Perintah CMD", dimana kita menggunakan program ini sebagai
kompilernya... Perlu diketahui, versi software ini mungkin telah
diperbaharui, karena program ini telah lama bercokol di hardisk saya  (sejak tahun 2006), namun saya rasa teknik proteksi yang digunakan kurang lebih sama...
Tentang Target:
Quick
Batch File compiler converts your batch files into actual programs (EXE
format) in one click. This program may be run on Windows
95/98/Millenium/2000/2003/XP without any limitations. Content of your
batch file will be encripted and protected from changes.
--------------------------------------------------------------------------------
Main features
Protects contents of a batch file from the non-authorized change .
Hides contents of a batch file from viewing. Keep your secrets!
It is not necessary to be the programmer to create the program.
It is very useful to installation and automation tasks.
Can compile any batch file to exe format compatible with Win95/98/Me/2000/XP/2003.
Proteksi:
1. Serial Number
2. Nag pada hasil kompiler
Tools:
1. PEID 0.94 ; fungsinya untuk "investigasi" file exe. dapat di download di www.peid.has.id
2. Ollydbg v.1.10 ; debugger paling keren, senjata kita yang paling utama
3. ImpREC ; rebuilder, cari di google karena saya lupa alamatnya ;)
4 . Sedikit Logika ;
Evaluasi Program:
1. Install Quickbfc, dan jalankan program untuk melihat proteksi pada software ini... anda akan melihat "UNREGISTERED COPY" 
pada status bar sebelah kanan bawah. Coba klik help>>register..
isi dengan nama X-Bite dan Licence Key 1111222233334444 kemudian klik
Register...Opsss.. tidak ada yang terjadi, bahkan peringatan
error(invalid) atau semacamnya tidak muncul... cukup.. tutup
programnya...
2.
Buka program ini pada PEiD, anda akan melihat jika program ini
menggunakan packer "UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus &
Laszlo"
dan jika kita membuka plugin kripto analizer pada PEiD, kita akan melihat bahwa program ini juga dienkripsi.
Unpacking Program:
1.
Jalankan Ollydbg, kemudian open file quickbfc.exe, karena program ini
di packing, maka yang pertama perlu kita lakukan adalah membuka
packingnya (karena jika program di pack, kita akan sulit membaca
program dan membuat breakpoint ), berikut ini adalah cara yang biasa digunakan untuk membongkar program dari packernya,
(info: packing file exe prinsipnya sama dengan winrar atau winzip),
caranya tekan f8(trace over) sekali hingga nilai ESP berubah.. kemudian
klik kanan pada ESP>>follow in dump.
Kita
akan dibawa ke alamat 0012FFA4 pada dump window disebelah kiri bawah.
kemudian blok 4 byte pada alamat tersebut beri hardware breakpoint
dengan cara klik kanan>>breakpoint>>hardware, on
access>>dword.
Setelah itu tekan f9(run), kita akan berhenti pada alamat ini
00563A23 - E9 3811F4FF JMP 004A4B60
jump
ini merupakan jump menuju OEP(original entry point), (info: OEP adalah
awal dari program yang telah di unpack di dalam memori). tekan f8
sekali lagi, maka kita berada di EOP program, ingat alamatnya.(info:
pada komputer anda mungkin alamatnya tidak sama)
Dari sini, kita
dapat membuat dump dari program yang telah di unpack di memori menjadi
file exe dengan bantuan plugin OllyDump.... caranya klik
kanan>>dump debugged process... akan muncul dialog box seperti
ini...
uncheck
rebuild import (karena kita akan melakukannya dengan ImpREC dan juga
karena ollydump sering memberi hasil yang kurang memuaskan
), kemudian klik saja dump...beri nama dump.exe dan save...(info: saat
ini dump.exe ini tidak akan berjalan sebagaimana mestinya )
2.
Buka ImpREC, kemudian klik pada attach to an active process, pilih file
quickbfc.exe (info: quickbfc saat ini berjalan pada ollydbg).. kemudian
isikan alamat EOP program (karena olly berjalan pada virtual address
400000 maka kita harus mengurangkan alamat EOP dengan 400000 =
004A4B60-00400000=000A4B60, klik IAT auto search, kemudian klik get
imports, dan klik fix dump...pilih file dump.exe tadi.. sekarang file
dump.exe telah dapat berjalan sebagaimana mestinya pada file dump_.exe
(info: hapus dump.exe karena kita tidak menggunakannya lagi )
Patching Program:
Akhirnya
kita sampai juga pada acara yang kita tunggu-tunggu yaitu cracking
program... buka file dump_.exe tadi kemudian f9(run).  Setelah
program berjalan, buka registrasi pada program quickbfc pada
help>>register, isikan dengan nama X-Bite dan Licence Key
1111222233334444, jangan pencet regiter dulu. Kembali pada olly klik
kanan>>search for>>all referenced text string .... kemudian
scroll keatas dan klik kanan search for text "Registration Successful!"
(info: kata yang muncul jika registrasi berhasil, saya tahu karena saya
telah mencobanya ) dobel klik pada text yang di temukan kita akan terlempar ke kode assembler pada badan program..
004A2FAE . 8B15 D0B14A00 MOV EDX,DWORD PTR DS:[4AB1D0]
004A2FB4 . A1 CCB14A00 MOV EAX,DWORD PTR DS:[4AB1CC]
004A2FB9 . E8 7EF9FFFF CALL 004A293C ; call yang menentukan nilai al
004A2FBE . 84C0 TEST AL,AL ;tes apakah valid atau tidak
004A2FC0 . 74 35 JE SHORT 004A2FF7
004A2FC2 . 6A 00 PUSH 0 ; /Arg1 = 00000000
004A2FC4 . 66:8B0D FC2F4A00 MOV CX,WORD PTR DS:[4A2FFC] ; |
004A2FCB . B2 02 MOV DL,2 ; |
004A2FCD . B8 08304A00 MOV EAX,004A3008 ; |ASCII "Registration Successful!" ;kita disini
004A2FD2 . E8 4D05F9FF CALL 00433524 ; \dump_.00433524
004A2FD7 . 8B83 70030000 MOV EAX,DWORD PTR DS:[EBX+370]
004A2FDD . 8B80 08020000 MOV EAX,DWORD PTR DS:[EAX+208]
004A2FE3 . BA 01000000 MOV EDX,1
004A2FE8 . E8 1FDEF9FF CALL 00440E0C
004A2FED . BA 2C304A00 MOV EDX,004A302C ; ASCII "Registered version"
004A2FF2 . E8 71DDF9FF CALL 00440D68
004A2FF7 > 5B POP EBX
Tidak
seperti tutorial sebelumnya, kali ini kita akan mencoba menerawang
lebih dalam pada call 4A293C (info: dapat kita lihat jika call ini
dipanggil sebanyak empat kali pada alamat "Local calls from 004A091B, 004A2FB9, 004A3AC1, 004A427E") sehingga jika kita meng-nop-kan conditional jump, kita harus melakukan 4 patching pada 4 call tersebut), kita akan menggunakan cara lain yang lebih efisien ...dimana
kita akan merubah nilai al yang menentukan valid tidaknya licensi
program yang kita berikan didalam call tersebut sehingga 4 call yang
memanggilnya akan menerima al=1(registered)... set breakpoint(F2) pada
alamat 004A2FB9.. kembali pada program quickbfc, pencet register
(mungkin programnya sudah capek nunggu di register ).... Hups... program break pada alamat tadi.. teken F7(step into) untuk masuk kedalam call 4A293C...
004A293C /$ 55 PUSH EBP ;call 4a293c
004A293D |. 8BEC MOV EBP,ESP
004A293F |. 33C9 XOR ECX,ECX ; antara alamat 004A293F sampai 004A29D5 saya potong karena terlalu banyak
004A29D5 .^E9 CE15F6FF JMP 00403FA8
004A29DA .^ EB E3 JMP SHORT 004A29BF
004A29DC 8BC3 MOV EAX,EBX ; al di set disini, dimana ebx bernilai 0
004A29DE . 5E POP ESI
004A29DF . 5B POP EBX
004A29E0 . 8BE5 MOV ESP,EBP
004A29E2 . 5D POP EBP
004A29E3 . C3 RET
Saat saya trace over (F8) dan melewati beberapa loop yang panjang ,
saya menemukan kalau register AL diset pada alamat 004A29DC (MOV
EAX,EBX ) dimana nilai EBX adalah 0..... jadi bagaimana cara membuat AL
menjadi 1 agar kita menjadi registered user???.. caranya mudah..
assemble(spasi) saja program menjadi mov al,1(2 byte)... perhatikan
disini mov eax,ebx hanya 2 byte sehingga jika kita mengganti dengan mov
eax,1 (5 byte) perintah dibawahnya akan tertimpa.. dan program akan
hang atau error...
Sesudah mengganti MOV EAX,EBX menjadi MOV
AL,01 ...coba pencet F9(run).. maka kita akan mendapat pesan
"Registration Successful!" (masih ingat pesan ini? ) kita juga akan melihat tanda UNREGISTERED COPY pada sudut kanan bawah telah menjadi Registered Version...LOL 
Untuk
menyimpan perubahan yang kita lakukan, Klik kanan>>Copy to
executable>>All modifications>>copy all>> klik
kanan>>save file>> beri nama Quickbfc.exe>>save...
tutup olly tersayang kita
Jalankan program tersebut, klik help>>register
Registered Version... Program is Cracked...
segala cacian, makian, pujian, saran dan kritik kirimkan ke [email protected]
Greetz and Thanks to:
Semua Penulis tutorial tentang cracking, thanks all, without you i'll never grew up like this
Semua Pembaca yang telah melek menemani sampai akhir tulisan ini
Semua REVERSER Indonesia, bravo....
Semua Temen-temen yang membantu
Sis yang nun jauh disana
5839 kali dilihat -
Lihat komentar (15)
|
|
Jasakom 
Malaysia bikin ulah lg nih, gmn ngjak perang cyber lg? Indonesia Deface Community
2nd, ngantukk
Woww.... tapi koq ada tulisan buy now-nya???
http://n0c0py.uni.cc
Guud....
Bagi temen2 yang mengirim mail ke gw.. mohon maaf klo belum sempet bales.. hehe.. tapi gw usahain semua dibales deh.. tengkyu
CyberWorld......Amazing ,...Para master"
Please Teach meHow ToCome a Hacker..!!!!
temen² jangan lupa mampir di blog q ya:
http://www.pirate-unsecure.co.cc/
Wah.. bikin virus dengan perintah CMD artikelnya ternyata ga ada dijasakom versi baru
http://rapidshare.com/files/69811178/Bikin_Virus_Dengan_Perintah_CMD_files.rar.html
hmm.. sepertinya artikel ke-3 gw di sensor.....
thats a good article, kk kalo aku boleh tau, ada buku yang buat belajar bahasa yang digunain ollydbg g? atau g link nya aja, thanks sebelumnya....
haz
wow..... maju terus hacker indonesia
XBite...boleh tau email kmu nggak???
paten bOz>>>
mas x-bite, minta ImpRECnya dong..
ne e-mailq, [email protected]
baru belajar neh, jadi lebih banyak butuh bimbingan..
thanx yah sebelumnya...
pucink.gue bacanya !!!!!