Pages

Selasa, 04 Mei 2010

[Tutor]Simple Penggunaan Ollydbg

Sesuai dgn judul, saya mau memberikan sebuah trik kuno sederhana utk mendapatkan serial number pd sebuah program. Dimana program yg akan dijadikan "percobaan" adalah program CD-Lock. Bagi yg belum punya silahkan download di situsnya : http://www.cd-lock.com/ atau di http://www.pc-magic.com/

Kemudian kita membutuhkan sebuah program debugger dan disassembler 32bit utk melihat strings dari program tersebut. Disini aq akan menggunakan OllyDBG v1.10, yg bisa didapat di : http://www.ollydbg.de/



Langkah" nya

1. Install program CD-Lock. Kemudian buka OllyDBG, klik open, dan pilih file cd-lock.exe
Setelah itu anda akan melihat tampilan dalam assembly, Hexa, dsb.
Posted Image

Sebelum itu ada baiknya Anda mem-backup terlebih dahulu file cd-lock.exe agar Anda bisa mengulang lagi jika Anda mengalami kesalahan.
 2. Skrg kita sudah masuk ke dalam "dunia angka dan instruksi assembly" :D
Disini kita akan melakukan tracing Serial Number.. silahkan klik kanan mouse, next pilih 'Search for”, lalu pilih "All referenced text strings".
Posted Image



3. Silahkan gulir mouse anda ke bagian paling atas sampai mentok. Kemudian klik kanan, pilih "Search for text”, kalo sudah ketikkan "3007", jangan check menu "Case sensitive", lalu klik "OK". Kalo belum ketemu tekan CTRL+L terus sampai Anda mendapatkan hasil seperti gambar dibawah ini (lihat UNICODE yang aq blok)
Posted Image

Percaya atau tidak, angka itu adalah Serial Number asli CD-Lock yang ternyata disimpan dalam program, dan selalu diakses memori. Mudah bukan ?? Silahkan catat beberapa Serial Number yg tertera disitu (3007-2733-2584-0445, dll).


4. Coba anda jalankan program CD-Lock, dan masukkan serial number itu. Berhasil ?
iya itu akan berhasil, tp hanya utk "sesaat"...
Coba anda exit program CD-Lock, kemudian jalankan kembali. Program tsb pasti akan minta register lagi....

Mungkin anda akan bertanya kok serialnya meskipun valid tapi ga bisa FULL WORKING ?? Ya, tentu aja sebab itu serial yang sengaja di-listing oleh vendor agar ga bisa dipake lagi oleh orang-orang seperti kita. Serial itu hasil dari brute force cracking :)


5. Ok... selanjutnya gmn cara utk menghilangkan proteksi itu ? caranya begini,
Coba Anda buka OllyDBG lagi, Ulangi seperti langkah cracking pada point no.2. Kalo sudah Anda gulir ke bagian paling atas sampai mentok (Ingat yang paling atas !!). Kemudian klik kanan, pilih "Search for text", kalo sudah ketikkan "3007", jangan check menu "Case sensitive", lalu klik "OK"... Anda akan menjumpai tampilan seperti pada gambar dibawah ini :
Posted Image



6. Setelah itu klik 2X pada address yang aq blok. Anda akan berada pada editor disassembly.
Posted Image


Kalo sudah sampai situ, coba anda blok seperti pada gambar dibawah ini, caranya pake SHIFT+Klik atau SHIFT+↓
Posted Image



7. Kemudian kita akan melakukan Patching.
Klik kanan pada address yang sudah di-blok tadi kemudian pilih "Binary", lalu pilih "Fill with NOPs" (lihat gambar dibawah).
Posted Image


Sekedar info, kenapa seh koq diganti pake NOP ??
Dalam assembly NOP itu ibaratnya exist but ga boleh diproses agar nanti pengecekan cuma numpang lewat aja pas proses pengecekan Serial....;)
Posted Image
8. Kalo sudah sekarang simpan hasil [JaMu] dengan cara klik kanan pilih "Copy to executable", lalu pilih "All modifications".. kalo ada tampilan box klik aja "Copy all".
Posted Image


Setelah itu akan muncul jendela kecil. Coba Anda klik kanan disitu pilih "Save file" trus pilih save kalo ada konfirmasi overwrite pilih "Yes".
Posted Image


9. Kalo sudah, coba Anda jalankan program CD-Lock dan register dengan serial "3007-2733-2584-0445".
Gmn, bisa register kan ? Coba Anda exit lalu jalankan lagi Cd-Lock, gimana ? Gak ada Nag screen yang minta register lagi kan..?? ;)

Kalo masih gak yakin, coba Anda lihat di menu About dan Your registration key... Ehm, Akhirnya bisa juga punya software keren tanpa harus korupsi... :))


Sekedar catatan jangan hiraukan address yang ada pada scene, konsen aja ke-isi-nya coz berdasar percobaan di beberapa komputer terdapat perubahan address maklum assembly. Aq cantumkan juga Serial Number yang lain sebagai referensi : 8006-4339-9503-0586, 1006-5337-5200-2481, 7006-7238-3180-4481, 8008-3936-7219-0335, 7007-6235-6645-3247, 3007-2733-2584-0445, 4006-7937-7115-4298, 6906-7831-2825-4482.
Teknik [JaMu]-nya sama cuma UNICODE patch-nya aja yang beda, tergantung serial mana yang mau dipake.
Kalo Anda mau bikin [JaMu] terserah, dari Listing Serial khan bisa dipake dan dicari Algoritma-nya..
Tempat penyimpanan Serial CD-Lock ini setelah diregister ada di C:\WINDOWS dengan nama cd-lock.ini





CREDITS : NeMeSiS_ByTe

====================================================================================================

Next Tutor.. How To Inject With OllyDbg..
kali ini kita coba denga File winmine.exe atau game dari windows yang menjinakkan ranjau ranjau itu loh..tau kan biasanya ada di direktori:

C:\windows\system32\

Dengan nama file winmine.exe


Okay sekarang kita coba menginjek permainan tersebut, jika km berhasil menginjeksi file winmine.exe yang aslinya aplikasi tersebut kalau di-klik 2 kali file-nya akan muncul seperti gambar berikut:
Posted Image


nah kalau km dah melakukan injeksi maka akan muncul aplikasi sbb :
Posted Image




oke mari kita melangkah kelangkah selanjutnya, metode menembus system.. ok langsung aja caranya:

1. Setelah mendownload Ollydbg dari situs www.ollydbg.de , extract file ollydbg tersebut, kemudian buka, maka akan muncul aplikasi seperti pada gambar di bawah ini:
Posted Image



2. Setelah itu klik di aplikasi ollydbg tersebut menu File -> Open , cari file winmine.exe yang ingin diinjeksi
Posted Image


3. Nah .. kalau udah kebukak…maka ollydbg akan menampilkan dalaman, atau sourcecode winmine.exe dalam bahasa assembler tentunya seperti gambar berikut:
Posted Image

4. Langkah selanjutnya adalah mencari CAVE apa itu cave??? Umh.... di tiap aplikasi yang dibuat, pasti ada ruang kosong yang entah sengaja disediakan atau memang tidak sengaja ada. CAVE adalah ruang kosong yang mempunyai kode ‘DB 00’ atau berarti kosong, nah dari ruang kosong inilah kita akan mencoba menginjeksi tanpa harus membuat aplikasi tersebut rusak, sehingga ketika aplikasi asli dijalankan, script virus kita dapat berjalan juga …, cave ini letaknya tidak tentu, bias diawal, di tengah atau di akhir baris program, tapi biasanya ada di akhir program, coba sekarang kita geser aplikasi tersebut ke baris paling bawah, maka ada ruang cave-nya seperti pada gambar berikut:
Posted Image 
5. Setelah ketemu cave-nya, letakkan kursor km di bawah skrip ’ DB 00’ atau setelah cave pertama, seperti pada gambar, kemudian tekan tombol keyboard ke bawah sebanyak 20 kali, fungsiny disini untuk memesan alamat sebanyak 20 ruang (yang dipesan akan ditandai dengan blok atau shading berwarna abu abu):
Posted Image

6. Setelah itu tekan CTRL + E, maka akan muncul kotak sbb:
Posted Image

7. Isi kotak tersebut dengan kaliamat atau apa gitu, teserah km aja, kalau saya sih lebih suka kalimat TES AJA GITUH, setelah itu klik OK, maka akan terlihat di sana skrip yang diedit akan berwarna merah. Jangan panik, biarkan saja, kemudian tekan CTRL + A agar ollydbg bisa menganalisis skrip tersebut, jika benar, maka di badan program akan ditampilkan tulisan yang km tulis tadi.
Posted Image
setelah di CTRL+A
Posted Image


8. Setelah itu arahkan kursor dibawah skrip yang diedit tadi, dan klik 2 kali, maka akan muncul kotak sbb:
Posted Image


9. Lalu ketik ‘PUSH 0’ (tanpa tanda petik, kemudian klik tombol Assemble
Posted Image



10. Lakukan seperti langkah di atas, Cuma bedanya kalimat yang diketik berbeda, yaitu:

PUSH ADDRESS
PUSH ADDRESS
PUSH 0
Call user32.MessageBoxA

CATATAN:Pada skrip PUSH ADDRESS tadi, kata ADDRESS-nya diganti alamat yang lo tulis kalimat pertama tadi, alamatnya dilihat di sebelah kiri, seperti yang ditunjukkan pada gambar:
Posted Image


11. Jika sudah tertulis semua seperti pada gambar di bawah ini:
Posted Image
tekan tombol bintang atau * pada keyboard, maka ollydbg akan menunjukkan alamat origin atau alamat pertama kali program ini akan dijalankan ketika dibuka, ditunjukkan pada blok atau shading berwarna abu - abu :
Posted Image


Bisa dilihat alamat origin berada pada 01003E21 dengan script PUSH 70

12. Klik 2 kali pada alamat tersebut, kemudian ganti dengan script:
JMP ADDRESSPERTAMA
Dimana ADDRESSPERTAMA adalah alamat script PUSH 0 pertama terletak, yaitu pada alamat 01004A64 , sehingga lo harus menuliskannya dengan:

JMP 01004A64
Posted Image



13. Selanjutnya perhatikan baris yang telah kita ubah (berwarna merah), dibawahnya ada script:

01003E26 90 NOP

Hapalkan atau catat di notepad alamat 01003E26, kemudian arahkan kursor ke baris akhir kode injeksi, yaitu terletak pada bawahnya script CALL user32.MessageBoxA

14. Klik 2 Kali pada alamat tersebut, kemudian tulis script:

JMP ADDRESSKEDUA

Dimana ADDRESSKEDUA adalah alamat yang lo hapalkan atau lo catat di notepad tadi, yaitu 01003E26, sehingga lo harus menuliskannya sbb:

JMP 01003E26
Posted Image

15. Selesai sudah injeksi kode dengan manual, klik kanan mouse lo, kemudian pilih Copy to executable -> All modifications , kemudian klik copy all, maka akan muncul kotak baru, kemudian klik kanan dan klik Save File, dan simpan dengan nama lain, misalnya winmineinjek.exe

16. Jalankan file winmineinjek.exe, apa yang terjadi..? km berhasil menginjeksi game winmine mengubahnya menjadi tampilan message box atau kotak pesan, nah itu baru menginjek dengan skrip kotak pesan atau message box, gimana kalau menginjeknya dengan mengaktifkan program..
silahkan di coba sendiri..

credits : moTsCoolZ & bo_boho