Cyber-Info WebMail Notify v2.7

Cyber-Info WebMail Notify v2.7
İlk Söz:Benim anlattıklarımı yapmadan önce lütfen softice ile ilgili yazıyı iyi okuyun ve işin mantığını anlayın.Azıcık assembly de öğrenirseniz olayı kavradınız demektir.Softice ile alakalı turkish scene deki yazıyı okuduysanız programı kırmaya başlıyabiliriz.

Programın İsmi Cyber-Info WebMail Notify v2.7
Program Tipi Web tabanlı(Hotmail, Yahoo, Net@dress, iName )emailleri kontrol etmenize yarar
Program Koruması Program 30 günlük deneme süresi var.Programın ne kadar çalıştırıldığı ve eğer kayıt
olursanız isim ve serial Windows\System\hotreg2.set dosyasına yazılıyor.
Gerekli Araçlar Softice v3.25 Windows 9x/NT, Ultraedit,Hiew vb hex editor, W32DASM v8.9(opsiyonel)

Programı açıyoruz.Bizi rahatsız edecek tek şey 30 günlük deneme sürümü olması.Biz biraz daha denemek için kayıt olmayı deniycez.Registration i tıklıyoruz isim olarak Mister Stop serial olarak da 123456789 yazıyoruz.(Serial olarak bilerek 123456789 yazıyorum.Eğer program mesela seriali üçüncü rakamından doğru okumaya başlarsa ben bunu rahatlıkla yakalayabilirim).Ok tuşuna basmadan önce softice a geçiyoruz.Şimdi bilidiginiz üzere breakpoint koyucaz.Serial ile alakalı koyacağımız iki breakpoint vardı getdlgitemtexta ve getwindowtexta.Softice a CTRL+D ile geçiyoruz.bpx getdlgitemtexta yazıp entere basıyoruz.sonra bpx getwindowtexta yazıp entere yine basıyoruz.Su an biz ne yaptik ?.Softice a dedik ki bak softcum eğer bir program benden izinsiz getdlgitemtexta veya getwindowtexta ile benim yazdigim seriali okursa onu durdur.Bunlari yazdıktan sonra CTRL+D ile veya F4 veya x sonra entere basarak Softice dan çıkıyoruz.Şimdi Ok tuşuna basıyoruz.Program bize serialin geçersiz oldugunu soyluyor.Biz hemen CTRL+D ile yeniden softice a geçiyoruz.Softice niye durdurmadın diye bir firça atıyoz.Bakıyoruz ki bu program seriali başka sekilde okuyor.(Program delphi ile yazılmış)Bizde en baba breakpointi koyuyoruz.bpx hmemcpy.(Hmemcpy demek high memory copy demek.Yani eğer yüksek bellekte bir işlem olursa dur diyoruz.)Break pointleri bc * ile temizliyoruz.Sonra bpx hmemcpy yazıp entere basıyoruz.Sonra CTRL+D ile softice dan çıkıyoruz.Program ekranında yine OK tuşuna basıyoruz.Boom softice in içindeyiz.Hemen bd * ile breakpointi dissable(geçersiz) ediyoruz.Bu breakpoiniti dissable etmezseniz işin içinden çıkamazsınız çünkü program hep bu fonksiyonla birşeyler yapar kısır döngüye eskilerin deyimiyle fasit daireye girersiniz.(Vayt be ! ne türkçe var bende).Şimdi artık kodu takip edicez.Şu an biz hala program kodunun içinde değiliz.Sizin softice ekranı şöyle bir şey kabaca;



Şimdi arkadaşlar bizim dikkat etmemiz gereken bir nokta var biz su an hala KERNEL deyiz yani cieweb programının içinde değiliz.Bunu nasil anlıyoruz ?Data windowun sağ üst köşesinde yazan göstergeden anıiyoruz.Benim data pencerem yok mu diyosunuz ?.O zaman wd yazıp enetere basın.Register windowu için wr location windowu için de wl.Bunların zaten açık olması lazım.Benim yazdığım softice yazısında bunlar açıklanmıstı.Biz yine programa dönelim.Şu an biz program kodunun içine girinceye kadar F12 tusuna basıyoruz(7 defa galiba).Data windowunun sağ üst köşesinde CIEWEB! gibi bir şey gördüğünüz zaman artık F12'e basmayı bırakıyoruz.Artık programın içindeyiz kodu basamak basamak çalıstıracağız bunun için de F10 tuşuna basıyoruz.Serialimizi program mutlaka bir yerlere kopyalıyacak.Bu yüzden biz gördüğümüz her mov veya lea dan sonra d ile ordaki memory i kontrol edicez.Mesela mov eax, dword ptr [0052AAC8] bunu F10 ile geçtikten hemen sonra d eax yapıyoruz.Bunu gördüğümüz bütün lea ve mov komutları için yapıyoruz.Sonunda şöyle bir yere geleceksiniz.

:004D70B3 E83C8A0000 call 004DFAF4 ;Seriali Hesapla
:004D70B8 8B55F4 mov edx, dword ptr [ebp-0C] ;edx = serial
:004D70BB 58 pop eax ;eax = yazdığımız serial (d eax yazin sizde goreceksiniz)
:004D70BC E8E3C9F2FF call 00403AA4 ;Seriali Karşılaştır
:004D70C1 0F94C0 sete al
:004D70C4 84C0 test al, al
:004D70C6 0F84A5000000 je 004D7171 ;Serial yanlışsa hata mesajını ver

004D70B8 satırını F10 ile geçtikten sonra d edx yazarsak gerçek seriali bulmuş oluruz.Şimdi siz diyorsunuz ki yaw arkadaş ben şimdi arkadasa hava atcam bir keygenarator felan yapsak olmaz mı ikide bir softice ile F10 a basmak kasıyo.Bende emrin olur abi diyorum.Bu programın bize hata mesajı yerine kendi serialini söylemesine ne dersiniz ?

Dikkat ettiyseniz 004D70C6 deki komut bizi hata mesajına yolluyor.Evet biz de o kod da neler var bir bakalım.F10 ile devam edelim şöyle bir yere geleceksiniz.

:004D7171 833DCCDA520003 cmp dword ptr [0052DACC], 00000003
:004D7178 7521 jne 004D719B
:004D717A 6A00 push 00000000
:004D717C 668B0DF8714D00 mov cx, word ptr [004D71F8]
:004D7183 B201 mov dl, 01

* Possible StringData Ref from Code Obj ->"Registration failed"

:004D7185 B8B0724D00 mov eax, 004D72B0
:004D718A E8D1DCF5FF call 00434E60
:004D718F C7832801000002000000 mov dword ptr [ebx+00000128], 00000002
:004D7199 EB20 jmp 004D71BB

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004D7178(C)
|
:004D719B 6A00 push 00000000
:004D719D 668B0DF8714D00 mov cx, word ptr [004D71F8]
:004D71A4 B201 mov dl, 01

* Possible StringData Ref from Code Obj ->"Invalid name and/or password"

:004D71A6 B8CC724D00 mov eax, 004D72CC
:004D71AB E8B0DCF5FF call 00434E60
:004D71B0 8B83B8010000 mov eax, dword ptr [ebx+000001B8]
:004D71B6 8B10 mov edx, dword ptr [eax]
:004D71B8 FF5278 call [edx+78]

Korkmayın size bu kodun ne manaya geldiğini anlatıcam.Çok basit bir şey aslında.Dikkat ederseniz 004D7185 satırını geçtiğinizde d eax yazarsaniz Registration Failed yazısını görürsünüz.Ayrıca 004D71A6 satırını gectikten sonra d eax yazarsaniz bu sefer de Invalid name and/or password yazısını görürsünüz.004D7171 satırındaki kodda program eger 3 kerede registerlanamamiş ise sizi programın anasayfasına yönlendiriyor.Şimdi diyceksiniz ki bu kadar kod ne işimize yarıyacak.Hatırlarsanız, bizim gerçek serialimiz şu şekildeki bir koddan sonra hesaplanıyordu :004D70B8 8B55F4 mov edx, dword ptr [ebp-0C] yani ebp-0C den gerçek seriali al edx e ata.Şimdi 004D71A6 ve 004D7185 satırlarında ne oluyo peki 004D72CC ve 004D72B0 adreslerinde yazan şeyleri eax a ata.Eğer biz eax i [ebp-0C] den atarsak o zaman bize hata mesajı yerine gerçek seriali söyliyecek.Buraya kadar inşallah kayıpsız anlamışşınızdır.Bir daha tekrar ediyorum, program gerçek seriali [ebp-0C] bölgesinden alıp edx e atıyor.Program hata mesajlarını oluşturmak için farklı iki yerden hata mesajlarını alıp eax e atiyor.Biz hata mesajı yerine bize seriali söylemesini istiyoruz.Bu yüzden de eax e hata mesajı yerine seriali atıyacaz.Şimdi artık hex editorle programi kıracaz.Ben hiew i çok seviyorum.Çünkü assembly şeklinde de edit edebiliyorsunuz.Hiew ile programı açmadan önce programın yedeğini alıyoruz herzaman olduğu gibi.Sonra hiew ile cieweb.exe dosyasını açıyoruz ve iki defa entere basarak decode moduna geçiyoruz..Şimdi mesele bizim hata mesajının olduğu yeri bulmak.F7 ile search yapıcaz.F7 e basıyoruz kürsörü aşagıya çekerek hex kısmina geliyoruz ve şunu yazıyoruz. 833DCCDA52000375216A00 668B0DF8714D00B201 Şimdi bu da nerden çıktı diyebilirsiniz.Bu kod 004D7171 satırından itibaren ki komutlar silsilesi.Hiew bulacaktır.Karşımızda şöyle bir şey olacak.




Sizin de anlayacağınız üzere biz 004D7185 ve 004D71A6 daki eax degerlerine bizim seriali atıyacaz yani oraya mov eax, [ebp-0C] yazıcaz.Şimdi kürsörü 004D7185 satırına getiriyoruz.Sonra F3 tuşuna basarak edit etmeye başlıyoruz.Şimdi biz mov eax, [ebp-0c] nin kodunu bilmedigimiz için bir defada F2 ye basıyoruz edit ederken.Yani bir kere F3 sonra F2 karşımıza şöyle bir ekran çıkacak



Şimdi biz bu mov eax,004D72B0 yerine mov eax,[ebp-0c] yazıcaz.Evet delete tuşu ile siliyoruz. ve virgulden sonra [ebp-0c] yazıyoruz.Amanın o da ne bütün kod karıştı.Çünkü mov eax,[ebp-0c] 3 byte lık bir kod fakat bizim degistirdigimiz mov eax, 0004D72B0 ise 5 bytelık bir kod.Bizim şimdi bu iki byte i bir şekilde doldurmamiz lazim.O yüzden iki tane nop koyucaz (nop demek no operation yani hiç bir sey yapma demek).Yani mov eax, 0004D72B0 olan yere biz mov eax,[ebp-0c] yazıyoruz sonra nop sonra bir daha nop ve F9 ile update ediyoruz.Bu yaptığımızın aynısını 004D71A6 da da yapıyoruz. sonra F9 ile dosyayı kaydedip programdan çıkıyoruz.Şimdi programı açın ve isminizi ve sallama bir serial yazın program size hata mesajı yerine seriali söyliyecektir.Evet tebrikler ilk keygeneratorunuz yaptınız.Eğer yine yapamadım diyorsanız şunları arayın ve şu şelilde değiştirin
B8B0724D00 ı bulun yerine 8B45F49090 yazın
B8CC724D00 ı bulun yerine 8B45F49090 yazın

Not:Arkadaşlar Softice,W32Dasm ve Hiew kullanılışını bir zahmet öğrenin bunun için Turkish Scene'in eski sayilarına bakabilirsiniz.Ben bu yazıyı benim gibi lamer olanlara yazdım bu yüzden yazıda bazı hatalar veya anlatım bozuklukları olabilir.Eğer hata bulursanız bana email atın düzeltmeye çalışırım.

Programları kırarak korsan program kullanmayın, etrafta zaten bir sürü warez sitesi var ayrıca ararsanız genelde bütün programların crackları da mevcut.Kendinizi boş yere heba etmeyin.Bir programı gerçekten kullanıyorsanız onu satın alın. Micro$oft programları hariç tabiki