Micro Burner 4.0.6
From UIC
Micro Burner 4.0.6
Contents |
| Infos | |
|---|---|
| Author: | Johan Padan |
| Email: | |
| Website: | Home page |
| Date: | 26/01/2006 (dd/mm/yyyy) |
| Level: | 
|
| Language: | Italian 
|
| Comments: | |
Introduzione
SilentNight Micro CD Burner version 4 is a handy little tool that is able to burn CD/DVD/ISO and AUDIO formats. 1. This burner does NOT need any installation. 2. It is one single executable file, no dll`s or anything else needed. 3. It dont even need windos aspi layer as it has its own inbuildt. 4. The complete size of the program is way under 1 mb. 5. You can even run the program directly from a CD/DVD 6. It is freeware, but it can be registered for further improvements.
Tools & Files
URL o FTP del programma
Essay
Apriamo il programma e registriamoci giusto per ottenere il fatidico: " Nah whats the point in cheating". Partiamo con PeId per ricavare le informazioni di base:
1. OEP 0054C5A0
2 wwPack32 1.x Piotr Warezak versione 1.12 (1998)
La prima cosa da fase è unpackare il programma. Apriamo il programma con Olly lo facciamo partire (F9) e usiamo il plug-in per dumpare il processo inserendo come OEP quello precedentemente trovato (0054C5A0-400000=14C5A0) e togliendo il flag a Rebuild Import in quanto faremo la ricostruzione tramite ImpRec. Tenendo aperto OllyDbg facciamo partire ImpRec anche qui mettiamo come OEP 14C5A0 clicchiamo su IAT AutoSearch e GetImports ottenendo per tutte le funzioni importate il messaggio di "yes" a questo punto possiamo fissare il dump ("FixDump).
Il nuovo file dumped.exe funziona a meraviglia! Riapriamo il file con Peid e scopriamo che il programma è scritto in Delphi. Perché non usare DeDe per scoprire la routine che gestisce il seriale ? Peraltro DeDe fallisce, impossibile!! È vero avrei dovuto usare FixRes in quanto sto lavorando su di un programma dumpato.
Riapro il file con PeId e scopro tramite il plug-in KryptoAnalyser: BASE64 table 0011FDD8::0051FDD8 BASE64 encoding (used e.g. in emails -MIME) Detected 1 crypto signature.
Pazienza, qui le mie conoscenze si fermano cercherò il seriale nel modo standard.
Riapriamo i programma con Olly e facciamo una ricerca per stringhe trovando immediatamente il messaggio dato inizialmente "Nah whats the point in cheating" e poche istruzioni sopra " Registered version".
La prima soluzione è noppare la sotto indicata istruzione in modo che il programma si registri con qualsiasi serial.
0054A8FE NOP
salvo il programma tramite Olly e faccio ripartire, sono registrato.
A questo punto se voglio cercare il serial corretto devo eliminare la registrazione dal programma; per cui tramite Regmon individuo le chiavi di registro dove compare il nome e il serial fittizi e li elimino.
HLM/SOFTWARE/SILENTNIGHT_MICRO4.
Se voglio individuare le sezione di programma che controlla il serial credo che la call all'indirizzo 0054A8F7 sia la più probabile visto che all'istruzione precedente passa come parametro il mio serial.
All'istruzione 00404F00 verifica che sia presente in EAX la sua stringa "SNIEW-" mentre all'istruzione 00404F04 verifica che sia stato inserito un qualsiasi serial diversamente il JE ci butta immediatamente fuori routine. All'istruzione 00404F0F mette in ECX la lunghezza del mio serial, mentre all'istruzione 0040F13 mette in EDX la lunghezza della sua stringa "SNIEW-" pari a 6. A 0040F16 decrementa EDX che a questo punto vale 5. Se la lunghezza del mio serial è minore di 5 il prog mi porta a exit. A 0040F19 mette il AL il primo byte della stringa "SNIEW-" a 00404F1C sottrare dalla lunghezza del mio serial la lunghezza della sua stringa (5) e se minore allora exit. A 0040AF20 REPNE viene confrontato il valore presente nell'accumulatore AL (pari a ‘S' primo char della sua stringa) con il primo char del nostro serial, se non è uguale allora exit. A 00404F28 MOV ECX, EDX mette in ecx la lunghezza della sua stringa e diventa contatore per l'istruzione successiva REPE CMPS.. in pratica verifica che siano uguali gli altri 5 char. Arrivo, in questo modo, a 0054A8FC con EAX = 1 e vengo registrato.
In pratica ci si registra con qualsiasi serial purchè inizi con "NIEW- ".
Note Finali
Un bacio a N. moglie perfetta ed impareggiabile amante!!!!!
Disclaimer
I documenti qui pubblicati sono da considerarsi pubblici e liberamente distribuibili, a patto che se ne citi la fonte di provenienza. Tutti i documenti presenti su queste pagine sono stati scritti esclusivamente a scopo di ricerca, nessuna di queste analisi è stata fatta per fini commerciali, o dietro alcun tipo di compenso. I documenti pubblicati presentano delle analisi puramente teoriche della struttura di un programma, in nessun caso il software è stato realmente disassemblato o modificato; ogni corrispondenza presente tra i documenti pubblicati e le istruzioni del software oggetto dell'analisi, è da ritenersi puramente casuale. Tutti i documenti vengono inviati in forma anonima ed automaticamente pubblicati, i diritti di tali opere appartengono esclusivamente al firmatario del documento (se presente), in nessun caso il gestore di questo sito, o del server su cui risiede, può essere ritenuto responsabile dei contenuti qui presenti, oltretutto il gestore del sito non è in grado di risalire all'identità del mittente dei documenti. Tutti i documenti ed i file di questo sito non presentano alcun tipo di garanzia, pertanto ne è sconsigliata a tutti la lettura o l'esecuzione, lo staff non si assume alcuna responsabilità per quanto riguarda l'uso improprio di tali documenti e/o file, è doveroso aggiungere che ogni riferimento a fatti cose o persone è da considerarsi PURAMENTE casuale. Tutti coloro che potrebbero ritenersi moralmente offesi dai contenuti di queste pagine, sono tenuti ad uscire immediatamente da questo sito.
Vogliamo inoltre ricordare che il Reverse Engineering è uno strumento tecnologico di grande potenza ed importanza, senza di esso non sarebbe possibile creare antivirus, scoprire funzioni malevoli e non dichiarate all'interno di un programma di pubblico utilizzo. Non sarebbe possibile scoprire, in assenza di un sistema sicuro per il controllo dell'integrità, se il "tal" programma è realmente quello che l'utente ha scelto di installare ed eseguire, né sarebbe possibile continuare lo sviluppo di quei programmi (o l'utilizzo di quelle periferiche) ritenuti obsoleti e non più supportati dalle fonti ufficiali.
