Volatility CrackersConvert v1.0
by NightCat//TFT
Инструменты: SoftIce, W32Dasm
Музыка     : Deobe/Dena - Tem czas w tym miescu(позитив прёт отовсюду!)

Программка представляет собой  простенький числовой  конвертор, который
иногда  может быть довольно полезен. Я вообще  не собирался  ломать эту
программу, но одна... да-да, одна ДЕВУШКА  попросила. На кой чёрт он ей
сдался понятия не имею, старая вещь, антиквариат. =) Но раз  уж сломал,
то  и тутор написать решил. Всё очень просто, сами увидите.

Итак,  запускаем   программу  и  сразу  же  выскакивает наг  с  текстом
"Unregistered Version".  На  окошке  внизу  есть  надпись Unregistered.
Заходим в about и видим кнопочку register, там  поля  для  регистрации.
Будем исследовать. =)

Предлагаю  два варината: найти серийник или пропатчить. Сначала давайте
найдём серийник.

Нужно кое-что сразу же  обговорить. Программа написана на Visual Basic.
Выяснить это легко, в начале файла есть "MSVBVM50.DLL". Т.к. это VB, то
обычные  брейкпоинты  работать  не  будут! Это вы должны учесть. Значит
будем  использовать __vbastrcomp - сравнение  стрингов (не  белья!). =)

В  поля для  регистрации  вводим  своё имя и любой код. Заходим в SI, и
ставим  брейкпоинт на __vbastrcomp.  Жмём  Validate  и  вываливаемся  к
такому коду

7B2F3563  55  PUSH EBP

Несколько раз жмём F10, пока не дойдём до такого кода

7B2F3574  8B4510  MOV EAX, [EBP+10]

В  eax  находится  код, который вы ввели. Еще несколько раз жмём F10 до
этого куска

7B2F3585  8B4D0C  MOV ECX, [EBP-0C]

А вот тут в ecx находится наш настоящий код. =) Пишем ? ecx и списываем
его на бумажку. Затем вводим куда надо и радуемся.

Вот и всё, серийник  мы вычислили. Теперь давайте пойдём другим путём и
пропатчим.

Засовываем  файл  в W32Dasm.  Т.к.  прога  написана  на бейсике, то вам
понадобится  VBRefPatch.  В String References ищем сообщение Nice Work!
You're now registered! Кликаем по нему два раза и вываливаемся  в  код.
Чуть выше над сообщением видим интересный такой джамп

00409FBE 0F843D010000 je 0040A101

Как  вы  думаете, что произойдёт,  если заменить 84 на 85? =) Открываем
любой  хекс-редактор  и  меняем. Запускаем прогу, вводим любые данные и
вуоля, всё зарегано. =)

Такой  вот  конвертер. Т.к. занимает он совсем мало, то я включил его в
архив, попробуйте сами, если захотите.

Greets: .plastek, cluster, mx, JazzMan, virtualica

NightCat//TEAM-53
nightcat{at}bsuir.com