[╚±±δσΣεΓαφΦσ MailBomber v5.1 ± ∩ε∞ε∙ⁿ■ DeDe Φ φα⌡εµΣσφΦσ ±σ≡ΦΘφεπε φε∞σ≡α]
Target: MailBomber v5.1
URL: http://www.softheap.com/bomber.html
Tools: DeDe v2.44, SoftIce, some brain
╒α■°ΩΦ!..
╫≥ε ß≤Σσ∞ Φ±±δσΣεΓα≥ⁿ ±σπεΣφ , φαΣσ■±ⁿ ≤µσ ∩εφ ≥φε Φτ φατΓαφΦ ...
╧σ≡Γε-φα∩σ≡Γε Γ±σπΣα φ≤µφε ∩ε±∞ε≥≡σ≥ⁿ, α φσ τα∩αΩεΓαφφα\ταΩ≡Φ∩≥εΓαφφα δΦ
∩≡επ≡α∞∞α... εß√≈φε ∩εδⁿτ≤■±ⁿ ≥αΩΦ∞ ∞σ≥εΣε∞:
Γ FARσ (Φßε ²≥ε δ≤≈°ΦΘ ⌠αΘδεΓ√Θ ∞σφσΣµσ≡ ∩εΣ Win) ∩≡ε±≥ε ∩≡ε±∞α≥≡ΦΓα■ ⌠αΘδ
(F3) - Γ ∩≡Φφ÷Φ∩σ ± ∩σ≡Γεπε ²Ω≡αφα ∩≡ε±∞ε≥≡α ≤µσ ∩εφ ≥φε τα∩αΩεΓαφφα εφα ΦδΦ
φσ≥... ±∞ε≥≡Φ∞ φα ±σΩ÷ΦΦ - σ±δΦ φατΓαφΦ ΩαΩΦσ-≥ε φσ ≥αΩΦσ, ΩαΩ Σεδµφ√ ß√≥ⁿ %)
τφα≈Φ≥ Γετ∞εµφε ∩≡ΦΘΣσ≥± ≡α±∩αΩεΓ√Γα≥ⁿ.. φε Γ φα°σ∞ ±δ≤≈ασ Γ±σ ∩εφ ≥φε Φ ≥αΩ:
∩≡Φ±≤≥±≥Γ≤σ≥ ≥α∞ ≥αΩεΘ ≥σΩ±≥ΦΩ: "Boolean", εß√≈φε, Σαµσ ∩ε≈≥Φ Γ±σπΣα ²≥ε
ετφα≈ασ≥, ≈≥ε ∩≡επ≡α∞∞α φα∩Φ±αφφα φα ΩαΩε∞-φΦß≤Σⁿ Borland'εΓ±Ωε∞ ∩≡εΣ≤Ω≥σ..
Φ ε≈σφⁿ ≈α±≥ε ²≥ε ∩≡ε±≥ε-φα∩≡ε±≥ε ─σδⁿ⌠Φ... ≤τφασ∞ ²≥ε εΩεφ≈α≥σδⁿφε:
τα∩≤±Ωασ∞ δ■ßεΘ αφαδΦτσ≡, φ≤ φα∩≡Φ∞σ≡, FA (FileAnalyzer) Φ ΓΦΣΦ∞:
--cut--
Processed with(1): Compiled by Borland Delphi 3.0 (???)
Processed with(2): Compiled by Borland/Inprise Delphi 4
--cut--
φ≤ Γ±σ.. φα∞ ±εß±≥Γσφφε πεΓε≡ ∩εΓστδε - Σσδⁿ⌠ , Σα Φ Ω ≥ε∞≤ µσ Γ ≈Φ±≥ε∞
ΓΦΣσ :)
∞εµφε Ωεφσ≈φε π≡≤ταφ≤≥ⁿ Γ±σ ²≥ε Σσδε Γ ±ΓεΘ δ■ßΦ∞√Θ ΣΦτα±±σ∞ßδσ≡
(IDA, W32Dasm), φε ∞√ ∩εΘΣσ∞ Σ≡≤πΦ∞ ∩≤≥σ∞ - Γε±∩εδⁿτ≤σ∞± DeDe, εφα ΩαΩ ≡ατ
±δ≤µΦ≥ Σδ ΣσΩε∞∩Φδ ÷ΦΦ ∩≡ΦδεµσφΦΘ, φα∩Φ±αφφ√⌡ φα Σσδⁿ⌠Φ...
π≡≤ταφ≤δΦ... π≡≤ταφ≤δε±ⁿ... ∩εδ≤≈Φδε±ⁿ...
Γ DeDe ΦΣσ∞ ±≡ατ≤ µσ ±∞ε≥≡σ≥ⁿ ∩≡ε÷σΣ≤≡√... ε∩≤≥φ√∞ ∩≤≥σ∞ φα°σδ, ≈≥ε
∩≡ε÷σΣ≤≡α ≡σπΦ±≥≡α÷ΦΦ φα⌡εΣΦ≥± Γ Main Φ φατ√Γασ≥± RegisterItemClick,
(TMainForm.RegisterItemClick),≈≥ε Γ ∩≡Φφ÷Φ∩σ Φ ≥αΩ ±δσΣ≤σ≥ Φτ φατΓαφΦ ...
≥.σ ∞√ φαµΦ∞ασ≥ φα Ωφε∩Ω≤ ≡σπΦ±≥≡α÷ΦΦ Φ ∩≡ε÷σΣ≤≡Ωα τα∩≤±Ωασ≥± ...
∙σδΩφΦ≥σ ΣΓα ≡ατα φα φσΘ, ≈≥ε ß√ ∩εδ≤≈Φ≥ⁿ σσ δΦ±≥Φφπ...
--cut--
004A60A4 55 push ebp
004A60A5 8BEC mov ebp, esp
004A60A7 6A00 push $00
004A60A9 53 push ebx
004A60AA 8BD8 mov ebx, eax
004A60AC 33C0 xor eax, eax
004A60AE 55 push ebp
004A60AF 68F9604A00 push $004A60F9
***** TRY
|
004A60B4 64FF30 push dword ptr fs:[eax]
004A60B7 648920 mov fs:[eax], esp
004A60BA 6A00 push $00
004A60BC 6A03 push $03
004A60BE 8D45FC lea eax, [ebp-$04]
004A60C1 50 push eax
004A60C2 8B15E0554B00 mov edx, [$4B55E0]
004A60C8 8B12 mov edx, [edx]
004A60CA A174554B00 mov eax, dword ptr [$4B5574]
* Possible String Reference to: 'Enter your registration code'
|
004A60CF B90C614A00 mov ecx, $004A610C
|
004A60D4 E8B7530000 call 004AB490 ;<<_00
004A60D9 8B55FC mov edx, [ebp-$04]
004A60DC 8BC3 mov eax, ebx
* Reference to : TMainForm.~PROC~0049ED04()
|
004A60DE E8218CFFFF call 0049ED04 ;<<_01
004A60E3 33C0 xor eax, eax
004A60E5 5A pop edx
004A60E6 59 pop ecx
004A60E7 59 pop ecx
004A60E8 648910 mov fs:[eax], edx
<Σαδⁿ°σ φσ∩≡Φφ÷Φ∩Φαδⁿφε Φ εß≡σταδ>
--cut--
φ≤ Φ ≥≤≥ ≥σ∩σ≡ⁿ φ≤µφε ∩ε ∩ε⌡εΣΦ≥ⁿ Φ ∩επδ Σσ≥ⁿ φα ∩≡ε÷σΣ≤≡√ _00 Φ _01
( Φ⌡ Γ δΦ±≥Φφπσ Γ√ΣσδΦδ)...
Γ _00 φΦ≈σπε Φφ≥σ≡σ±φεπε φσ ≤ΓΦΣσδ, α ∩εΣ Φφ≥σ≡σ±φ√∞ ∩εφΦ∞αδ, ≈≥ε-≥ε
∩ε⌡εµσσ φα:
call xxxxxxxx
test al, al
jz yyyyyyyy
≥.σ Γ√τεΓ ∩≡ε÷σΣ≤≡√ ∩≡εΓσ≡ΩΦ φε∞σ≡α, Ωε≥ε≡α ΓετΓ≡α≥Φ≥ ∩≡αΓΦδⁿφ√Θ ΦδΦ φσ≥
ΓΓσδΦ ∞√ ±σ≡ΦΘφΦΩ...
φε! ≥αΩ ß√Γασ≥ εß√≈φε, φε ε∩ ≥ⁿ µσ φσ Γ±σπΣα.. ≥.σ τα≡αφσσ ≡σ°Φδ, ≈≥ε
Σεδµφε ß√≥ⁿ ≈≥ε-≥ε ∩εΣεßφε Φ ∩ε-²≥ε∞≤ ²≥ε Φ Φ±Ωαδ...
Γεß∙σ∞ ∩εΣεßφεσ Σσδε φα°σδ Γ _02:
--cut--
0049ED2F E85071FEFF call 00485E84
0049ED34 837DF800 cmp dword ptr [ebp-$08], +$00
0049ED38 0F84DD000000 jz 0049EE1B ;<<_03
0049ED3E 8B45F8 mov eax, [ebp-$08]
|
0049ED41 E8EE6EFEFF call 00485C34 ;<<_04
0049ED46 84C0 test al, al
0049ED48 0F849B000000 jz 0049EDE9
--cut--
Ω±≥α≥Φ, Γε≥ _03 - ∞φσ Ωαµσ≥± , ≈≥ε ²≥ε ∩≡εΓσ≡ σ≥± , φσ ε±≥αΓΦδΦ δΦ ∞√
∩εδσ ΓΓεΣα ±σ≡ΦΘφΦΩα ∩≤±≥√∞... Ω±≥α≥Φ, σ±δΦ ±∞ε≥≡σ≥ⁿ softice'ε∞, ≥ε
Γ√ ±φ σ≥± , ≈≥ε ²≥ε ≥αΩ Φ σ±≥ⁿ :)
ßδΦµσ Ω ≥σδ≤...
±∞ε≥≡Φ∞ δΦ±≥Φφπ _04 ( ε±≥αΓΦδ ≥εδⁿΩε ±α∞√Θ Φφ≥σ≡σ±φ√Θ Ω≤±εΩ):
--cut--
***** TRY
|
00485C53 64FF30 push dword ptr fs:[eax]
00485C56 648920 mov fs:[eax], esp
00485C59 8D55F8 lea edx, [ebp-$08]
00485C5C 8B45FC mov eax, [ebp-$04]
|
00485C5F E8BC010000 call 00485E20
00485C64 8B45F8 mov eax, [ebp-$08]
* Reference to: System..DynArrayLength()
| or: System..LStrLen()
|
00485C67 E858E2F7FF call 00403EC4
00485C6C 83F810 cmp eax, +$10
00485C6F 7536 jnz 00485CA7
00485C71 8B45F8 mov eax, [ebp-$08]
00485C74 80780132 cmp byte ptr [eax+$01], $32
00485C78 752D jnz 00485CA7
00485C7A 8B45F8 mov eax, [ebp-$08]
00485C7D 80780235 cmp byte ptr [eax+$02], $35
00485C81 7524 jnz 00485CA7
00485C83 8B45F8 mov eax, [ebp-$08]
00485C86 80780532 cmp byte ptr [eax+$05], $32
00485C8A 751B jnz 00485CA7
00485C8C 8B45F8 mov eax, [ebp-$08]
00485C8F 80780735 cmp byte ptr [eax+$07], $35
00485C93 7512 jnz 00485CA7
00485C95 8B45F8 mov eax, [ebp-$08]
00485C98 80780930 cmp byte ptr [eax+$09], $30
00485C9C 7509 jnz 00485CA7
00485C9E 8B45F8 mov eax, [ebp-$08]
00485CA1 80780B31 cmp byte ptr [eax+$0B], $31
00485CA5 7404 jz 00485CAB
00485CA7 33DB xor ebx, ebx
00485CA9 EB02 jmp 00485CAD
00485CAB B301 mov bl, $01
00485CAD 33C0 xor eax, eax
00485CAF 5A pop edx
00485CB0 59 pop ecx
00485CB1 59 pop ecx
00485CB2 648910 mov fs:[eax], edx
****** FINALLY
--cut--
∞φσ Ωαµσ≥± , ≈≥ε ²≥ε Ω≤±εΩ φαΦßεδσσ Φφ≥σ≡σ±σφ, ≥.Ω ≥α∞ ≈≥ε-≥ε ±≡αΓφΦΓασ≥±
±ε τφα≈σφΦ ∞Φ: $32, $35, etc... ΓσΣⁿ ²≥ε µσ ÷√⌠≡√: 2, 5 Φ Σ≡., σ±δΦ
∩σ≡σΓσ±≥Φ Φ⌡ Φτ 16≡Φ≈φεΘ ±Φ±≥σ∞√ Φ±≈Φ±δσφΦ ! :)... ΣαΓαΘ≥σ ≡ατßσ≡σ∞± :
00485C6C 83F810 cmp eax, +$10
00485C6F 7536 jnz 00485CA7
≥≤≥ φα≈Φφασ≥ Γ±σ ∩≡ε ±φ ≥± - τφα≈σφΦσ eax ±≡αΓφΦΓασ≥± ± $10, ≈≥ε
σ±≥ⁿ 16 Γ Σσ± ≥Φ≈φεΘ ±Φ±≥σ∞σ... ≥≤≥ ∩≡εΦ±⌡εΣΦ≥ ∩≡εΓσ≡Ωα φα ΣδΦφ≤
ΓΓσΣσφφεπε ±σ≡ΦΘφΦΩα, ≥.σ σ±δΦ εφα φσ ≡αΓφα 16 - ∩εδ≤≈ασ∞ ßεδⁿ°εΘ εßδε∞
00485C71 8B45F8 mov eax, [ebp-$08]
00485C74 80780132 cmp byte ptr [eax+$01], $32
±≡αΓφΦΓασ∞ Γ≥ε≡εΘ (≥.Ω ±≈σ≥ ΦΣσ≥ ± φ≤δ : 01234...) ±Φ∞Γεδ ± $32,
≈≥ε σ±≥ⁿ "2"... Γεß∙σ∞ ∩ε ⌡εΣ≤ Σσδα τα∩≤±ΩαΘ≥σ ∩≡επ≡α∞∞≤, Φ ΓΓεΣΦ≥σ
±σ≡ΦΘφΦΩ, ±ε±≥ε ∙ΦΘ Φτ 16≥Φ ±Φ∞ΓεδεΓ, Γ≥ε≡εΘ ±Φ∞Γεδ - "2"
"?2?????????????"
00485C78 752D jnz 00485CA7
Γ≥ε≡εΘ ±Φ∞Γεδ φσ "2" - τφα≈Φ≥ ±σ≡ΦΘφΦΩ φσ Γσ≡σφ
00485C7A 8B45F8 mov eax, [ebp-$08]
00485C7D 80780235 cmp byte ptr [eax+$02], $35
±≡αΓφΦΓασ∞ ≥≡σ≥ΦΘ ±Φ∞Γεδ ± $35 = "5"... "?25????????????"
00485C81 7524 jnz 00485CA7
Γ≥ε≡εΘ ±Φ∞Γεδ φσ "5" - τφα≈Φ≥ ±σ≡ΦΘφΦΩ φσ Γσ≡σφ
00485C83 8B45F8 mov eax, [ebp-$08]
00485C86 80780532 cmp byte ptr [eax+$05], $32
±≡αΓφΦΓασ∞ °σ±≥εΘ ±Φ∞Γεδ ± $32 = "2"..."?25??2?????????"
00485C8A 751B jnz 00485CA7
φσ "2" - τφα≈Φ≥ ±σ≡ΦΘφΦΩ φσ Γσ≡σφ
00485C8C 8B45F8 mov eax, [ebp-$08]
00485C8F 80780735 cmp byte ptr [eax+$07], $35
±≡αΓφΦΓασ∞ 8εΘ ±Φ∞Γεδ ± $35 = "5"... "?25??2?5????????"
00485C93 7512 jnz 00485CA7
φσ "5" - τφα≈Φ≥ ±σ≡ΦΘφΦΩ φσ Γσ≡σφ
00485C95 8B45F8 mov eax, [ebp-$08]
00485C98 80780930 cmp byte ptr [eax+$09], $30
±≡αΓφΦΓασ∞ 10√Θ ±Φ∞Γεδ ± $30 = "0"... "?25??2?5?0??????"
00485C9C 7509 jnz 00485CA7
φσ "5" - τφα≈Φ≥ ±σ≡ΦΘφΦΩ φσ Γσ≡σφ
00485C9E 8B45F8 mov eax, [ebp-$08]
00485CA1 80780B31 cmp byte ptr [eax+$0B], $31
±≡αΓφΦΓασ∞ 12√Θ ±Φ∞Γεδ ± $31 = "1"... "?25??2?5?0?1????"
00485CA5 7404 jz 00485CAB
"5" - τφα≈Φ≥ ±σ≡ΦΘφΦΩ Γσ≡σφ Φ ∩≡Φπασ∞, Φφα≈σ:
00485CA7 33DB xor ebx, ebx
∩≡ΦτφαΩ ≥επε, ≈≥ε εßδε∞ Φ ±σ≡ΦΘφΦΩ φσ Γσ≡σφ!
00485CA9 EB02 jmp 00485CAD
00485CAB B301 mov bl, $01
∩≡ΦτφαΩ ≥επε, ≈≥ε Γ±σ φε≡∞αδⁿφε
00485CAD 33C0 xor eax, eax
φ≤ ΩαΩ? Σεß≡αδΦ±ⁿ Σε Ωεφ÷α? %)... Γεß∙σ∞ Φ∞σσ∞ ∞√ Γε≥ ≥αΩεΘ αδπε≡Φ≥∞:
∩≡επ≡α∞∞α ∩≡εΓσ≡ σ≥ ≥εδⁿΩε Γ√ßε≡ε≈φ√σ ±Φ∞Γεδ√ ΓΓσΣσφφεπε ±σ≡ΦΘφΦΩα, α Φ∞σφφε
2, 3, 6, 8, 10 Φ 12 Φ ∩εδ≤≈ΦδΦ ∞√ ≥αΩεΘ ±σ≡ΦΘφΦΩ:
?25??2?5?0?1????
≥.σ ε±≥αδⁿφ√σ ±Φ∞Γεδ√ ∞επ≤≥ ß√≥ⁿ δ■ß√σ :).. ≈σ∞ Φ Γε±∩εδⁿτεΓαδ± :
"N25it2r5o0g1en!!"
ΓΓεΣΦ∞ σπε Γ ∩≡επ≡α∞∞≤ Φ... ≡αßε≥ασ≥! ≤≡α! :)...
Γ√ ±∩≡ε±Φ≥σ, α τα≈σ∞ Γ φα≈αδσ φα∩Φ±αδ, ≈≥ε φ≤µσφ SI?.. α εφ Γ ∩≡Φφ÷Φ∩σ
≥≤≥ φσ ±δΦ°Ωε-≥ε Φ φ≤µσφ ß√δ, φε ± σπε ∩ε∞ε∙ⁿ■ ∩≡εΓσ≡ δ Γ ∩≡αΓΦδⁿφε∞ δΦ
φα∩≡αΓδσφΦΦ ΣΓΦπα■±ⁿ...
Γ±σ ≥σ∩σ≡ⁿ ∞εµφε Σαµσ φα∩Φ±α≥ⁿ ΩσΘπσφσ≡α≥ε≡ Σδ φσπε, Σα Γε≥ φ≤µφε δΦ?
∩≡Φφ÷Φ∩ πσφσ≡α÷ΦΦ ∩εφ ≥σφ, Ω≥ε ⌡ε≈σ≥ ∩Φ°Φ≥σ... α ß≤Σ≤ Φ±∩εδⁿτεΓα≥ⁿ
±ΓεΘ ±σ≡ΦΘφΦΩ Φ ≡αΣεΓα≥ⁿ± µΦτφΦ :)
p.s ┴≤Σ≤≥ Γε∩≡ε±√ - ∩≡ε°≤ Γ e-mail...
p.p.s ╙ αΓ≥ε≡α ²≥εΘ ∩≡επ≡α∞∞√ σ±≥ⁿ σ∙σ εΣφα - Security Administrator 7.1
∩ε∩≡εß≤Θ≥σ-Ωα ±α∞Φ :).. σ±δΦ Γ√ ∩≡ε≈Φ≥αδΦ Φ ∩εφ δΦ, ≈≥ε ≥≤≥ φα∩Φ±αδ - ≤
Γα± Γ±σ ∩εδ≤≈Φ≥± Φ Γ√ ±α∞Φ ±∞εµσ≥σ τα≡σπΦ±≥≡Φ≡εΓα≥ⁿ ²≥ε≥
"Security Administrator 7.1"
---------------------------------------------------------------------------
Nitrogen[TSRh] ([email protected])
17.08.2001, 10:00 (gmt +5)