Reverse Engineering - Hedef Bölge

Buradan mesaj penceresinin çağrıldığı yeri bulup üzerine tıklayıp o bölgeye ulaşıyoruz.Çağrıldığı yerden bahsedersek.Call stack penceresinde üstte “called from” göreceksiniz.Eğer biz called from sütununda başında user32 veya herhangi bir dllnin ismi ile başlayana tıklarsak o dllye gideriz.Bunun için programımızın adı ile başlayana tıklıyoruz. Yani programımızın adı “register.exe” ise Ollydbg register.xxxxxx olarak otomatik olarak heryere yerleştirir ve işimiz kolaylaşır.

Called from sütununun yanındada procedure/arguments sütunu yeralmakta oradada nereden ne çağrılmış ve hangi argümanlar hangi değerleri almış izleyebilmekteyiz.Bizim için mesaj penceresinin çıktığı yer gerekli olduğu için procedure sütununda USER32.MessageBoxA, Called from sütununda da register.xxxxxxx yazan satırı seçip tıklıyoruz.Yani register programı xxxxxxx adresinde USER32.dll’den MessageBoxA apisini çağırmış.Tıkladıktan sonrada o bölgeye gözatıyor ve gerekli değişiklikleri yaparak programı kırmış oluyoruz.

Şimdi üçüncü yöntemimize geçelim.Bu sefer programın formundaki label’da yazan “Name:” yazısını “isim:” olarak değiştirelim.String tablosunda bulamadığımızı farzedelim.Bu yöntemde memory’de arama yapacağız.Eğer aradığımız string’İ string tablosunda bulamadıysak oraya gözatıyoruz.Yapacağımız şey üstte “M” harfi yazan butona tıklayıp çıkan pencerede sağ tıkladıktan sonra labeldaki yazıyı unicode kısmına (ascii kısmıda bazı durumlarda gerekebilir) yazıp aratmak.Şimdi arama yaptık ve başarılı olduysak karşımza dump penceresi gelecek.Orada “Name:” yazısını görmüş olacağız.Oranın solunda yazan adresi alıyoruz ve ana penceredeki  hex dumpta sağ tıklayıp Goto->Expression diyoruz ve bu adresi yazarak oraya konumlanıyoruz.