Jadi tadi pagi saya sempat lihat-lihat PCMAV Ragnarok 2 yang masih dalam tahap Technical Prikitiew . Tampilannya kurang lebih seperti gambar di bawah ini:

Bisa terlihat jelas bahwa captionnya menggunakan string yang acakadut. No problem, we’re not invalid. Kita lewati saja captionnya dan langsung menuju ke window classnya. Sebagai PoC (Proof of Concept) berikut ini source aplikasi kecil yang bisa digunakan untuk mematikan proses ragnarok 2 cukup dengan mencari classnya. Assemble dan link menggunakan fasm.

 format PE GUI 4.0
 include 'win32a.inc'

;// code //
 push   .done
 push   dword [fs:0]
 mov    dword [fs:0],esp
 invoke FindWindow,szcls,0
 test   eax,eax
 jz     .done
 invoke GetWindowThreadProcessId,eax,dwpid
 invoke OpenProcess,PROCESS_TERMINATE,0,[dwpid]
 test   eax,eax
 jz     .done
 push   eax
 invoke TerminateProcess,eax,0
 call   [CloseHandle]
.done:
 pop    dword [fs:0]
 add    esp,4
 invoke ExitProcess,0

;// data //
 szcls db 'TFClnMain',0
 dwpid dd 0
 hproc dd 0

;// imports //
data import
 library kernel32,'kernel32.dll',user32,'user32.dll'
 include 'api/kernel32.inc'
 include 'api/user32.inc'
end data

Sekian dan terima kasih…

• Mengenal Lebih Jauh PCMAV v3.0