home *** CD-ROM | disk | FTP | other *** search
/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Cracking / Crack-It-Up.sit / Crack-It-Up / Crack-It-Up.rsrc / TEXT_142.txt < prev    next >
Text File  |  2000-01-29  |  23KB  |  188 lines

  1.         The Ultimate Mac Cracking 
  2.             Guide
  3.  
  4.  
  5. --==< Foreword >==--
  6.  
  7. The second part might be a bit blurry at times as I had to throw together four thousand words in two days! But if you have any questions, feel free to e-mail me. My e-mail address is: prozaq@usa.net
  8.  
  9.  
  10. --==< Table of Contents >==--
  11.  
  12. I. Intro
  13. II. Super ResEdit
  14. III. Using Super ResEdit
  15. IV. Other Uses of Super ResEdit
  16. V. Variations to The Same Theme 
  17. VI. Pay Attention!
  18. VII. Another Cracking Example
  19. VIII. End of Part 2
  20.  
  21.  
  22. --==< Intro >==--
  23.  
  24. Let me start off by refreshing your memory as to what happened in Part 1 of ‚ÄúThe Ultimate Mac Cracking Guide‚Äù. I guided you through how to use MacsBug to find the conditional branch that decides whether the reg. number you entered is valid or not. At this point a couple of things can happen. The first situation is the best for the cracker! The program you‚Äôre trying to crack is glad that you registered your software, updates the preference file, and bothers you about registering no more! In this case you won‚Äôt need ResEdit or any other materials! Be glad that you‚Äôre quest to crack the software was successful!
  25.  
  26. But life ain‚Äôt that sweet! If the above situation occurs you are really lucky, as most softwares are a hell of a lot harder to crack! If the registration box still appears after relaunching the application then it‚Äôs probable that the following situation occurs. The program checks the registration number every time you launch the application, or several times while the application runs. This is when we have to change the source code using ResEdit (The only difference between ResEdit an Super ResEdit is that the later one contains an assembly code editor that allows you to view the contents of the CODE resource as assembly commands, not only as hexadecimal machine codes. Whenever I use the word ‚ÄúResEdit‚Äù I am in fact referring to Super ResEdit!)
  27.  
  28.  
  29. --==< Super ResEdit >==--
  30.  
  31. OK, launch ResEdit and let me explain a bit!  The Mac OS divides a file into two parts. It‚Äôs first part is the ‚ÄúData fork‚Äù, where it keeps data, such as the ASCII characters in a text file. The second part is the ‚ÄúResource fork‚Äù, this is where the action is!  The resource fork contains information of the application such as how the application‚Äôs dialogs look like, how it‚Äôs custom windows look like, how the icons appear in the Finder, what ASCII strings the application will put in error dialogs and a lot more!  In order to keep the Mac as user friendly for the software developer as possible, Apple provides a very humane way to create and edit resources through ResEdit. I will not go through what all the different resource types are used for, as that would take a hell of a long time! But here are the resource types of interest to us:
  32.  
  33. CODE - This is where the program‚Äôs codes is stored in assembly format. These are the commands the program executes once it is launched from the Finder.
  34.  
  35. CDEF - Same use as CODE. It is used in control panels.
  36.  
  37. cdev - Same use as CDEF.
  38.  
  39. INIT - Same use as CODE. It is used in system extensions.
  40.  
  41. DITL - This is where the design of a dialog box can be found. Where the buttons and text fields are designed and can be edited.
  42.  
  43. DLOG - Where the position of a dialog can be changed.
  44.  
  45. ALRT - Where the position of alert boxes can be changed.
  46.  
  47. WIND - Where custom windows can be designed.
  48.  
  49. I can recommend that you play around with ResEdit for a while and get a feel for how it works! HOWEVER! ALWAYS work on a COPY of the application you want to change! Since ResEdit is directly messing around with the structure of the program, if you mess up anything you can definitely screw up the application (and if you‚Äôre lucky your system).
  50.  
  51. For now I will focus on the ‚ÄúCODE‚Äù resource (and all other resources that serve the same purpose). Whenever anyone writes an application, in whatever language, their compiler converts the code into assembly. In assembly every command has it‚Äôs machine language equivalent, which is stored as hexadecimal information. So the CODE resource contains these hexadecimal assembly instructions. When you open up an ID from within CODE resource, then a large window should appear with a bunch of assembly commands and other nice info in it. (If ONLY a small window appears with a bunch of hex numbers in it then you don‚Äôt have Super ResEdit!) If both the big and small windows appeared then that‚Äôs good since you‚Äôll need both. If only the big window appears select ‚ÄúAlways Open‚Äù from the Hex Editor menu. This should bring up the small window with hex numbers in it. The small window represents only the hexadecimal values of the assembly commands while the big window translates these commands into a more perceptive human language (if you can call assembly human).
  52.  
  53. Now if you have the big window up you‚Äôll see 6 columns of information, each of them representing one of the following things (from left to right):
  54. Offset, Address, Opcode, Operand, Comment, Hex.
  55.  
  56. The Offset column represents the of the command with respect to the first command in the subroutine. 
  57. The Address column represents the commands position from the first command in that resource. 
  58. The Opcode section contains all the commands, and the Operand column contains which registers are affected by the command. 
  59. The Comment column helps you see what type of info is moved around.
  60. And the Hex column shows what the opcode and the operand section turns into when it‚Äôs translated to machine language.
  61. The beginning of the different subroutines are represented by a name in red, bold print on the left side of the window. Usually these are just called ‚ÄúAnon#‚Äù. You can see a list of all the subroutines in the Modules menu.
  62.  
  63.  
  64. --==< Using Super ResEdit >==--
  65.  
  66. So what‚Äôs all this good for? Well... as I said before, most programs contain more security then the program discussed in part one of The Ultimate Mac Cracking Guide. Imagine the following situation:
  67. You crack a program with MacsBug. You know this because the ‚Äúthank you registering‚Äù dialog appears. But the next time you launch the application it asks for the reg. number again. What this CAN mean is that after you crack the program with MacsBug the program stores the information you entered in either a preference file or in a resource.  And every time you launch the program it checks to see if the reg. name and number match. So in theory if you change the conditional responsible for the validity of the reg. number in the application itself, then it doesn‚Äôt matter how many times the program checks, as the reg. number you entered will always turn out to be a valid one!
  68. And this is where we use Super ResEdit. Let‚Äôs say that we have established that the application checks for the reg. number every time it starts up.  It is likely that the application uses the same subroutine to check the reg. number at startup as it used when you entered the reg. number in the reg. dialog.
  69. So to use the example from part one, here‚Äôs what I found out from MacsBug:
  70.  
  71.      +0012C 00D2E788   PEA        -$0308(A6)                              | 486E FCF8
  72.      +00130 00D2E78C   PEA        -$0108(A6)                              | 486E FEF8
  73.      +00134 00D2E790   JSR        xxxxxxxxxxx                               | 4EB9 00D2 CDD8
  74.      +0013A 00D2E796   MOVE.B     (A7)+,D0                                | 101F
  75.      +0013C 00D2E798   BEQ.S      XXXXXXXXX+00142        ; 00D2E79E   | 6704
  76.  
  77. And after following through the code I know that the subroutine in 134 does the conversion of the registration number I entered and at offset 13C the conditional checks whether my reg. number is the same as the valid reg. number. When I was dropped into MacsBug after I initiated the ‚Äúmodaldialog‚Äù atrap the following information was given to me by MacsBug:
  78.  
  79.  
  80.   D_PERSONALIZE
  81.      +0009A 010E7956   _ModalDialog                          ; 0028D906   | A991
  82. This means that the modal dialog trap occurs in the subroutine D_PERSONALIZE. Most often though, you will be given something like this by MacsBug when encountering an atrap:
  83.  
  84. A-Trap break at 00D1A908 'CODE 0002 1B8C'+02E88: A97C
  85.  
  86. Here‚Äôs what the two sets of info mean. The first one means that the person who wrote the software decided that he will make life easy for crackers and called the subroutine dealing with registering the software ‚ÄúD_PERSONALIZE‚Äù. 
  87.  
  88. The second info means the following: The atrap occurred in the resource ‚ÄúCODE‚Äù with resource ID 0002. And this is all we need to know! If you open up the application with Super ResEdit and open up the CODE resource with an ID number of 2 you can go to the offset given to you by MacsBug.
  89. If the situation is like the one in the first example where only the name of the subroutine is given then you have to go through each ID number in the CODE resource and look for a subroutine called ‚ÄúD_PERSONALIZE‚Äù. You can find a list of all the subroutines used within an certain ID in the Modules menu.
  90.  
  91. So let‚Äôs say the following I get the following info in MacsBug once I step through the code after the modaldialog atrap:
  92.  
  93. A-Trap break at 00D1A908 'CODE 0002 1B8C'+02E88: A97C 
  94.       blah blah
  95.       blah blah
  96.      +0012C 00D2E788   PEA        -$0308(A6)                              | 486E FCF8
  97.      +00130 00D2E78C   PEA        -$0108(A6)                              | 486E FEF8
  98.      +00134 00D2E790   JSR        xxxxxxxxxxx                               | 4EB9 00D2 CDD8
  99.      +0013A 00D2E796   MOVE.B     (A7)+,D0                                | 101F
  100.      +0013C 00D2E798   BEQ.S      XXXXXXXXX+00142        ; 00D2E79E   | 6704
  101.  
  102. So, lets say that I wanna change the conditional at offset 13C in the source code of the application so that it will branch every time no matter what!
  103. I open the application with Super ResEdit and open up the CODE resource, I open up the resource with ID 2. Then I have to find the offset at 13C. You have to realize that the large window that disassembles the assembly code is only for viewing. Meaning that you can not change anything there! You have to work with the small window containing the Hex Editor info if you want to find and change things. 
  104. So I make the Hex Editor the window active. This brings up a new menu. The ‚ÄúFind‚Äù menu. This allows me to search for hex strings, for ASCII strings or offsets! And since I wanna search for an offset I activate the search for offset dialog and type in 13C. After I hit the Find button two digits are selected in the Hex Editor window (for this example the two digits selected would be 67). If I now activate the big window, I should be at the offset 13C. Meaning that I should be seeing exactly what was displayed to me by MacsBug. Now I could have a closer look at what was going on if I needed to!
  105.  
  106. So I know that I need to change this assembly instruction:
  107. BEQ.S      XXXXXXXXX+00142
  108. It‚Äôs hex equivalent is 6704.  How do I know?  
  109.  
  110. +0013C 00D2E798   BEQ.S      XXXXXXXXX+00142        ; 00D2E79E   | 6704
  111.  
  112. When MacsBug displays a command it shows me the hex equivalent of the command too! It is always the hex number appearing after the ‚Äú|‚Äù sign. (I underlined it and put it into a bold print above). This hex number can be between 4 and 16 digits long. I know that I have to change the BEQ.S command to a BRA (Branch always) command. So I activate the Hex Editor‚Äôs window and type ‚Äú60‚Äù. 
  113. In machine code all branch routines start with a 6. The BRA command is the number 60, and that‚Äôs why I replaced 67 with 60. I DIDN‚ÄôT change the second half of 6704, as ‚Äú04‚Äù contains the information regarding where the conditional should branch to! If I change ‚Äú04‚Äù, then the program will branch to a bad offset and will most likely cause my computer to crash!
  114.  
  115. Now, if I DIDN‚ÄôT want the conditional to branch, I could simply get rid of the command. However, simply deleting 4 digits is not the way! Just deleting 6704, will most likely cause the program to crash! Instead, I will replace the conditional by a NOP command. NOP stands for no operation. Meaning that the processor will not execute any operations for that command. It will simply jump to the next command in line. 
  116. To change the conditional instruction to never branch, activate the Hex Editor window and highlight the next two digits as well (so all together I will now have four digits selected ‚Äú6704‚Äù). Then I would type ‚Äú4e71‚Äù (as this is the equivalent of NOP in machine language). If I now go back to the big window, I can see that the command has been changed to NOP! Success!
  117.  
  118. Now I would save my work and try and run the application again. If it freezes I have goofed up somewhere. If not, lets test it! At this point, however, I will no longer have to crack the programs registration dialog with MacsBug, as I have changed the code within the application to do what I want it to do! So I could just enter anything I wanted as a reg. name and number. If the program says that I entered the wrong registration number, then I goofed up in cracking the program with MacsBug! I have to start from the beginning and look for another conditional.
  119. If I‚Äôm lucky, then everything goes fine, and when I relaunch the application it will say that it is registered to me.
  120.  
  121.  
  122. ---===< Other Uses of Super ResEdit >===---
  123.  
  124. ResEdit is not only useful if you want to change the assembly code of an application! You can use it to help you through the process of cracking. For example, I almost always start off with opening up the program in ResEdit and look around amongst the dialog resources. I‚Äôm looking for the ‚Äúthanx for registering‚Äù dialog. I write down it‚Äôs ID value and if I see that number being mover around in MacsBug than I know that I‚Äôm on the right track! I also try to find the ‚Äúwrong number‚Äù dialog just to see how it looks like! You may also find hidden pictures and shit like that with ResEdit! ResEdit ROCKS! Handle it with care and it‚Äôll be good to you! Mistreat it and it‚Äôll screw up your computer!
  125.  
  126.  
  127. --==< Variations to The Same Theme >==--
  128.  
  129. Up ‚Äòtill now, the situation was that the program used a subroutine to do calculations with the reg. number you entered and then returned from the subroutine and checked to see whether the reg. number you entered was valid or not. 
  130. Now, there is virtually an infinite amount of ways to protect software, and software developers know this! And if they are smart they will use various tricks to protect their softwares!
  131. Another situation you might find yourself in, while cracking a program, is that there are two conditionals you need to change! This means that within the subroutine that checks the reg. number you entered, the program sets two flags. One of the flags is representing that the reg. number is correct or incorrect, and the second flag tells the program whether to update itself to the registered version or not!  This is again a simple example. The developers of the program might have done something ingenious, so it might be a lot more complex than that!
  132. If, however, this is the situation, then you will have to find the two conditionals and change BOTH of them accordingly! 
  133.  
  134.  
  135. ---===< Pay Attention! >===---
  136.  
  137. Therefore, it is extremely important that you know exactly what the hell is going on in the program! When you step through a code in MacsBug pay attention to what is happening to the address registers! When you see that A0, A1,A2 or A3 contains your reg. name or reg. number then you know that you are getting closer! Also look out for the hex value of the reg. number you entered. For example, if you entered ‚Äú12345‚Äù as a reg. number also look for its hex equivalent ‚Äú3039‚Äù! If you see commands like: cmp.l    130(a6),d0     
  138.  and don‚Äôt know how to access that specific part of the memory, then simply type: ‚Äúdm a6+130‚Äù into MacsBug and it will show you the info that is contained 130 bytes away from a6‚Äôs current position. If you can‚Äôt figure out what a command does, refer to the ‚ÄúList of Assembly Commands‚Äù file (included in HackAddict 8 as Appendix A). And if you still can‚Äôt figure out a command then mail me! And remember!  Nothing is uncrackable! It‚Äôs merely a matter of time! If you sit around for long enough you will figure out what the little bugger does and then you‚Äôll also figure out how to crack it!
  139.  
  140.  
  141. ---===< Another Cracking Example >===---
  142.  
  143. I will now guide you through how I cracked a control panel recently. I will not mention any names as I just want this to be a theoretical example to what protection schemes you may encounter. Also this might give you an idea to what you might be doing wrong! What you might be spending too much time on, and things like that!  
  144.  
  145. Cracking the control panel seemed at first as a piece of cake, as the control panel had a subroutine followed by a conditional. So I changed the conditional, and since nothing happened I thought I cracked it! But then I started to look around in the program with ResEdit, and I noticed that the program created STR# resource with my information in it! And since I didn‚Äôt get a ‚Äúthanx for registering‚Äù dialog, I was a bit skeptic of my success! 
  146.  
  147. So I deleted the STR# resource and started from the beginning again! But again when I changed the conditional the program added the STR# resource to itself! ‚ÄúVery fishy‚Äù I thought! So I started to take a closer look in it with ResEdit! I didn‚Äôt find a ‚Äúthanx for registering‚Äù dialog. So I got curious and found in HackersHelper the registration number for an older version of the control panel. I tried the serial number given in HackersHelper and presto! An error dialog greeted me informing me that I was using a PIRATE registration number! What do you say to that? Never had that happen before! Very ingenious if you ask me! 
  148.  
  149. So I found an older version of the control panel on a shareware CD of mine, and when I used the pirate reg. number on that one it worked! And as it turned out the program didn‚Äôt put up a ‚Äúthanx for registering‚Äù dialog, but simply wrote ‚Äúregistered to ProZaq‚Äù in the upper left corner. Tricky! Very Tricky! 
  150.  
  151. But now at least I knew that I have to follow through that subroutine before the conditional! So I did! And the damnest thing happened! Before long I found myself in the subroutine responsible for comparing the reg. name I entered to the reg. names given by Hackers Helper and HackUser! Now this was a hell of a subroutine! It was gonna compare my reg. name to that of a pirate one about 30 times!  I found this out from looking into one of the address registers! So here‚Äôs a trick to do when you‚Äôre faced with a similar situation. Let‚Äôs say that you‚Äôre stuck in a subroutine like this:
  152.  
  153. Shit_routine: (name of subroutine)
  154.      add.b 1,d0
  155.      blah
  156.      blah
  157.      blah
  158.      blah
  159.      another 100 blahs
  160.      cmpi.b    #1000,d0
  161.      bne     shit_routine
  162.      cmpi.b    d3,100(a6,d0)
  163.      rts
  164.  
  165. What the subroutine does is unimportant! The important thing is that it does the same shit 1000 times! After every ‚Äúblah‚Äù it compares the value of d0 to 1000 and if it doesn‚Äôt equal 1000 it adds 1 to d0, and does the ‚Äúblah‚Äùs again. Now for the computer 10000 instructions won‚Äôt take long! But for me to sit around and press return 10000 times would take a bit too long! So here‚Äôs the solution. Use the break command in MacsBug! Just issue MacsBug the command ‚Äúbr addr‚Äù where ‚Äúaddr‚Äù is the address of the command you want the processor to halt at! For example, in MacsBug the last command I gave you in that example subroutine, might look something like this:
  166.  
  167. +0013C 00D2E798   CMPI.B    D3,100(A6,D0)        
  168.  
  169. So if I wanted to be dropped into MacsBug every time the processor executed that specific instruction I would issue the command ‚Äúbr d2e798‚Äù. Make sure that you don‚Äôt use the offset with the plus sign in front of it! (in this case 13C) (You clear break points with the ‚Äúbrc‚Äù command. For more info on using break points type ‚Äúhelp br‚Äù in MacsBug)
  170.  
  171. And so after I used the break command, I regained control of the computer after the program was done checking for the pirate names! Then I found myself in the subroutine responsible for putting my reg. number under an algorithm. And once it was done doing that, I found out that it checked to see if my reg. number was a valid one, and if it was it set TWO flags! It made both d1 and d7 equal one! (I must say that either this code was written with a horrible compiler, or it wasn‚Äôt optimized at all! I could have written the same damn algorithm in assembly, so that it would have taken about half as many commands to achieve the same thing!)
  172.  
  173. And after that there was a conditional within the subroutine checking to see if the hex value of the reg. number I entered (stored in d0) equaled that of the correct one (stored as an offset to A6). And it was a good thing that I left a br mark at this conditional by an accident because the program rechecked my reg. number four more times before it accepted that I entered the right reg. number! What a bitch!
  174.  
  175. And since I followed through the code thurally I also found out what algorithm it used to derive the correct reg. number! So if I wanted I wouldn‚Äôt have needed to change anything in the program! I could simply calculate what reg. number would be valid for the reg. name ‚ÄúProZaq‚Äù and simply enter that in the registration dialog!
  176.  
  177. I did however also change it‚Äôs code with Super ResEdit. I changed the conditional that the program referred to 4 times! And so the next time I could enter any reg. name and any reg. number and it would accept it!
  178.  
  179. So here‚Äôs a summary of what types of security precautions the software used!
  180.    1. It checked to see if my reg. name was that found in HackersHelper or HackUser. This is a very unusual thing to do! I‚Äôve never seen software of this caliber do this before!
  181.    2. It did a bunch of calculation with my reg. name. Almost all programs with serial number protections do this!
  182.    3. It compared the reg. number I entered to a valid one. Again, this step is used by most softwares!
  183.    4. If these two numbers were equal it set two flags, one in d1 and one in d7. Quite a common technique. Makes life a bit of a bitch!
  184.    5. It rechecked 4 more times whether the reg. number I entered was valid or not. G‚ÄôDamn! Give it a break! Most programs (of this size) only check for the validity of the two numbers once or twice! But since it was the same conditional that did the checking, after I changed it with ResEdit, I could enter any reg. name and number I wanted!
  185.  
  186.  
  187. ---===< End of Part 2 >===---
  188.