home *** CD-ROM | disk | FTP | other *** search

---

/ Game Cracker (Expanded Edition) / Game Cracker (Expanded Edition).iso / cracks / SV_HEDZ.ZIP / HEDZ.txt

< prev

Wrap

Text File  |  1998-12-09  |  14KB  |  291 lines

---

1.  
2. Free Information Xchange presents:
3.  
4. HEDZ - CD crack by Static Vengeance - Dec 8th, 1998
5.  
6. Requirements:
7. Full game install
8. Hex editor & W32Dasm
9.  
10.     HEDZ is an interesting idea for a game!  Aliens have collected heads for different people all
11. over the world and throughout time.  Each head has some special powers assosiated with it.  Then you
12. pick the heads you want to use and go into combat in an arena.  Sounds like fun to me!  However there
13. is one thing I don't think is fun or funny.  This is having to have the original CD in the CD-Rom drive
14. to play the game.  Most of the time I only have a minute or two to play around so I don't like wasting
15. it search for the game CD.  So it's time to FiX HEDZ so you can play it without the CD.
16.     First, we'll disassemble the game file with W32Dasm and look into what's going on.  When you
17. get to the refs pop-up box, grab the slider and scroll down looking for interesting things.  Hhmmmm,
18. to direct referece to inserting the CD text.  However there is the ref "A:\" which is commonly used in
19. CD checks, along with "C:\"  These string are usually right before a KERNEL32.GetDriveTypeA call.  This
20. KERNEL32.dll call checks the disk drive and returns values for each type of drive, like floppies, hard
21. drives, CD-Roms, unknown... ect.  Anyways, to continue, if you double click that ref you'll be in the
22. middle of this routine:
23.  
24. * Referenced by a CALL at Addresses:
25. |:004685CC   , :00468606   , :0046EBC2   , :0046EC85   , :0046FEF3   <-- Called 5 times
26. |
27. :0046E030 55                      push ebp
28. :0046E031 8BEC                    mov ebp, esp
29. :0046E033 B8AC010000              mov eax, 000001AC
30. :0046E038 E8D3F20300              call 004AD310
31. :0046E03D 8D85F8FEFFFF            lea eax, dword ptr [ebp+FFFFFEF8]
32.  
33. * Possible StringData Ref from Data Obj ->"A:\"                      <-- Start with A:\ drive
34.                                   |
35. :0046E043 6820074D00              push 004D0720
36. :0046E048 50                      push eax
37. :0046E049 E8B2FB0300              call 004ADC00
38. :0046E04E 8A0DE0615D00            mov cl, byte ptr [005D61E0]
39. :0046E054 83C408                  add esp, 00000008
40. :0046E057 8D95F8FEFFFF            lea edx, dword ptr [ebp+FFFFFEF8]
41. :0046E05D 888DF8FEFFFF            mov byte ptr [ebp+FFFFFEF8], cl
42. :0046E063 52                      push edx
43.  
44. * Reference To: KERNEL32.GetDriveTypeA, Ord:00DFh                   <-- Get the type of drive
45.                                   |
46. :0046E064 FF15A4004C00            Call dword ptr [004C00A4]
47. :0046E06A 83F805                  cmp eax, 00000005                 <-- 05 is the value for a CD Rom
48. :0046E06D 7406                    je 0046E075                       <-- Take this jump if we found a CD Rom
49. :0046E06F B003                    mov al, 03                        <-- Else, move error code into al
50. :0046E071 8BE5                    mov esp, ebp
51. :0046E073 5D                      pop ebp
52. :0046E074 C3                      ret
53.  
54. * Referenced by a (U)nconditional or (C)onditional Jump at Address: <-- Got here via a conditional jump
55. |:0046E06D(C)
56. |
57. :0046E075 E8A6FFFFFF              call 0046E020
58. :0046E07A 84C0                    test al, al
59. :0046E07C 7579                    jne 0046E0F7
60. :0046E07E 8D8554FEFFFF            lea eax, dword ptr [ebp+FFFFFE54]
61. :0046E084 C78554FEFFFF94000000    mov dword ptr [ebp+FFFFFE54], 00000094
62. :0046E08E 50                      push eax
63.  
64. * Reference To: KERNEL32.GetVersionExA, Ord:014Dh
65.                                   |
66. :0046E08F FF15E4004C00            Call dword ptr [004C00E4]
67. :0046E095 83BD64FEFFFF01          cmp dword ptr [ebp+FFFFFE64], 00000001
68. :0046E09C 7559                    jne 0046E0F7
69. :0046E09E 6681BD60FEFFFFE803      cmp word ptr [ebp+FFFFFE60], 03E8
70. :0046E0A7 764E                    jbe 0046E0F7
71.  
72. * Possible StringData Ref from Data Obj ->"KERNEL32"
73.                                   |
74. :0046E0A9 6864074D00              push 004D0764
75.  
76. * Reference To: KERNEL32.LoadLibraryA, Ord:0190h
77.                                   |
78. :0046E0AE FF15E0004C00            Call dword ptr [004C00E0]
79.  
80. * Possible StringData Ref from Data Obj ->"GetDiskFreeSpaceEx"       <-- Check for free space on CD Rom
81.                                   |
82. :0046E0B4 6870074D00              push 004D0770
83. :0046E0B9 50                      push eax
84.  
85. * Reference To: KERNEL32.GetProcAddress, Ord:0116h
86.                                   |
87. :0046E0BA FF1598004C00            Call dword ptr [004C0098]
88. :0046E0C0 8D8DE8FEFFFF            lea ecx, dword ptr [ebp+FFFFFEE8]
89. :0046E0C6 8D55F8                  lea edx, dword ptr [ebp-08]
90. :0046E0C9 51                      push ecx
91. :0046E0CA 8D85F0FEFFFF            lea eax, dword ptr [ebp+FFFFFEF0]
92. :0046E0D0 52                      push edx
93. :0046E0D1 8D8DF8FEFFFF            lea ecx, dword ptr [ebp+FFFFFEF8]
94. :0046E0D7 50                      push eax
95. :0046E0D8 51                      push ecx
96.  
97. * Reference To: KERNEL32.GetDiskFreeSpaceExA, Ord:00DCh
98.                                   |
99. :0046E0D9 FF1594004C00            Call dword ptr [004C0094]
100. :0046E0DF 8B45FC                  mov eax, dword ptr [ebp-04]
101. :0046E0E2 85C0                    test eax, eax
102. :0046E0E4 7711                    ja 0046E0F7
103. :0046E0E6 7209                    jb 0046E0F1
104. :0046E0E8 817DF800CD5627          cmp dword ptr [ebp-08], 2756CD00
105. :0046E0EF 7306                    jnb 0046E0F7
106.  
107. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
108. |:0046E0E6(C)
109. |
110. :0046E0F1 B003                    mov al, 03                 <-- Move error code into al for error #3
111. :0046E0F3 8BE5                    mov esp, ebp
112. :0046E0F5 5D                      pop ebp
113. :0046E0F6 C3                      ret
114.  
115. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
116. |:0046E07C(C), :0046E09C(C), :0046E0A7(C), :0046E0E4(C), :0046E0EF(C)
117. |
118. :0046E0F7 8D95F8FEFFFF            lea edx, dword ptr [ebp+FFFFFEF8]
119. :0046E0FD 68E0615D00              push 005D61E0
120. :0046E102 52                      push edx
121. :0046E103 E8F8FA0300              call 004ADC00
122. :0046E108 83C408                  add esp, 00000008
123. :0046E10B 8D85F8FEFFFF            lea eax, dword ptr [ebp+FFFFFEF8]
124.  
125. * Possible StringData Ref from Data Obj ->"test"             <-- File name to "test"
126.                                   |
127. :0046E111 68C8074D00              push 004D07C8
128. :0046E116 50                      push eax
129. :0046E117 E8F4FA0300              call 004ADC10
130. :0046E11C 83C408                  add esp, 00000008
131. :0046E11F 8D8DF8FEFFFF            lea ecx, dword ptr [ebp+FFFFFEF8]
132.  
133. * Possible StringData Ref from Data Obj ->"wb"               <-- Try to Write Binary (wb) to CD
134.                                   |
135. :0046E125 68D0074D00              push 004D07D0
136. :0046E12A 51                      push ecx
137. :0046E12B E830FE0300              call 004ADF60
138. :0046E130 83C408                  add esp, 00000008
139. :0046E133 85C0                    test eax, eax
140. :0046E135 740F                    je 0046E146
141. :0046E137 50                      push eax
142. :0046E138 E8B3FB0300              call 004ADCF0
143. :0046E13D 83C404                  add esp, 00000004
144. :0046E140 B001                    mov al, 01                 <-- Move error code into al for error #1
145. :0046E142 8BE5                    mov esp, ebp
146. :0046E144 5D                      pop ebp
147. :0046E145 C3                      ret
148.  
149. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
150. |:0046E135(C)
151. |
152. :0046E146 8D95F8FEFFFF            lea edx, dword ptr [ebp+FFFFFEF8]
153. :0046E14C 68E0615D00              push 005D61E0
154. :0046E151 52                      push edx
155. :0046E152 E8A9FA0300              call 004ADC00
156. :0046E157 83C408                  add esp, 00000008
157. :0046E15A 8D85F8FEFFFF            lea eax, dword ptr [ebp+FFFFFEF8]
158.  
159. * Possible StringData Ref from Data Obj ->"Music\"                    <-- Partial path name on CD
160.                                   |
161. :0046E160 6818084D00              push 004D0818
162. :0046E165 50                      push eax
163. :0046E166 E8A5FA0300              call 004ADC10
164. :0046E16B 83C408                  add esp, 00000008
165. :0046E16E 8D8DF8FEFFFF            lea ecx, dword ptr [ebp+FFFFFEF8]
166.  
167. * Possible StringData Ref from Data Obj ->"1"                        <-- Name of the .mus file to check
168.                                   |
169. :0046E174 6820084D00              push 004D0820
170. :0046E179 51                      push ecx
171. :0046E17A E891FA0300              call 004ADC10
172. :0046E17F 83C408                  add esp, 00000008
173. :0046E182 8D95F8FEFFFF            lea edx, dword ptr [ebp+FFFFFEF8]
174.  
175. * Possible StringData Ref from Data Obj ->".MUS"                     <-- Look for this type of file
176.                                   |
177. :0046E188 6824084D00              push 004D0824
178. :0046E18D 52                      push edx
179. :0046E18E E87DFA0300              call 004ADC10
180. :0046E193 83C408                  add esp, 00000008
181. :0046E196 8D85F8FEFFFF            lea eax, dword ptr [ebp+FFFFFEF8]
182. :0046E19C 6861066503              push 03650661
183. :0046E1A1 50                      push eax
184. :0046E1A2 E819FEFFFF              call 0046DFC0
185. :0046E1A7 83C408                  add esp, 00000008
186. :0046E1AA 84C0                    test al, al
187. :0046E1AC 7506                    jne 0046E1B4
188. :0046E1AE B002                    mov al, 02                 <-- Move error code into al for error #2
189. :0046E1B0 8BE5                    mov esp, ebp
190. :0046E1B2 5D                      pop ebp
191. :0046E1B3 C3                      ret
192.  
193. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
194. |:0046E1AC(C)
195. |
196. :0046E1B4 8D8DF8FEFFFF            lea ecx, dword ptr [ebp+FFFFFEF8]
197. :0046E1BA 68E0615D00              push 005D61E0
198. :0046E1BF 51                      push ecx
199. :0046E1C0 E83BFA0300              call 004ADC00
200. :0046E1C5 83C408                  add esp, 00000008
201. :0046E1C8 8D95F8FEFFFF            lea edx, dword ptr [ebp+FFFFFEF8]
202.  
203. * Possible StringData Ref from Data Obj ->"Music\"
204.                                   |
205. :0046E1CE 682C084D00              push 004D082C
206. :0046E1D3 52                      push edx
207.  
208.   -- SNIP code:  use near identical code to check for files 2.mus through 6.mus --
209.  
210. :0046E3D2 7506                    jne 0046E3DA
211. :0046E3D4 B002                    mov al, 02
212. :0046E3D6 8BE5                    mov esp, ebp
213. :0046E3D8 5D                      pop ebp
214. :0046E3D9 C3                      ret
215.  
216. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
217. |:0046E3D2(C)
218. |
219. :0046E3DA 8D95F8FEFFFF            lea edx, dword ptr [ebp+FFFFFEF8]
220. :0046E3E0 68E0615D00              push 005D61E0
221. :0046E3E5 52                      push edx
222. :0046E3E6 E815F80300              call 004ADC00
223. :0046E3EB 83C408                  add esp, 00000008
224. :0046E3EE 8D85F8FEFFFF            lea eax, dword ptr [ebp+FFFFFEF8]
225.  
226. * Possible StringData Ref from Data Obj ->"Music\"
227.                                   |
228. :0046E3F4 6890084D00              push 004D0890
229. :0046E3F9 50                      push eax
230. :0046E3FA E811F80300              call 004ADC10
231. :0046E3FF 83C408                  add esp, 00000008
232. :0046E402 8D8DF8FEFFFF            lea ecx, dword ptr [ebp+FFFFFEF8]
233.  
234. * Possible StringData Ref from Data Obj ->"7"
235.                                   |
236. :0046E408 6898084D00              push 004D0898
237. :0046E40D 51                      push ecx
238. :0046E40E E8FDF70300              call 004ADC10
239. :0046E413 83C408                  add esp, 00000008
240. :0046E416 8D95F8FEFFFF            lea edx, dword ptr [ebp+FFFFFEF8]
241.  
242. * Possible StringData Ref from Data Obj ->".MUS"                    <-- Check for 7.mus file
243.                                   |
244. :0046E41C 689C084D00              push 004D089C
245. :0046E421 52                      push edx
246. :0046E422 E8E9F70300              call 004ADC10
247. :0046E427 83C408                  add esp, 00000008
248. :0046E42A 8D85F8FEFFFF            lea eax, dword ptr [ebp+FFFFFEF8]
249. :0046E430 685D5A3202              push 02325A5D
250. :0046E435 50                      push eax
251. :0046E436 E885FBFFFF              call 0046DFC0
252. :0046E43B 83C408                  add esp, 00000008
253. :0046E43E F6D8                    neg al              <-- Invert returned value
254. :0046E440 1AC0                    sbb al, al
255. :0046E442 24FE                    and al, FE          <-- If al=00, then al=FE / if al=FF then al=02
256. :0046E444 0402                    add al, 02          <-- FE+02 equals zero with carry bit set
257. :0046E446 8BE5                    mov esp, ebp
258. :0046E448 5D                      pop ebp
259. :0046E449 C3                      ret
260.  
261.     Well there you have the whole routine to check for the CD.  First the routine makes sure it's
262. checking a CD-Rom via a getdrivetype call.  Once found it proceeds to check for seven music files.  Like
263. if you didn't find the first one you wouldn't find the other six?  Anyways, if EVERYTHING is found this
264. routine returns a zero in al.  When I look at how I want to defeat this routine I look back at this:
265.  
266. :0046E06D 7406                    je 0046E075                       <-- Take this jump if we found a CD Rom
267. :0046E06F B003                    mov al, 03                        <-- Else, move error code into al
268.  
269.     If you zero out the displacement in the conditional jump, then load a zero (istead of 03) into
270. al the following instuctions just returns to the caller.  This is a quick and dirty way to kill this CD
271. check.  Now the CD check will make the getdrivetype, but then not jump anyway and al is loaded with a
272. zero to simulate actually finding the CD on line.  Changing both the 06 and 03 to zeros will kill the
273. CD check and allow you to play HEDZ without the CD in your CD-Rom drive.  To crack this one just:
274.  
275. 1.  Do a full game install
276. 2.  Make the following edits by version:
277.  
278. For the CD version edit HEDZ.exe
279. ==========================================
280. Search for: 74 06 B0 03  at offset 447,597
281. Change to : -- 00 -- 00
282.  
283. For updated "old win95" version edit HEDZ.exe
284. ==========================================
285. Search for: 74 06 B0 03  at offset 447,517
286. Change to : -- 00 -- 00
287.  
288.     That's it for HEDZ, becuase it's been FiX'ed.
289.  
290. Static Vengeance - FiX
291.