home *** CD-ROM | disk | FTP | other *** search
/ Game Cracker (Expanded Edition) / Game Cracker (Expanded Edition).iso / cracks / RC_KHG.ZIP / klingon.txt < prev    next >
Encoding:
Text File  |  1998-12-10  |  14.1 KB  |  276 lines
  1.  
  2. >>best viewed in 1024*768 with your favourite text editor<<
  3.  
  4.  
  5. Free Information Xchange presents:
  6.  
  7. Klingon Honor Guard v1.0 - CD crack by R!SC - 0A/0C/62 (10th Dec 98 !)
  8.  
  9. REQUIREMENTS:
  10. Hex editor
  11. W32Dasm
  12.  
  13.  
  14.    Lets get started then. Well, the game came on 2 CD's, I didn't like the look of that, 1.2gb of
  15. data? I checked the first CD, 140mb install file, 140mb video. I checked the second CD, 353mb of
  16. videos! Well, things are looking nicer know. We don't really need to worry about the game needing
  17. data off the CD's once it is installed, so lets Kill that nasty CD check.
  18.  
  19.  Install the game, take out the CD and load KHG(you know what I mean). Doesn't ask for a CD.
  20. Select 'NEW' game, 'Single Player' ;), 'Insert the KHG CD into the CD-ROM'. Thats the message we
  21. want. Its not a Windows message box, so this one might be tricky. I don't see any point in searching
  22. for that message under the String Data References, so we will check the Function imports for 
  23. 'GetDriveTypeA' ((nearly) always used in CD Protection). Hmm, uses the 'Unreal' engine, we know
  24. in unreal the CD protection was in 'Window.dll', I loaded this into Wdasm, look under imports for 
  25. 'GetDriveTypeA', nothing there, in a patch for Unreal, they moved the protection into 'Unreal.exe'
  26. so I checked 'Klingons.exe', nothing there either, well I checked a few more Dll's, and found a
  27. call to 'GetDriveTypeA' in 'windrv.dll'. BOOM! Make a copy of 'windrv.dll', load the copy into
  28. W32dasm, click on functions/imports, scroll down until you get to KERNEL32.GetDriveTypeA, double
  29. click on this, and again, and again, if you payed attention, two refs to this function, the first
  30. one is ours. The second one is the jump to the windows routine in memory. I don't know how to explain
  31. it, except like this:- CALL=good (our actual code) JMP=bad (windows kernel code) OK?
  32.  
  33. * Possible StringData Ref from Data Obj ->"CdPath"               <-- Interesting?
  34.                                   |
  35. :10A0533C 68001BA110              push 10A11B00
  36.  
  37. * Possible StringData Ref from Data Obj ->"Engine.Engine"
  38.                                   |
  39. :10A05341 68401CA110              push 10A11C40
  40. :10A05346 AA                      stosb
  41.  
  42. * Reference To: Core.?GetConfigString@@YAHPBD0PADH0@Z, Ord:01B1h
  43.                                   |
  44. :10A05347 FF15D048A110            Call dword ptr [10A148D0]
  45.  
  46. * Possible StringData Ref from Data Obj ->"C:\"                  <-- common string in CD protection routines
  47.                                   |
  48. :10A0534D BFFC1AA110              mov edi, 10A11AFC
  49. :10A05352 83C9FF                  or ecx, FFFFFFFF
  50. :10A05355 33C0                    xor eax, eax
  51. :10A05357 83C414                  add esp, 00000014
  52. :10A0535A F2                      repnz
  53. :10A0535B AE                      scasb
  54. :10A0535C F7D1                    not ecx
  55. :10A0535E 2BF9                    sub edi, ecx
  56. :10A05360 8D542410                lea edx, dword ptr [esp+10]
  57. :10A05364 8BC1                    mov eax, ecx
  58. :10A05366 8BF7                    mov esi, edi
  59. :10A05368 8BFA                    mov edi, edx
  60. :10A0536A C1E902                  shr ecx, 02
  61. :10A0536D F3                      repz
  62. :10A0536E A5                      movsd
  63. :10A0536F 8BC8                    mov ecx, eax
  64. :10A05371 8D442410                lea eax, dword ptr [esp+10]
  65. :10A05375 83E103                  and ecx, 00000003
  66. :10A05378 50                      push eax
  67. :10A05379 F3                      repz
  68. :10A0537A A4                      movsb
  69. :10A0537B 8B8D0C010000            mov ecx, dword ptr [ebp+0000010C]
  70. :10A05381 8A9160040000            mov dl, byte ptr [ecx+00000460]
  71. :10A05387 88542414                mov byte ptr [esp+14], dl
  72.  
  73. * Reference To: KERNEL32.GetDriveTypeA, Ord:00DFh                <-- Call that got us here.
  74.                                   |
  75. :10A0538B FF15C04AA110            Call dword ptr [10A14AC0]
  76. :10A05391 83F805                  cmp eax, 00000005              <-- 05=CD-ROM
  77. :10A05394 7435                    je 10A053CB                    <-- If it finds a CD-ROM, it jumps
  78.                                                                  <-- to 10A053CB, we want this to happen!
  79.                                                                  <-- so we change this to a JMP (EB35)
  80. * Possible StringData Ref from Data Obj ->"mpbad"                <-- Not Good (heh!)
  81. :10A05396 68F41AA110              push 10A11AF4
  82. :10A0539B 53                      push ebx
  83.  
  84. * Reference To: Core.?Logf@FOutputDevice@@QAAXPBDZZ, Ord:024Dh
  85.                                   |
  86. :10A0539C FF15A448A110            Call dword ptr [10A148A4]      <-- this bit sez screw you, you ain't got no CD
  87.  
  88. * Reference To: Core.?GSystem@@3PAVFGlobalPlatform@@A, Ord:01A3h
  89.                                   |
  90. :10A053A2 8B0D7848A110            mov ecx, dword ptr [10A14878]
  91. :10A053A8 83C408                  add esp, 00000008
  92. :10A053AB 8B11                    mov edx, dword ptr [ecx]
  93.  
  94. * Possible StringData Ref from Data Obj ->"CDK = DriveRoot"
  95.                                   |
  96. :10A053AD 68E01AA110              push 10A11AE0
  97. :10A053B2 68FA020000              push 000002FA
  98. :10A053B7 52                      push edx
  99.  
  100. * Reference To: Core.?Logf@FOutputDevice@@QAAXW4EName@@PBDZZ, Ord:024Eh
  101.                                   |
  102. :10A053B8 FF159048A110            Call dword ptr [10A14890]
  103. :10A053BE 83C40C                  add esp, 0000000C
  104. :10A053C1 B801000000              mov eax, 00000001              <-- Say we failed CD-Check by putting
  105. :10A053C6 E997030000              jmp 10A05762                   <-- a 1 in eax and jumping to exit call
  106.  
  107.  Well, this is quite good, checks for a CD-ROM, if it finds one it jumps to 10A053CB, if not, it
  108. puts a '1' in EAX, then asks you for the CD? OK. Take the conditional jump after cmp eax,00000005
  109. (make sure the blue bar is on it and push cursor right(or use the button at the top)) We get to
  110. the code below. Have a look at it.
  111.  
  112. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  113. |:10A05394(C)
  114. |
  115. :10A053CB 8B850C010000            mov eax, dword ptr [ebp+0000010C]  <-- jump that said we had a
  116.                                                                      <-- CD brought us here 
  117. * Reference To: Core.?appSprintf@@YAHPADPBDZZ, Ord:033Dh
  118.                                   |
  119. :10A053D1 8B358848A110            mov esi, dword ptr [10A14888]
  120. :10A053D7 0560040000              add eax, 00000460
  121. :10A053DC 8D4C241C                lea ecx, dword ptr [esp+1C]
  122. :10A053E0 50                      push eax
  123.  
  124. * Possible StringData Ref from Data Obj ->"%snotcd.txt"              <-- well, nice of them wasn't it?
  125.                                   |
  126. :10A053E1 68D01AA110              push 10A11AD0
  127. :10A053E6 51                      push ecx
  128. :10A053E7 FFD6                    call esi
  129. :10A053E9 83C40C                  add esp, 0000000C
  130. :10A053EC 8D54241C                lea edx, dword ptr [esp+1C]
  131. :10A053F0 6A00                    push 00000000
  132. :10A053F2 6880000000              push 00000080
  133. :10A053F7 6A02                    push 00000002
  134. :10A053F9 6A00                    push 00000000
  135. :10A053FB 6A01                    push 00000001
  136. :10A053FD 6800000040              push 40000000
  137. :10A05402 52                      push edx
  138.  
  139. * Reference To: KERNEL32.CreateFileA, Ord:0031h                  <-- Try to Create a File on the
  140.                                                                  <-- Drive that GetDriveTypeA returned                                  |
  141. :10A05403 FF15C44AA110            Call dword ptr [10A14AC4]
  142. :10A05409 83F8FF                  cmp eax, FFFFFFFF              <-- FFFFFFFF(-1)=failed
  143. :10A0540C 7434                    je 10A05442                    <-- CD-ROMS are READ ONLY so if we
  144.                                                                  <-- couldn't write to it, it must be
  145.                                                                  <-- a CD-ROM (change this to a JMP)
  146.                                                                  <-- (EB34) 
  147. * Possible StringData Ref from Data Obj ->"mpbad"
  148.                                   |
  149. :10A0540E 68F41AA110              push 10A11AF4
  150. :10A05413 53                      push ebx
  151.  
  152. * Reference To: Core.?Logf@FOutputDevice@@QAAXPBDZZ, Ord:024Dh
  153.                                   |
  154. :10A05414 FF15A448A110            Call dword ptr [10A148A4]
  155. :10A0541A A17848A110              mov eax, dword ptr [10A14878]
  156. :10A0541F 83C408                  add esp, 00000008
  157. :10A05422 8B08                    mov ecx, dword ptr [eax]
  158.  
  159. * Possible StringData Ref from Data Obj ->"CDK = CanWrite"       <-- we don't want this?
  160.                                   |
  161. :10A05424 68BC1AA110              push 10A11ABC
  162. :10A05429 68FA020000              push 000002FA
  163. :10A0542E 51                      push ecx
  164.  
  165. * Reference To: Core.?Logf@FOutputDevice@@QAAXW4EName@@PBDZZ, Ord:024Eh
  166.                                   |
  167. :10A0542F FF159048A110            Call dword ptr [10A14890]
  168. :10A05435 83C40C                  add esp, 0000000C
  169. :10A05438 B801000000              mov eax, 00000001             <-- Say we failed CD-Check by putting
  170. :10A0543D E920030000              jmp 10A05762                  <-- a 1 in eax and jumping to exit call
  171.  
  172. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  173. |:10A0540C(C)
  174. |
  175. :10A05442 8D54241C                lea edx, dword ptr [esp+1C]   <-- we get here if we couldn't 'CreateFileA'
  176. :10A05446 689432A110              push 10A13294
  177. :10A0544B 52                      push edx
  178. :10A0544C FFD6                    call esi
  179. :10A0544E 8B850C010000            mov eax, dword ptr [ebp+0000010C]
  180. :10A05454 83C408                  add esp, 00000008
  181. :10A05457 0560040000              add eax, 00000460
  182. :10A0545C 8D4C241C                lea ecx, dword ptr [esp+1C]
  183. :10A05460 50                      push eax
  184.  
  185. * Possible StringData Ref from Data Obj ->"%sbuildup.avi"       <-- one of the files on CD 2
  186.                                   |
  187. :10A05461 68AC1AA110              push 10A11AAC
  188. :10A05466 51                      push ecx
  189. :10A05467 FFD6                    call esi
  190.  
  191. * Reference To: Core.?appFSize@@YAHPBD@Z, Ord:0311h             <-- check the size??
  192.                                   |
  193. :10A05469 8B3DCC48A110            mov edi, dword ptr [10A148CC]
  194. :10A0546F 83C40C                  add esp, 0000000C
  195. :10A05472 8D54241C                lea edx, dword ptr [esp+1C]
  196. :10A05476 52                      push edx
  197. :10A05477 FFD7                    call edi
  198. :10A05479 83C404                  add esp, 00000004
  199. :10A0547C 85C0                    test eax, eax
  200. :10A0547E 0F8F97000000            jg 10A0551B                   <-- if that passed, jump to 10A0551B
  201. :10A05484 A17848A110              mov eax, dword ptr [10A14878]
  202.  
  203. * Reference To: Core.?Logf@FOutputDevice@@QAAXW4EName@@PBDZZ, Ord:024Eh
  204.                                   |
  205. :10A05489 8B2D9048A110            mov ebp, dword ptr [10A14890]
  206.                                                                 <-- otherwise do this bit...
  207. * Possible StringData Ref from Data Obj ->"CDK = GPFNF"         <-- GPFNF=general protection fault xx
  208. |                                                               <-- (probably) not what we want...
  209. :10A0548F 689C1AA110              push 10A11A9C
  210. :10A05494 68FA020000              push 000002FA
  211. :10A05499 8B08                    mov ecx, dword ptr [eax]
  212. :10A0549B 51                      push ecx
  213. :10A0549C FFD5                    call ebp
  214. :10A0549E 83C40C                  add esp, 0000000C
  215. :10A054A1 8D54241C                lea edx, dword ptr [esp+1C]
  216. :10A054A5 689432A110              push 10A13294
  217. :10A054AA 52                      push edx
  218. :10A054AB FFD6                    call esi
  219. :10A054AD 83C408                  add esp, 00000008
  220. :10A054B0 8D442410                lea eax, dword ptr [esp+10]
  221. :10A054B4 8D4C241C                lea ecx, dword ptr [esp+1C]
  222. :10A054B8 50                      push eax
  223.  
  224. * Possible StringData Ref from Data Obj ->"%sintro.avi"
  225.                                   |
  226. :10A054B9 688C1AA110              push 10A11A8C
  227. :10A054BE 51                      push ecx
  228. :10A054BF FFD6                    call esi
  229. :10A054C1 83C40C                  add esp, 0000000C
  230. :10A054C4 8D54241C                lea edx, dword ptr [esp+1C]
  231. :10A054C8 52                      push edx
  232. :10A054C9 FFD7                    call edi
  233. :10A054CB 83C404                  add esp, 00000004
  234. :10A054CE 85C0                    test eax, eax
  235. :10A054D0 7F30                    jg 10A05502
  236.  
  237. * Possible StringData Ref from Data Obj ->"mpbad"
  238.  
  239.  Right then, the CD routine returns a '1' in eax if it failed (i.e. NO CD) otherwise, it does
  240. whatever, and returns a '0' in eax, so we can take all the jumps it makes for a good CD check, or
  241. we should be able to put a '0' in eax and jump to the exit routine. Well, I cant be bothered to
  242. find out, so, the last conditional jump we had in the CD-CHECK for good CD was the size check
  243.  
  244. :10A0547E 0F8F97000000            jg 10A0551B
  245.  
  246. Change this to a Jmp (this being a long jump=change the 0F8F97000000 to 90E997000000) A jmp is one
  247. byte smaller than a conditional jump, so we put a 90 (nop) at the start to fix this little problem. 
  248.  
  249.    Right, load 'windrv.dll' into your hex editor. Double click on the 'je 10A053CB' below the Ref to 
  250. "GetDriveTypeA" in W32dasm and at the bottom of the screen will be your offset to Hexedit the
  251. program. Mine was 00004794, back into Hex editor goto 00004794, change the 7435 (je) to a EB35 (jmp),
  252. W32Dasm again, double click 'je 10A05442' after the reference to 'CreateFileA', check the offset,
  253. back into your hex editor and change the 7434 (je) to a EB34 (jmp). W32Dasm again!, double click
  254. the 'jg 10A0551B' after the ref to 'Core.?appFSize' change the '0F8F97' to a '90E997' (jmp 10A0551B),
  255. save your file in hex editor, run the game and BOOM! you can play with no CD.
  256.  
  257.  
  258. edit windrv.dll (offsets are in hex)
  259. =======================================
  260. Search for: 74 35    at offset 4794
  261. Change to : EB --
  262.  
  263. Search for: 74 34    at offset 480C
  264. Change to : EB --
  265.  
  266. Search for: 0F 8F 97 00 00 00 at offset 487E
  267. Change to : 90 E9 -- -- -- --
  268.  
  269.  
  270.  Another tutorial comes to an end and another game has been FiX'ed!
  271.  
  272. happy cracking love R!SC -- risc@notme.com
  273.  
  274.  
  275.  
  276.