home *** CD-ROM | disk | FTP | other *** search
/ Game Cracker (Expanded Edition) / Game Cracker (Expanded Edition).iso / cracks / SV_SMASH.ZIP / Sega Smash Pack.txt < prev    next >
Encoding:
Text File  |  1999-05-20  |  20.5 KB  |  431 lines
  1.  
  2. Free Information Xchange presents:
  3.  
  4. Sega Smash Pack - CD crack by Static Vengeance - May 19th, 1999
  5.  
  6. REQUIREMENTS:
  7. Full game install
  8. W32Dasm & Hex editor
  9.  
  10.     This game let's you play 8 classic games from Sega (the genesis console game I think).  The
  11. games include: Altered Beast, Columns, Golden Axe, Outrun, Phantasy Star 2, Super Shinobi & VectorMan
  12. The games and graphics aren't that good but they have been done in a Windows 95/98 format so you can
  13. play them.  The game also has one other problem with it.  A problem we can FiX by removing a little
  14. program bug left in by the programers.  The bug I'm speaking of is the CD check that is made before
  15. you can play any of the games.  Sega should have spent more time on updating the graphics (256 colors,
  16. what a waste of todays video cards) at the very least.  Anyways let's crack this one for "practice"
  17. ok.  First thing you do is to install the game and try to run it without the CD in the drive.  Bingo
  18. up pops a little Windows dialog saying we need the CD in the drive.
  19.     Same old method as used so many times before.  Disassemble the smash.exe and go up to the menu bar
  20. and select refs.  Then select "String data references" from the drop down menu.  From there, grab the
  21. slider bar on the refs box and scroll down until you see "Please insert the Sega Smash Pack CD-ROM in your"
  22. text.  What, no text to double click on?  How can that be?, well here's a clue:
  23.  
  24. +++++++++++++++++ DIALOG INFORMATION ++++++++++++++++++
  25.  
  26. Number of Dialogs =    2 (decimal)
  27.  
  28. Name: DialogID_0065, # of Controls=003, Caption:"No DirectSound Hardware Driver.", ClassName:""
  29.      001 - ControlID:03E9, Control Class:"BUTTON" Control Text:"Disable Sound" 
  30.      002 - ControlID:03E8, Control Class:"BUTTON" Control Text:"Use Emulation" 
  31.      003 - ControlID:FFFF, Control Class:"STATIC" Control Text:"Your Sound Hardware is not supported
  32.                                                                 by DirectSound." 
  33. Name: DialogID_0070, # of Controls=003, Caption:"CD-ROM Not Found.", ClassName:""
  34.      001 - ControlID:0001, Control Class:"BUTTON" Control Text:"OK" 
  35.      002 - ControlID:0002, Control Class:"BUTTON" Control Text:"Cancel" 
  36.      003 - ControlID:FFFF, Control Class:"STATIC" Control Text:"Please insert the Sega Smash Pack
  37.                                                                 CD-ROM in your CD-ROM Drive." 
  38.  
  39.     Sega is using a dialog ID and controls to build the pop-up dialog box.  Which means we'll have
  40. to used the next best thing.  Do a text search for "getdrivetypea" which is a KERNEL32.DLL call that is
  41. commonly used in CD checks.  Doing so will lead you to this bit of code:
  42.  
  43. * Referenced by a CALL at Address:
  44. |:004047F3                                           <-- Called only once
  45. |
  46. :00401060 81EC04020000            sub esp, 00000204
  47. :00401066 53                      push ebx
  48. :00401067 55                      push ebp
  49.  
  50. * Reference To: KERNEL32.GetFileAttributesA, Ord:010Dh
  51.                                   |
  52. :00401068 8B2D40C04300            mov ebp, dword ptr [0043C040]
  53. :0040106E 56                      push esi
  54. :0040106F 57                      push edi
  55.  
  56. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  57. |:00401293(U)
  58. |
  59. :00401070 8D842494010000          lea eax, dword ptr [esp+00000194]
  60. :00401077 8D9C2494010000          lea ebx, dword ptr [esp+00000194]
  61. :0040107E 50                      push eax
  62. :0040107F 6880000000              push 00000080
  63.  
  64. * Reference To: KERNEL32.GetLogicalDriveStringsA, Ord:011Eh
  65.                                   |
  66. :00401084 FF153CC04300            Call dword ptr [0043C03C]
  67. :0040108A 85C0                    test eax, eax
  68. :0040108C 0F8448020000            je 004012DA              <-- Jump down to CD check failed & exit
  69. :00401092 6A01                    push 00000001
  70.  
  71. * Reference To: KERNEL32.SetErrorMode, Ord:0264h
  72.                                   |
  73. :00401094 FF152CC04300            Call dword ptr [0043C02C]
  74. :0040109A 8A842494010000          mov al, byte ptr [esp+00000194]
  75. :004010A1 84C0                    test al, al
  76. :004010A3 0F84C5010000            je 0040126E
  77.  
  78. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  79. |:00401268(C)
  80. |
  81. :004010A9 53                      push ebx
  82.  
  83. * Reference To: KERNEL32.GetDriveTypeA, Ord:0104h            <-- Text string we searched for
  84.                                   |
  85. :004010AA FF1520C04300            Call dword ptr [0043C020]
  86. :004010B0 83F805                  cmp eax, 00000005          <-- 05 is the value for CD-Rom drive
  87. :004010B3 0F859E010000            jne 00401257
  88. :004010B9 8BFB                    mov edi, ebx
  89. :004010BB 83C9FF                  or ecx, FFFFFFFF
  90. :004010BE 33C0                    xor eax, eax
  91. :004010C0 8D942490000000          lea edx, dword ptr [esp+00000090]
  92. :004010C7 F2                      repnz
  93. :004010C8 AE                      scasb
  94. :004010C9 F7D1                    not ecx
  95. :004010CB 2BF9                    sub edi, ecx
  96. :004010CD 8BC1                    mov eax, ecx
  97. :004010CF 8BF7                    mov esi, edi
  98. :004010D1 8BFA                    mov edi, edx
  99. :004010D3 8D942490000000          lea edx, dword ptr [esp+00000090]
  100. :004010DA C1E902                  shr ecx, 02
  101. :004010DD F3                      repz
  102. :004010DE A5                      movsd
  103. :004010DF 8BC8                    mov ecx, eax
  104. :004010E1 33C0                    xor eax, eax
  105. :004010E3 83E103                  and ecx, 00000003
  106. :004010E6 F3                      repz
  107. :004010E7 A4                      movsb
  108.  
  109. * Possible StringData Ref from Data Obj ->"autorun.inf"   <-- Look for this file in the root dir
  110.                                   |
  111. :004010E8 BF88D04700              mov edi, 0047D088
  112. :004010ED 83C9FF                  or ecx, FFFFFFFF
  113. :004010F0 F2                      repnz
  114. :004010F1 AE                      scasb
  115. :004010F2 F7D1                    not ecx
  116. :004010F4 2BF9                    sub edi, ecx
  117. :004010F6 8BF7                    mov esi, edi
  118. :004010F8 8BFA                    mov edi, edx
  119. :004010FA 8BD1                    mov edx, ecx
  120. :004010FC 83C9FF                  or ecx, FFFFFFFF
  121. :004010FF F2                      repnz
  122. :00401100 AE                      scasb
  123. :00401101 8BCA                    mov ecx, edx
  124. :00401103 4F                      dec edi
  125. :00401104 C1E902                  shr ecx, 02
  126. :00401107 F3                      repz
  127. :00401108 A5                      movsd
  128. :00401109 8BCA                    mov ecx, edx
  129. :0040110B 8D842490000000          lea eax, dword ptr [esp+00000090]
  130. :00401112 83E103                  and ecx, 00000003
  131. :00401115 50                      push eax
  132. :00401116 F3                      repz
  133. :00401117 A4                      movsb
  134. :00401118 FFD5                    call ebp
  135. :0040111A 83F8FF                  cmp eax, FFFFFFFF
  136. :0040111D 0F8434010000            je 00401257
  137. :00401123 8D8C2490000000          lea ecx, dword ptr [esp+00000090]
  138.  
  139. * Possible StringData Ref from Data Obj ->"rt"                      <-- "Read Text"
  140.                                   |
  141. :0040112A 6884D04700              push 0047D084
  142. :0040112F 51                      push ecx
  143. :00401130 E8CE5B0300              call 00436D03
  144. :00401135 8BF0                    mov esi, eax
  145. :00401137 8D542418                lea edx, dword ptr [esp+18]
  146. :0040113B 56                      push esi
  147. :0040113C 6A40                    push 00000040
  148. :0040113E 52                      push edx
  149. :0040113F E8485B0300              call 00436C8C
  150. :00401144 8D442424                lea eax, dword ptr [esp+24]
  151.  
  152. * Possible StringData Ref from Data Obj ->"[autorun]"              <-- Look for this text string
  153.                                   |
  154. :00401148 6878D04700              push 0047D078
  155. :0040114D 50                      push eax
  156. :0040114E E8AD5A0300              call 00436C00
  157. :00401153 83C41C                  add esp, 0000001C
  158. :00401156 85C0                    test eax, eax
  159. :00401158 56                      push esi
  160. :00401159 0F85F0000000            jne 0040124F
  161. :0040115F 8D4C2414                lea ecx, dword ptr [esp+14]
  162. :00401163 6A40                    push 00000040
  163. :00401165 51                      push ecx
  164. :00401166 E8215B0300              call 00436C8C
  165. :0040116B 8D54241C                lea edx, dword ptr [esp+1C]
  166.  
  167. * Possible StringData Ref from Data Obj ->"open=Smash.exe"         <-- Then find this text string
  168.                                   |
  169. :0040116F 6868D04700              push 0047D068
  170. :00401174 52                      push edx
  171. :00401175 E8865A0300              call 00436C00
  172. :0040117A 83C414                  add esp, 00000014
  173. :0040117D 85C0                    test eax, eax
  174. :0040117F 56                      push esi
  175. :00401180 0F85C9000000            jne 0040124F
  176. :00401186 E8135A0300              call 00436B9E
  177. :0040118B 8BFB                    mov edi, ebx
  178. :0040118D 83C9FF                  or ecx, FFFFFFFF
  179. :00401190 33C0                    xor eax, eax
  180. :00401192 83C404                  add esp, 00000004
  181. :00401195 F2                      repnz
  182. :00401196 AE                      scasb
  183. :00401197 F7D1                    not ecx
  184. :00401199 2BF9                    sub edi, ecx
  185. :0040119B 8D942490000000          lea edx, dword ptr [esp+00000090]
  186. :004011A2 8BC1                    mov eax, ecx
  187. :004011A4 8BF7                    mov esi, edi
  188. :004011A6 8BFA                    mov edi, edx
  189. :004011A8 8D942490000000          lea edx, dword ptr [esp+00000090]
  190. :004011AF C1E902                  shr ecx, 02
  191. :004011B2 F3                      repz
  192. :004011B3 A5                      movsd
  193. :004011B4 8BC8                    mov ecx, eax
  194. :004011B6 33C0                    xor eax, eax
  195. :004011B8 83E103                  and ecx, 00000003
  196. :004011BB F3                      repz
  197. :004011BC A4                      movsb
  198.  
  199. * Possible StringData Ref from Data Obj ->"Setup\Setup.ini"     <-- Next, look for this file
  200.                                   |
  201. :004011BD BF58D04700              mov edi, 0047D058
  202. :004011C2 83C9FF                  or ecx, FFFFFFFF
  203. :004011C5 F2                      repnz
  204. :004011C6 AE                      scasb
  205. :004011C7 F7D1                    not ecx
  206. :004011C9 2BF9                    sub edi, ecx
  207. :004011CB 8BF7                    mov esi, edi
  208. :004011CD 8BFA                    mov edi, edx
  209. :004011CF 8BD1                    mov edx, ecx
  210. :004011D1 83C9FF                  or ecx, FFFFFFFF
  211. :004011D4 F2                      repnz
  212. :004011D5 AE                      scasb
  213. :004011D6 8BCA                    mov ecx, edx
  214. :004011D8 4F                      dec edi
  215. :004011D9 C1E902                  shr ecx, 02
  216. :004011DC F3                      repz
  217. :004011DD A5                      movsd
  218. :004011DE 8BCA                    mov ecx, edx
  219. :004011E0 8D842490000000          lea eax, dword ptr [esp+00000090]
  220. :004011E7 83E103                  and ecx, 00000003
  221. :004011EA 50                      push eax
  222. :004011EB F3                      repz
  223. :004011EC A4                      movsb
  224. :004011ED FFD5                    call ebp
  225. :004011EF 83F8FF                  cmp eax, FFFFFFFF
  226. :004011F2 7463                    je 00401257
  227. :004011F4 8D8C2490000000          lea ecx, dword ptr [esp+00000090]
  228.  
  229. * Possible StringData Ref from Data Obj ->"rt"                       <-- Another Read Text command
  230.                                   |
  231. :004011FB 6884D04700              push 0047D084
  232. :00401200 51                      push ecx
  233. :00401201 E8FD5A0300              call 00436D03
  234. :00401206 8BF0                    mov esi, eax
  235. :00401208 8D542418                lea edx, dword ptr [esp+18]
  236. :0040120C 56                      push esi
  237. :0040120D 6A40                    push 00000040
  238. :0040120F 52                      push edx
  239. :00401210 E8775A0300              call 00436C8C
  240. :00401215 8D442424                lea eax, dword ptr [esp+24]
  241.  
  242. * Possible StringData Ref from Data Obj ->"[startup]"               <-- Look for this string of text
  243.                                   |
  244. :00401219 684CD04700              push 0047D04C
  245. :0040121E 50                      push eax
  246. :0040121F E8DC590300              call 00436C00
  247. :00401224 83C41C                  add esp, 0000001C
  248. :00401227 85C0                    test eax, eax
  249. :00401229 56                      push esi
  250. :0040122A 7523                    jne 0040124F
  251. :0040122C 8D4C2414                lea ecx, dword ptr [esp+14]
  252. :00401230 6A40                    push 00000040
  253. :00401232 51                      push ecx
  254. :00401233 E8545A0300              call 00436C8C
  255. :00401238 8D54241C                lea edx, dword ptr [esp+1C]
  256.  
  257. * Possible StringData Ref from Data Obj ->"appname=sega smash pack"   <-- Now find this string
  258.                                   |
  259. :0040123C 6830D04700              push 0047D030
  260. :00401241 52                      push edx
  261. :00401242 E8B9590300              call 00436C00
  262. :00401247 83C414                  add esp, 00000014
  263. :0040124A 85C0                    test eax, eax
  264. :0040124C 56                      push esi
  265. :0040124D 7449                    je 00401298          <-- Everything is good, CD check passed & exit
  266.  
  267. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
  268. |:00401159(C), :00401180(C), :0040122A(C)
  269. |
  270. :0040124F E84A590300              call 00436B9E
  271. :00401254 83C404                  add esp, 00000004
  272.  
  273. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
  274. |:004010B3(C), :0040111D(C), :004011F2(C)
  275. |
  276. :00401257 8A03                    mov al, byte ptr [ebx]
  277. :00401259 43                      inc ebx
  278. :0040125A 84C0                    test al, al
  279. :0040125C 7407                    je 00401265
  280.  
  281. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  282. |:00401263(C)
  283. |
  284. :0040125E 8A0B                    mov cl, byte ptr [ebx]
  285. :00401260 43                      inc ebx
  286. :00401261 84C9                    test cl, cl
  287. :00401263 75F9                    jne 0040125E
  288.  
  289. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  290. |:0040125C(C)
  291. |
  292. :00401265 803B00                  cmp byte ptr [ebx], 00
  293. :00401268 0F853BFEFFFF            jne 004010A9
  294.  
  295. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  296. |:004010A3(C)
  297. |
  298. :0040126E 6A00                    push 00000000
  299.  
  300. * Reference To: KERNEL32.SetErrorMode, Ord:0264h
  301.                                   |
  302. :00401270 FF152CC04300            Call dword ptr [0043C02C]
  303. :00401276 8B1584F05A00            mov edx, dword ptr [005AF084]
  304. :0040127C 6A00                    push 00000000
  305. :0040127E 6800104000              push 00401000
  306. :00401283 6A00                    push 00000000
  307.  
  308. * Possible Reference to Dialog: DialogID_0070              <-- Set info for CD request dialog box
  309.                                   |
  310. :00401285 6A70                    push 00000070
  311. :00401287 52                      push edx
  312.  
  313. * Reference To: USER32.DialogBoxParamA, Ord:0093h          <-- Do it the pop-up box & ask for the CD
  314.                                   |
  315. :00401288 FF15FCC04300            Call dword ptr [0043C0FC]
  316. :0040128E 83F801                  cmp eax, 00000001        <-- 01 means you hit cancel to abort the game
  317. :00401291 7447                    je 004012DA              <-- Take this to cancel and return as failed
  318. :00401293 E9D8FDFFFF              jmp 00401070             <-- Jump back up and retry
  319.  
  320. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  321. |:0040124D(C)
  322. |
  323. :00401298 E801590300              call 00436B9E
  324. :0040129D 8BFB                    mov edi, ebx
  325. :0040129F 83C9FF                  or ecx, FFFFFFFF
  326. :004012A2 33C0                    xor eax, eax
  327. :004012A4 83C404                  add esp, 00000004
  328. :004012A7 F2                      repnz
  329. :004012A8 AE                      scasb
  330. :004012A9 F7D1                    not ecx
  331. :004012AB 2BF9                    sub edi, ecx
  332. :004012AD 6A00                    push 00000000
  333. :004012AF 8BC1                    mov eax, ecx
  334. :004012B1 8BF7                    mov esi, edi
  335. :004012B3 BF90E64D00              mov edi, 004DE690
  336. :004012B8 C1E902                  shr ecx, 02
  337. :004012BB F3                      repz
  338. :004012BC A5                      movsd
  339. :004012BD 8BC8                    mov ecx, eax
  340. :004012BF 83E103                  and ecx, 00000003
  341. :004012C2 F3                      repz
  342. :004012C3 A4                      movsb
  343.  
  344. * Reference To: KERNEL32.SetErrorMode, Ord:0264h
  345.                                   |
  346. :004012C4 FF152CC04300            Call dword ptr [0043C02C]
  347. :004012CA 5F                      pop edi                   <-- Could redirect code here from 40108C
  348. :004012CB 5E                      pop esi
  349. :004012CC 5D                      pop ebp
  350. :004012CD B801000000              mov eax, 00000001
  351. :004012D2 5B                      pop ebx
  352. :004012D3 81C404020000            add esp, 00000204
  353. :004012D9 C3                      ret
  354.  
  355. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:  <-- failed check comes here
  356. |:0040108C(C), :00401291(C)
  357. |
  358. :004012DA 5F                      pop edi
  359. :004012DB 5E                      pop esi
  360. :004012DC 5D                      pop ebp
  361. :004012DD 33C0                    xor eax, eax           <-- A zero in eax means no CD found
  362. :004012DF 5B                      pop ebx
  363. :004012E0 81C404020000            add esp, 00000204
  364. :004012E6 C3                      ret
  365.  
  366.     That was the CD checking routine.  It simply checks for the autorun.inf file on the CD and then
  367. opens it and reads the text strings.  Then compares against what's on an original Smash Pack CD.  Then
  368. the code opens the setup.ini and reads some text strings and compares it as well.  If everything works
  369. out then the code comes down to 401298, does a few things and eventualy loads eax with 01 to signify that
  370. the CD rom was found.  If not, the code jumps down to 4012DA and load eax with a zero for a failed CD
  371. check.  A quick crack would be to use the je at 40108C and change it to a non-conditional jump down to
  372. 4012CA.  This redirect would send the code right down the section the sets up for a passed CD check and
  373. exit.  That way 95% of the CD check isn't run and the correct value would be returned in eax.  The actual
  374. edit for that would be:
  375.  
  376. Edit smash.exe at 4,236
  377. =============================
  378. Search for: 0F 84 48 02 00 00
  379. Change to : 90 E9 38 -- -- --
  380.  
  381.     However, I like to stick to my normal methods and kill the CD check from the caller.  So let's check
  382. the code that calls this routine to see what needs to be done to crack this game. The code surounding 004047F3:
  383.  
  384.   -- Program code --
  385. :004047DF 57                      push edi
  386.  
  387. * Reference To: USER32.CreateWindowExA, Ord:0059h
  388.                                   |
  389. :004047E0 FF1520C14300            Call dword ptr [0043C120]
  390. :004047E6 3BC7                    cmp eax, edi
  391. :004047E8 A388F05A00              mov dword ptr [005AF088], eax
  392. :004047ED 0F8491010000            je 00404984
  393. :004047F3 E868C8FFFF              call 00401060                  <-- Do the CD check
  394. :004047F8 85C0                    test eax, eax                  <-- Test eax for pass/fail
  395. :004047FA 0F8484010000            je 00404984                    <-- eax=zero means failed - do not take!
  396. :00404800 A188F05A00              mov eax, dword ptr [005AF088]  <-- Getting this far continues the game
  397. :00404805 6A05                    push 00000005
  398. :00404807 50                      push eax
  399.  
  400. * Reference To: USER32.ShowWindow, Ord:026Ah
  401.                                   |
  402. :00404808 FF152CC14300            Call dword ptr [0043C12C]
  403. :0040480E 8B0D88F05A00            mov ecx, dword ptr [005AF088]
  404. :00404814 51                      push ecx
  405.   -- The rest of the game code --
  406.  
  407.     That's it, all you need to do is stop the check from being made and make sure you don't take
  408. the je jump at 004047FA.  The easiest way I can think of to do that would be to change the call to the
  409. CD check to mov eax, 00000001.  That way the CD check is never run and eax is loaded with 01 which makes
  410. the je fail.  This of course allows the game to run even though the CD isn't in the CD Rom drive.  There
  411. you have it, cracked and fully palyable from your hard drive.
  412.  
  413. 1.  Do a full game install
  414. 2.  Make the following edit
  415.  
  416. Edit smash.exe at 18,419
  417. ==========================
  418. Search for: E8 68 C8 FF FF
  419. Change to : B8 01 00 00 00
  420.  
  421. 3.  Try to enjoy it
  422.  
  423.     Save yourself a few bucks and download Mame (or Mame32) and grab the ~1,300 ROM sets it runs.
  424. It'll look as good or better and run so many more games, plus it's free.  Just takes some time and
  425. effort to download all those roms.  -+- Don't ask where to get it, just go to:  www.arcadeathome.com
  426.  
  427.     Two ways to crack this one, either way you choose to do it, this one is done becuase we FiX'ed it!
  428.  
  429. Static Vengeance - FiX
  430.  
  431.