home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / +Sandman / Htocrk94.txt < prev    next >
Encoding:
Text File  |  2000-05-25  |  37.5 KB  |  759 lines
  1.  
  2.  
  3. HOW TO CRACK, by +ORC, A TUTORIAL
  4.  
  5.  
  6.  
  7.  
  8.  
  9. ------------------------------------------------------------------------
  10. Lesson 9 (4): How to crack Windows, Hands on
  11.  
  12.  
  13.  
  14.  
  15.  
  16. ------------------------------------------------------------------------
  17. [WEBEXPRESS] [REDIRECTION]
  18.  
  19.  
  20.  
  21.  
  22. á 'Dead listing' approach - second part
  23.  
  24.  
  25.  
  26.  
  27.  
  28. ------------------------------------------------------------------------
  29.  
  30.  
  31.  
  32.  
  33.                           ***********
  34.                   +HCU material FEBRUARY 1997
  35.                         LECTIO IN FIERI
  36.                           ***********                  
  37.   (Hic sunt tabulae: Best viewed with good old Courier 10)
  38.  
  39. First of all I'll give you a fundamental advice: don't stroll too
  40. much inside the dark codewoods without taking a due amount of
  41. notes: our paths are narrow, and wind in and out among
  42. codetrunks.
  43.      Everything may seem 'obvious' to you when you are
  44. continuously cracking a given target, but after a break, or
  45. having cracked something else, you'll notice, as soon as you
  46. begin working anew on the original target, that many 'obvious'
  47. things are not so evident any more, and that you'll probably have
  48. to follow once more quite a lot of previous steps.
  49.      Therefore heed my advice! NEVER WORK without taking notes,
  50. and never leave a crack without 'assembling' these notes in a
  51. short review where you'll synthesize 1) the paths you have
  52. followed in order to find the protection scheme, 2) a short
  53. description of the protection scheme itself and/or 3) the
  54. eventual new tricks you'll have found.
  55. Beginning with this lesson we will slowly drift towards 'higher'
  56. cracking, i.e., simply put, beginning from now I will give as
  57. acquired the minimum skills and knowledge you do need in order
  58. to crack (at least at this elementary level). Should you not feel
  59. able to follow a lesson, just re-read the 'basic' ones and
  60. practices on those lines until you do.
  61.      To day we'll work on WEBEXPRESS, an 'html page designer'
  62. program whose 'triple' protection scheme (nagscreens and time
  63. protection and disabled functions) has some interest for us.
  64.      I am using here version 1.0 of Webexpress for Win 3.1 by
  65. Microvision Development (at http://www.mvd.com). There is now a
  66. new beta version 2.0 out, but I reckon more useful to crack the
  67. older 16 bit Windows 3.1 application (august 1996) because this
  68. crack can be followed both by Windows 95 and by Windows 3.1 users
  69. (which -notwithstanding Microsoft's efforts- are still the
  70. majority). Besides, the Windows95 version's protection scheme and
  71. the beta one seem both to be more or less the same: you should
  72. be able to apply the following approaches, cracking the newer
  73. versions, without many problems (I did'nt check very thoroughly,
  74. though).
  75.      I am using version 1.0 of Webexpress, with following files:
  76. WEBEX.EXE      1.309.200 12 august 1996 Main program
  77. WEBEX.DWR      120.885   12 august 1996 ASCII  & resources
  78. (As usual you'll be able to fetch the whole application on the
  79. Web searching the archies).
  80. First of all let's fire Webexpress snapping the nagscreens (use
  81. snap32, cracked elsewhere in my tutorial, or PaintShopPro,
  82. cracked elsewhere in my tutorial, in order to get the printed
  83. snaps). This gives us a rough idea of our target's protection
  84. schema:
  85. This application is
  86. 1)  4 TIMES NAGSCREENED
  87.  
  88.  
  89.      1) Evaluation copy 'smallscreen' at the beginning
  90.      2) Evaluation copy Webexpress is NOT Freeware. This copy...
  91.      3) Evaluation copy 'smallscreen' at the end
  92.      4) To register Webexpress, enter your registration name...
  93. 2)  TIME-LIMITED (30 days)
  94. 3)  CRIPPLED (Prints 'Printed with an evaluation copy...' after
  95. 30 days).
  96.      Gosh, quite a lot of annoyances... that's NICE for us little
  97. crackers! (That's actually the real reason I have chosen this
  98. crap). There is obviously a lot to learn for us inside its
  99. protection scheme... wipe your hands, prepare your cocktail (may
  100. I suggest a good Martini-Wodka? Remember: put in your glass
  101. always the ice cubes first, then the Martini dry and then the
  102. Moskowskaja)... at work!
  103. We proceed first with a little reverse engineering, using our
  104. 'dead listing' approach (see lesson - 9.3) and loading Webex.exe
  105. inside W32dasm in order to get the disassembled listing of the
  106. program. A word of caution: I am using only for teaching purposes
  107. version 5 of W32dasm, because this is the disassembler that the
  108. masses will use (watch carefully the file lengths after you
  109. searched w32dasm through the archies, before ftpmailing it, else
  110. you'll fish only the shareware and incomplete versions of it) but
  111. I originally used WCB, a much older, DOS based, Windozes
  112. disassembler, which has, as you will see, some advantages vis-a-
  113. vis of W32dasm. Remember that you DO NOT NEED to run windows in
  114. order to crack windows programs... cracking has not much to do
  115. with a particular OS... since you learn (here) how to 'interact'
  116. with an application at a 'fundamental', machine language, level,
  117. you'll be ALWAYS able to apply 'DOS cracks' or 'Windows cracks'
  118. or 'Unix cracks' to whatever OS the idiots will fancy in 5 years
  119. time... you are learning a technique that will NEVER BE OBSOLETE,
  120. believe me.
  121. Well firing w32dasm (which, I insist, is not a very good
  122. disassembler) you'll be able to save the webex.alf listing
  123. (which is 16 million bytes long, BTW, a real tribute to the
  124. 'overbloatility' of C++ in general and Windows programming in
  125. particular). Now load this *.alf inside a wordprocessor (you
  126. would be well advised to use a fast and good wordprocessor, i.e.
  127. not Microsoft's one, when you deal with such monstrosities, once
  128. more there is no reason to work inside Windoze).
  129. Ok, let's start with the cracking! Alas! Searching our nagging
  130. ASCII strings inside the listing, we do NOT find any trace of the
  131. two main nagscreens of Webexpress (Evaluation copy... &  To
  132. register Webexpress...). These ASCII data are indeed NOT in the
  133. main *.exe module, but inside WEBEX.DWR, a file containing the
  134. resources for Webex (which seems compiled with Borland C++ 4,5
  135. btw). What now? Should we switch to Winice in order to find our
  136. protection scheme then? Has our dead listing approach failed?
  137. Well... let's examine a little more our listings... let's forget
  138. the ASCII strings -for the moment- and let's start with the
  139. easiest possible search in such cases: Since the limit of allowed
  140. days is 30 (which corresponds to 1Ex, duh) we could/should have
  141. somewhere an instruction like (we are here in a 16 bit
  142. application, not 32 one) mov ax,001E (B81E00)... would not we?
  143. Well, er... yes, quite. If you think this string of bytes is TOO
  144. SHORT and that you'll find much too many mov ax,001E inside a
  145. 1309200 bytes long file you are dead right... we would indeed
  146. find quite a lot of occurrences where 1E does not represent the
  147. 30 days limit at all, but only a parameter for a subsequent
  148. call:... let's conclude by saying that with overbloated programs
  149. -i.e. all Windows programs- there is no point in searching 'too
  150. short' shortcuts.
  151.      Our search for 'mov ax, 001E'... would fail for sure... But
  152. wait! Couldn't we narrow the search a little more?
  153. Yes, hey, we can! But we'll need both a little experience and a
  154. little feeling: You see: the normal code for such a protection
  155. inside Borland C++ would consist in a COUPLE of instructions:
  156. E81E00    mov ax,001E
  157. 2B06xxxx  sub ax,[gone_days]
  158. and since the code for 'sub ax,[whatever]' is 2B06xxxx, we now
  159. have a more 'robust' sequence of bytes for our search:
  160.                         E8 1E 00 2B 06
  161. Obviously we CANNOT search two consecutive instructions inside
  162. our disassembled listing using our wordprocessor search
  163. facilities, we will therefore have to search the above sequence
  164. inside Hexworkshop (a fairly good hexeditor that we cracked with
  165. - lesson 9.3 if you are using windoze, but you could anytime use
  166. old good (and powerful) PSEDIT). Let's do it... ahh! Things look
  167. muuuch better: splendid! There is only a single occurrence, at
  168. bytes 84565-84569 of our hexfile. Ok, done. Struck and destroyed.
  169. It's easy now to fetch this part of the code from our
  170. disassembled listing (we'll obviously have to translate the
  171. address 84565-84569 using the tables at the beginning of our
  172. Wdasm disassembly: here the relevant part:
  173. ...
  174. CSEG053 Off:83400 Size:1FFC Flags:0x1D10-CODE,MOVEABLE ; *53*
  175. ... and since 84565-83400 gives us 1165 bytes, the same address
  176. inside our listing will be :0053.1165... here it is!
  177. :THE_BINGO_QUICK_CRACK
  178. :0053.1162 8956EA        mov [bp-16], dx
  179. :0053.1165 B81E00        mov ax, 001E   ;load 30 *** BINGO!
  180. :0053.1168 2B066A46      sub ax, [466A] ;subtract gone_days
  181. :0053.116C 50            push ax
  182.  
  183. Well, this shows us immediately the importance of location
  184. [466A], which is the memory location where the day_counter
  185. "grows".
  186.      OK, bingo! This search has worked here without flaw or
  187. error... nevertheless beware! The abovementioned 'zen' method is
  188. NOT correct, coz it would in many cases NOT work (even if it
  189. actually worked here). Much too many protection schemes would
  190. have either
  191. a) a different (masked or concealed) initial value for ax instead
  192. of the exact one (here 1E): The protectionists could have a 'mov
  193. ax, 1F' (which is 31) and a 'dec ax' following it (which gives
  194. back our 30 days limit), or a zillion other possibilities in
  195. order to 'conceal' (more or less slightly :=) the purposes of the
  196. main comparison inside the code;
  197. b) another, completely different, assembler construction... say
  198. different instructions instead of sub ax,[gone_days], or
  199. c) junk between 'real' instructions (see elsewhere in my tutorial
  200. the 'junking' techniques for protection schemes).
  201. Therefore the abovementioned approach (unless you 'feel' the
  202. code) could make you waste too much time and would often miss the
  203. mustard... even if, interestingly enough, we ARE as a matter of
  204. fact landed smack in the middle of our protection using the
  205. simple trick above... but since you are here to learn the solid
  206. basic ways of cracking first (and you are not yet ready to feel
  207. the code, even if I believe you will, once you understand my
  208. 'zen' lessons at the end of this tutorial) here is a more 'sound'
  209. approach to this sort of cracking:
  210.      Looking at all the many data strings inside Webex.exe, as
  211. said above, we have NOT found the text of the nagscreens (which
  212. is located inside the resource file Webex.dwr), but we can
  213. nevertheless find ONE very interesting stringdata reference (did
  214. they forgot it?)... just have a look at the "string data
  215. references" inside W32dasm once you load webex.exe...
  216. HERE!:    "Printed with an evaluation copy"
  217. Ahha! Protectionist's squalor... how awful! This is a nagstring
  218. that should be WRITTEN inside any text printed with our copy of
  219. the application, should a user deem necessary to use it for more
  220. than the allowed 30 days... you remember our PaintShopPro
  221. cracking (- lessons 9.2 and 9.3) don't you? PaintShop had a
  222. counter as well, but there was no 'punishment' should you
  223. heedlessly 'overuse' the program. These 'MicroVision development'
  224. guys have purposely added a protection which cripples the program
  225. if you do not register it after 30 days! Buu! Buu!
  226.      Now please examine code segment 109.1A06... (using W32dasm)
  227. there you'll find a whole series of code protection strings.
  228. Let's now have a look at the part of the code that pushes
  229. "Printed with an evaluation copy", it's segment 82... as you will
  230. see, even coming from this direction we land immediately inside
  231. the protection scheme. As I said elsewhere... protection schemes
  232. inside the code of an application are like tarantulas on a
  233. wedding suit, it's impossible not to see them from pretty far
  234. away.
  235.  
  236. :COMPARE_VALUES_ADD_FB_AND_PRINT_NAGSTRING... NAGSTRING_ROUTINE
  237. :82.0B5F 8CD0        mov ax, ss    ;start of routine
  238. :82.0B61 90          nop
  239. :82.0B62 45          inc bp
  240. :82.0B63 55          push bp
  241. :82.0B64 8BEC        mov bp, sp
  242. :82.0B66 1E          push ds
  243. :82.0B67 8ED8        mov ds, ax
  244. :82.0B69 B8D400      mov ax, D4      ;parameter D4 for the next
  245. :82.0B6C 9AFFFF0000  call 0001.517Fh ;(and only) ubiquitous call
  246. :82.0B71 8C5EFC      mov [bp-04], ds
  247. :82.0B74 C746FAC319  mov word ptr [bp-06], 19C3 ;fix XX start
  248. :82.0B79 8D468E      lea ax, [bp-72]  ;ax = [bp-72]
  249. :82.0B7C 8C56F4      mov [bp-0C], ss  ;save ss
  250. :82.0B7F 8946F2      mov [bp-0E], ax  ;[bp-0E] = [bp-72]
  251. :82.0B82 EB14        jmp 0B98         ;begin loop
  252.  
  253. :82.0B84 C45EFA     les bx, [bp-06]  ;loop from B9F,begin=[19C3]
  254. :82.0B87 268A07     mov al , es:[bx] ;load in al es:[19C3](XX)
  255. :82.0B8A 04FB       add al, FB       ;add FB
  256. :82.0B8C C45EF2     les bx, [bp-0E]  ;load [bp-72] in bx
  257. :82.0B8F 268807     mov es:[bx], al  ;save XXX at es:[bp-72]
  258. :82.0B92 FF46FA     inc word ptr [bp06] ;next value loc gets+FB
  259. :82.0B95 FF46F2     inc word ptr [bp0E] ;next save location
  260. :82.0B98 C45EFA     les bx, [bp-06]  ;we begin/began at19C3
  261. :82.0B9B 26803F00   cmp byte ptr es:[bx], 0 ;are we done?
  262. :82.0B9F 75E3       jne 0B84           ;not yet, so loop up
  263. :82.0BA1 C45EF2     es bx, [bp-0E]
  264. :82.0BA4 26C60700   mov byte ptr es:[bx], 00
  265. :82.0BA8 16         push ss
  266. :82.0BA9 8D468E     lea ax, [bp-72]   ;prepare for the call
  267. :82.0BAC 50         push ax           ;passing all...
  268. :82.0BAD 1E         push ds           ;...these params...
  269.  
  270. * StringData Ref from Data Seg 109 -Printed with EvaluationCopy
  271.                      |
  272. :82.0BAE 68061A     push 1A06         ;push and be betrayed
  273. :82.0BB1 9AFFFF0000 call USER.LSTRCMP ;AhHa!
  274.  
  275. A very interesting block of code! You can easily see that here
  276. we have a reference to an obvious protection and at the end we
  277. have a call to USER.LSTRCMP, which is a case sensitive comparison
  278. of two null terminated strings, wildly used by windows
  279. protectionists (sic!).
  280.      As 'usual' (you remember our crack of Hexworkshop in -
  281. lesson 9.2, don't you?) we must search the 'caller' of this block
  282. of code, i.e., where, inside webex.exe, dwells one of the
  283. following calling strings
  284. Either         call 0B5F
  285. or             jmp, je, jz... you name it, 0B5F
  286. or             call 0082.0B5F
  287. Since the only common denominator of the above strings is a
  288. '0B5F' inside them, let's search first of all for 0B5F
  289. occurrences inside our 'protection' segment 82 (we should look
  290. further for the eventual call 0082.0B5F inside the other segments
  291. only if we do not fetch anything inside 82).
  292. And look! We land, almost immediately (remember that protection
  293. routines are most of the time 'compacted' inside one -or at most
  294. two- segments of wincode):
  295. :BE_NAGGED_INFIDEL
  296. :0082.0C8F 90        nop
  297. :0082.0C90 0E        push cs    ;prepare for call
  298. :0082.0C91 E86202    call 0EF6  ;call DECIDING_ROUTINE and...
  299. :0082.0C94 0BC0      or ax, ax  ;...check flag ax. IS it 0?
  300. :0082.0C96 7506      jne 0C9E   ;call compare if ax=1
  301. :0082.0C98 B80100    mov ax, 1  ;AX now 1 if it was zero...
  302. :0082.0C9B E9EE01    jmp 0E8C   ;...and do NOT call NAGSTRING
  303. :compare_howbadareyou
  304. :0082.0C9E 833E6E4602 cmp word ptr [466E], 2 ;is it 2?
  305. :0082.0CA3 7D02      jge 0CA7   ;[466E] = 2 call NAGSTRING!
  306. :0082.0CA5 EBF1      jmp 0C98   ;[466E]  10?
  307. :82.07EE 7E08          jle 07F8               ;if yes, Jesus,
  308. :82.07F0 C7066E460300  mov word ptr [466E], 3 ;flag 3=VERY BAD
  309. :82.07F6 EB15          jmp popout
  310.  
  311. :82.07F8 833E684605   cmp word ptr [4668], 5 ;is 4668  10?
  312. :82.0814 7E1E         jle 0834        ;yes, then...
  313. :82.0816 6A00         push 0          ;...let's...
  314. :82.0818 1E           push ds         ;...prepare
  315. * StringData Ref from Data Seg 109 -"CODE"
  316.                           |
  317. :82.0819 686D19      push 196D        ;...and
  318. :82.081C 1E          push ds          ;...then
  319. * StringData Ref from Data Seg 109 -"WB_10"
  320.                          |
  321. :82.081D 685119       push 1951
  322. :82.0820 9AFFFF0000   call 0069.09F4h ;...fire this routine
  323. :82.0825 83C40A       add sp, 000A
  324. :82.0828 0BC0         or ax, ax       ;and if not zero...
  325. :82.082A 7508         jne 0834        ;...then check can use
  326. :82.082C C7066E460300 mov word ptr [466E], 3 ;flag=3=VERY BAD
  327. :82.0832 EB15         jmp popout
  328.  
  329. :OK_4668_IS_MORE_THAN_10_THEREFORE_CAN_USE_OR_ALMOST:
  330. :82.0834 833E6A460A    cmp word ptr [466A], A ;is [466A]  10?
  331. :82.0839 7E08          jle 0843           ;can use if [466A] = 4.1-4.4: protection schemes based on time), this
  332. is done in a very rich number of ways, a double counter being one
  333. of the most common.
  334. OK, let's resume our findings:
  335. 1) We found our good old location [466A] compared to 1E (i.e.
  336. 30), which is very interesting to say the least.
  337. 2) We know now the meaning of location [466E], which may be
  338. either: 3=VERY BAD, DISABLING, or 2=TIME IS OVER or 1=TIME IS
  339. ALMOST OVER or 0=OK GO ON USING OUR CRAP
  340. So we'll 'name' this [466E] HOWBADAREYOU.
  341. Since we know that its value depends on the TWO parameters in
  342. [466A] and [4668], let's search for them. If we start with [466A]
  343. We land immediately to our 'first' block of code (the one found
  344. at the beginning of this lesson, the one inside segment 53,
  345. which seems to be an 'initialisation' segment):
  346. :FIRST_NEW_OCCURRENCE_OF_gone_days
  347. :0053.1162 8956EA       mov [bp-16], dx
  348. :0053.1165 B81E00       mov ax, 001E      ;load 30 ****
  349. :0053.1168 2B066A46     sub ax, [466A] ;subtract gone_days
  350. :0053.116C 50           push ax
  351. And we'll therefore 'name' [466A] GONEDAYS
  352. Let's do our first 'HANDS ON' checking.
  353. Pick up WEBEXP.EXE with hexworkshop (we cracked it in lesson -
  354. 9.3) and substitute (for instance)
  355. :0053.1165 B81E00       mov ax, 001E
  356. with
  357. :0053.1165 B81E1E       mov ax, 1E1E
  358. This should allow for more than 21 years of undisturbed use of
  359. this program (1E1E=7710 days) and if we run the program now we'll
  360. see that the 'Evaluation days remaining' of the nagscreen are
  361. indeed 7710. This crack will not work (alone), though, because
  362. there are, as we saw, other 'crosschecking' locations in play.
  363. Let's therefore gather a little more facts about these locations
  364. inside our code.
  365. :ANOTHER_OCCURRENCE_OF_[466A]_gone_days
  366. :0082.074E E843FC        call 0394     ;SHELL calls
  367. :0082.0751 83C406        add sp, 0006
  368. :0082.0754 A36846        mov [4668], ax  ;UPDATE [4668]
  369. :0082.0757 6A03          push 0003
  370. :0082.0759 6A00          push 0000
  371. :0082.075B 6A00          push 0000
  372. :0082.075D 0E            push cs
  373. :0082.075E E833FC        call 0394     ;SHELL calls
  374. :0082.0761 83C406        add sp, 0006
  375. :0082.0764 A36C46        mov [466C], ax ;save ax here
  376. :0082.0767 8B46FA        mov ax, [bp-06] ;get param
  377. :0082.076A 2B066046      sub ax, [4660]  ;sub ax with [4660]
  378. :0082.076E A36A46        mov [466A_GONEDAYS], ax ;UPDATE
  379. GONEDAYS!
  380. :0082.0771 8B46FC        mov ax, [bp-04]
  381. :0082.0774 8B56FA        mov dx, [bp-06]
  382. :0082.0777 3B066646      cmp ax, [4666]
  383. :0082.077B 7506          jne 0783
  384. :0082.077D 3B166446      cmp dx, [4664]
  385. :0082.0781 742F          je 07B2
  386. :0082.0783 FF066846      inc word ptr [4668] ;INCREASE [4668]!!
  387.  
  388. ****************** THE WHAT_THE_CUCKOO_PROBLEM ***************
  389. We better -first of all- have a closer look at this 'double' call
  390. 394 for learning purposes, coz here hides a very common 'mistake'
  391. of Wdasm: a problem that you may not be aware of: DISASSEMBLER
  392. OFTEN MISS THE BEGINNING OF THE ROUTINES.
  393. Look! Our listing does not seem to report any :0082.0394 routine
  394. at all!
  395. :WHAT_THE_CUCKOO?_NO_ROUTINE_AT_82.0394?
  396. :0082.038A 91                 xchg ax,cx
  397. :0082.038B 029B02AF           add bl , [bp+di-50FE]
  398. :0082.038F 02A502D2           add ah, [di-2DFE]
  399. :0082.0393 028CD090           add cl , [si-6F30]
  400. :0082.0397 45                 inc bp
  401. :0082.0398 55                 push bp
  402. ... But since missing the start of routines is a 'routinely'
  403. mistake for all disassemblers we can repair 'by hand' this piece
  404. of code, which in reality should read, once you rearrange the
  405. same bytes:
  406. :EVERYTHING_OK_AT_394
  407.  82.0394 8CD0                 mov     ax, ss
  408.  82.0396  90                   nop
  409.  82.0397  45                   inc     bp
  410.  82.0398  55                   push    bp
  411.  82.0399  8BEC                 mov     bp, sp
  412.  82.039B  1E                   push    ds
  413. The above listing comes from WCB, which is a much older
  414. disassembler than W32dasm, but which DOES NOT miss the beginning
  415. of the routines.
  416.  
  417. ... For now, just remember -always- that 8CD090 is a common start
  418. for routines and that you should -never- completely trust your
  419. disassembler (or you debugger, or anybody for that matter) Work
  420. always cum grano salis!
  421. ******************************************************
  422. What IS interesting in the ANOTHER_OCCURRENCE routine above is
  423. that we have our GONEDAYS correlated to an increase of [4668],
  424. a parameter whose meaning we do not yet know. Let's also notice
  425. that location [4660] is a 'gone days' basher, i.e. a location
  426. that 'remembers' how much must be 'diminished' from GONEDAYS,
  427. let's call it [4660_BASHER]. And now we would search for these
  428. locations and so on and so on, sinking deeper and deeper in our
  429. shadowy codewoods, always (well, almost always :=) knowing what
  430. we are doing.
  431.      We could continue like this in order to completely reverse
  432. engineering this application. But all these paths have been
  433. showed for your 'homework', and you should -obviously- use the
  434. help of Winice for such examinations. I wanted with all this
  435. cracking WITHOUT Winice (once more) just show you the untarnished
  436. POWER of the dead listing approach. Now let's go on to the real
  437. crack, which we'll do still only looking at our listings, without
  438. even a glimpse at Winice (no debugger in my hands, ladies and
  439. gentlemen! Only three or four sheets of printed paper).
  440.      As we saw before, clearly the protection scheme acts inside
  441. the call to 0EF6 at the beginning of the BE_NAGGED_INFIDEL?
  442. routine... what happens to our beloved flag ax, then, inside the
  443. 82.OEF6 'deciding' routine?
  444.      Routines inside routines... like the Russian Mathrioskas
  445. dolls... this kind of fishing is part of the sublime art of
  446. reverse engineering a program, a sport that requires some
  447. feeling, some luck and some experience.
  448. Let's have a close look at this routine.
  449. :DECIDING_IF_BE_NAGGED_INFIDEL... DECIDING_ROUTINE!
  450. :0082.0EF6 8CD0               mov ax, ss
  451. :0082.0EF8 90                 nop
  452. :0082.0EF9 45                 inc bp
  453. :0082.0EFA 55                 push bp
  454. :0082.0EFB 8BEC               mov bp, sp
  455. :0082.0EFD 1E                 push ds
  456. :0082.0EFE 8ED8               mov ds, ax
  457. :0082.0F00 33C0               xor ax, ax
  458. :0082.0F02 9AFFFF0000         call 0001.517Fh ;call ubiquitous
  459. :0082.0F07 A19846             mov ax, [4698]  ;HERE!!***
  460. :0082.0F0A EB00               jmp 0F0C        ;therefore
  461. :0082.0F0C 1F                 pop ds          ;everything
  462. :0082.0F0D 5D                 pop bp          ;depends
  463. :0082.0F0E 4D                 dec bp          ;from location
  464. :0082.0F0F CB                 retf            ;[4698]!
  465.  
  466. Here we call once more this ubiquitous 1.517Fh routine, which
  467. -being at segment one- is probably one of the main display
  468. routines... we do not have necessarily to care... let's just
  469. check that 1.517F does not modify our TREASURE, i.e. location
  470. [4698], which is the location moved in AX. How will we check it?
  471. It's easy: just search for [4698] inside the listing...
  472.      Whoa! No problem! The first occurrence of [4698] found is
  473. already inside our 'protection segment' 82... and it's a most
  474. interesting piece of code indeed from our cracking perspective...
  475. :82.01FB 9AFFFF0000    call USER.LSTRCMPI    ;call LSTRCMPI
  476. :82.0200 0BC0          or ax, ax             ;same strings?
  477. :82.0202 750B          jne 020F              ;no, so go flag1
  478. :82.0204 C70698460000  mov word ptr [4698], 0 ;flag0=samestrings
  479. :82.020A B80100        mov ax, 1              ;ax = 1
  480. :82.020D EB0A          jmp 0219               ;continue
  481. :82.020F C70698460100  mov word ptr [4698], 1
  482. ;flag1=stringsdiffer
  483. :82.0215 33C0          xor ax, ax             ;ax = zero
  484. :82.0217 EBF4          jmp 020D               ;goto continue
  485.  
  486. I assume you all know that the function
  487.           int lstrcmpi (LPCSTR lpszStr1, LPCSTR lpszStr2)
  488. makes a non case sensitive comparison of two null terminated
  489. strings... a zero return value indicates that the two strings
  490. where identical. A negative value means that string1 < string2 and a positive one means that string1> string2.
  491. OK, it's MADE! The above piece of code represents obviously the
  492. final comparison between the user input and the registration key
  493. (what else?).
  494. THEREFORE the crack can be made with a very simple modification
  495. of the DECIDING ROUTINE... we must ensure that location [4698]
  496. is always flagged TRUE (i.e. zero) and therefore we modify
  497. :0082.0F07 A19846                 mov ax, [4698]
  498. with
  499. :0082.0F07 B80000                 mov ax, 0
  500. That's all we need to crack completely this program.
  501. No more nagscreens, (all three fetch the value of 4698 with a
  502. call to the same routine 82.EF6, all three will not snap any more
  503. now) should we really use this program, and we have made the
  504. first steps towards higher cracking. A word about it: higher
  505. cracking is something more than just defeating a protection, it's
  506. understanding what's going on in ANY part of a program we may
  507. wish to modify. Say you hate (just kidding) Microsoft enough to
  508. distribute cracked copies of their (awful slow) proggies where
  509. there is NO Microsoft logo whatsoever, or that you fancy a pink
  510. wordprocessor... go ahead and crack all the applications you use!
  511. And then distribute everything on the web for free!
  512. BTW, you should NOT believe that the two approaches I have shown
  513. you ('live' cracking through Winice, i.e. examining the
  514. protection scheme when it snaps, and the examining of the 'dead'
  515. listing as we are doing here) are the only methods to crack such
  516. protection... many more possibilities are open... just to give
  517. you an example, the (very old) utilities that show the 'imported'
  518. API functions of a program from its *.DLL and from KERNEL, USER
  519. and SHELL are a formidable cracking tool for windows programs...
  520. if you for instance search for KEYBOARD, you'll find the
  521. following occurrences...
  522. 59.1354  9AFFFF0000               call    KEYBOARD.ANSITOOEM
  523. 79.1F7A  9AFFFF0000               call    KEYBOARD.OEMTOANSI
  524. 79.1FCB  9AFFFF0000               call    KEYBOARD.ANSITOOEM
  525. 82.13DA  9AFFFF0000               call    KEYBOARD.ANSITOOEM
  526. 82.1550  9AFFFF0000               call    KEYBOARD.ANSITOOEM
  527. 82.1588  9AFFFF0000               call    KEYBOARD.ANSITOOEM
  528. 82.1599  9AFFFF0000               call    KEYBOARD.ANSITOOEM
  529. 82.15D7  9AFFFF0000               call    KEYBOARD.ANSITOOEM
  530. 82.1629  9AFFFF0000               call    KEYBOARD.OEMTOANSI
  531. 82.16D5  9AFFFF0000               call    KEYBOARD.OEMTOANSI
  532. 83.063A  9AFFFF0000               call    KEYBOARD.ANSITOOEM
  533. 83.06B2  9AFFFF0000               call    KEYBOARD.OEMTOANSI
  534. 102.0721 9AFFFF0000               call    KEYBOARD.ANSITOOEMBUFF
  535. 102.074C 9AFFFF0000               call    KEYBOARD.OEMTOANSIBUFF
  536. ...and even lower beings would notice that segment 82 has SEVEN
  537. occurrences of KEYBOARD out of 14 and would smell a  rat...
  538. KEYBOARD.DRV is a windows device driver, i.e. a DLL with another
  539. name, which is extensively used by the USER module. I hope you
  540. will not ask for the 'meaning' of the various KEYBOARD
  541. functions... you should know them by heart!  Suffice to say that
  542. all ANSI APIs have MUCH to do with protection schemes, and than
  543. therefore the calls to KEYBOARD 5,6,134 and 135 are INDEED
  544. important from our point of view. Applications use the
  545. AnsiToOem(const char_huge* hpszWinString, const char_huge*
  546. hpszOEMString) function to convert a string stored in the windows
  547. character set into one stored in the specified OEM character set
  548. (in WinNT/32 there is a macro that calls the CharToOem()
  549. function)... As a matter of fact the USER.LSTRCMPI API from
  550. 82.01FB uses -in our case- these Keyboard functions. Are we
  551. finished with 'alternative' cracking approaches? Nooo! There are
  552. zillion cracking ways... say you use WRT (WIndows Resources
  553. Toolkit, a BEAUTIFUL Borland utility which is of UTMOST interest
  554. in our trade)... there you'll immediately find out that the Menu
  555. option 'Register' corresponds to 164. Decimal 164 is A4h... have
  556. a search for it... you'll land to 82.1575!
  557.      As you have seen, we could have located the protection
  558. segment of our target using a completely different approach...
  559. but let's go back to our VERY POWERFUL dead listing... just a
  560. moment! A cool breeze outside my windows... say, do you know the
  561. names of the winds? Boreas (Aquila), Notus (Auster), Eurus and
  562. Zephyrus (Favonius) are the basic North, south, east and west
  563. ones... you may add Thrascias (NNW), Libs (WSW), Corus (Caurus
  564. or Argestes) (NW), Volturnus (SE), Africus (Afer ventus) (SW)...
  565. you did read Milton's Paradise, didn't you... how can you hope
  566. to crack if you did not? Back to our target, now. Let's have a
  567. look at the protection scheme itself... let's see how the
  568. comparison between user input and serial number is made.
  569. Here the relevant part of the routine:
  570. :CHECK_IF_USER_CHEATS
  571. :0082...01A2-01B2...               ;prepare for REGNAME
  572. :0082.01B3 E84AFE        call 0000 ;call SHELL.REGOPENKEYetc
  573. :0082.01B6 0BC0          or ax, ax
  574. :0082.01B8 7455          je 020F   ;you are BAD, beggar off
  575. :0082.01BA 1E            push ds
  576. :0082.01BB 687046        push 4670
  577. :0082.01BE 9AFFFF0000    call 1.4590h
  578. :0082.01C3 83C404        add sp, 4
  579. :0082.01C6 3D0400        cmp ax, 4
  580. :0082.01C9 7244          jb 020F   ;you are BAD, beggar off
  581. :0082...01CB-01DC...               ;prepare for REGKEY
  582. :0082.01DD E820FE        call 0000 ;call SHELL.REGOPENKEYetc
  583. :0082.01E0 0BC0          or ax, ax
  584. :0082.01E2 742B          je 020F   ;you are BAD, beggar off
  585. :0082.01E4 1E            push ds
  586. :0082.01E5 687046        push 4670
  587. :0082.01E8 16            push ss
  588. :0082.01E9 8D46AE        lea ax, [bp-52] ;USER INPUT LOCATION
  589. :0082.01EC 50            push ax
  590. :0082.01ED 0E            push cs
  591. :0082.01EE E8E7FE        call 00D8  ;call loadchars and...
  592. :0082.01F1 16            push ss    ;...ansilower and magic
  593. :0082.01F2 8D46D6        lea ax, [bp-2A]     ;MAGIC LOCATION
  594. :0082.01F5 50            push ax
  595. :0082.01F6 16            push ss
  596. :0082.01F7 8D46AE        lea ax, [bp-52]     ;USER INPUT
  597. :0082.01FA 50            push ax
  598. :0082.01FB 9AFFFF0000    call USER.LSTRCMPI  ;check strings
  599. :0082.0200 0BC0          or ax, ax           ;strings differ?
  600.  
  601. :0082.0202 750B          jne 020F   ;you are BAD, beggar off
  602. :0082.0204 C70698460000  mov word ptr [4698], 0 ;good guy!
  603. :0082.020A B80100        mov ax, 0001        ;flag ax=1,OK
  604. :0082.020D EB0A          jmp 0219            ;continue
  605. :0082.020F C70698460100  mov word ptr [4698], 1 ;beggar off!
  606. :0082.0215 33C0          xor ax, ax          ;flag ax=0
  607. :0082.0217 EBF4          jmp 020D            ;NO GOOD, continue
  608. ...
  609. :retf
  610.  
  611. The above block of code makes EVIDENT how such a protection
  612. scheme works:
  613. 1)   first of all it performs the 'usual' checks on the entered
  614. strings (something must be written there, chars must make sense,
  615. minimum length, etc)
  616. 2)   after the usual checks the loadchars and trasformchars
  617. routines are fired.
  618.      If you look at the listing, routine 82.00D8 calls among
  619. other things the LPSTR AnsiLower(LPSTR lpszString) function which
  620. under Windows NT/32 does not exist any more and has been
  621. substituted with a macro (Yes, a macro! This should make you
  622. shiver thinking at what for a monstrosity is this Windows OS
  623. swelling towards) that calls the CharLower() function.
  624. 3)   as soon as we have in memory our magic string, made
  625. transforming the user name input, we can compare it with the
  626. numbers inside the second inputted string. Should magic number
  627. and magic string differ you beggar off.
  628. Let's crack once more this program, this time we'll crack it
  629. here, i.e. we'll seek a correct registration 'result'
  630. substituting instruction
  631.  
  632. :0082.020F C70698460100   mov word ptr [4698], 1 ;beggar off!
  633. with instruction
  634. :0082.020F C70698460000   mov word ptr [4698], 0 ;OK, nice sucker
  635.  
  636. [REDIRECTION] (First elements of)
  637. The above crack solves location [4698], but that is not enough:
  638. WE MUST ALSO MODIFY THE AX FLAG... remember: each routine jumps
  639. back with a flag (mostly in ax) upon which the calling routine
  640. reacts... therefore we must also modify following piece of code:
  641. :0082.0215 33C0           xor ax, ax       ;flag ax=0
  642. in order to substitute it with
  643. :0082.0215 B80100         mov ax,1         ;flag ax=1
  644. But, alas, this crack is a 3 bytes instructions! The original
  645. instruction was only two bytes long! How should we crack?
  646. Independently from the fact that actually there are 2 bytes
  647. instructions that do indeed perform the abovementioned flagging,
  648. I'll teach you here, a simple 'redirection', a method that you'll
  649. use a lot for higher cracking when we will 'patch'
  650. applications... Yeah! Time to leave the ONE BYTE FOR ONE
  651. BYTE petty and miserable cracking, time to insert whole new
  652. PIECES OF OUR code inside the applications we crack... what about
  653. having -somewhere inside a cracked Word for Windows- the string
  654. 'Warning: Microsoft can damage your health'? :=)
  655.      You'll learn pretty complicate 'patching' redirection
  656. techniques in my +HCU, for now, let's just understand the
  657. fundament of this method here: the very short block of code we
  658. need to crack inside our target was originally this one:
  659. :0082.0204 C70698460000   mov word ptr [4698], 0 ;good guy!
  660. :0082.020A B80100         mov ax, 0001         ;flag ax=1, OK
  661. :0082.020D EB0A           jmp 0219             ;continue
  662. :0082.020F C70698460100   mov word ptr [4698], 1 ;beggar off!
  663. :0082.0215 33C0           xor ax, ax           ;flag ax=0
  664. :0082.0217 EBF4           jmp 020D             ;NO GOOD, continue
  665.      What about cracking the LAST instruction? Let's see... the
  666. code jumps back FF-F4 bytes (218-(FF-F4))=20d i.e. back to
  667. :0082.020d which is 'continue' (in this case after having being
  668. badflagged).
  669.      Well, what if we redirect this to :0082.020A? Then having
  670. already cracked instruction 20F in order to have our necessary
  671. 0 inside [4698], we would now 'redirect' a correct 1 inside ax
  672. AFTER having already had the bad guy 0 there at line 215.
  673. Therefore, let's 'redirect' this jump:
  674. :0082.0217 EBF4           jmp 020D            ;NO GOOD, continue
  675. with
  676. :0082.0217 EBF1           jmp 020A            ;get_da_good_flag
  677.      But Hey! Just a moment... What's the point of having loaded
  678. OURSELF a zero inside [4698] in the first time? WE DO NOT NEED
  679. IT! Let's use for the same aim the stupid protection itself...
  680. let's redirect FURTHER, DEEPER, BETTER.
  681.      There is -indeed- a final cracking solution for this program
  682. (and a much more ELEGANT one: I still grudge the criticisms I
  683. suffered on the ground I used simple and 'unelegant' cracks in
  684. this tutorial). Let's redirect 82.217 to instruction 82.204 and
  685. let's merryly forget the whole previous cracking of instruction
  686. 82.020F... I mean... who cares if the protection, there, loads
  687. one in the [4698] and flags to 0 our sad ax? As soon as our last
  688. redirection snaps, the OTHER PART of the same protection scheme,
  689. the 'good guy' one, will snap and 'cover' the badflagged [4698]
  690. with TRUE zeros and will flag to 1 our beloved, but unfortunately
  691. zeroed, ax.
  692.      Therefore forget ALL the previous cracks, this is the last
  693. but not least one (I mean, do not forget them... just fetch a new
  694. original nagged copy of webex.exe and start anew) and crack with
  695. that unnatural elegance that should always characterize all
  696. crackers from my school... solid crackers, old red's ones.
  697.      I'll leave to you the obvious disassembly solution: if EBF4
  698. jumps to 020D and EBF1 jumps to 020A, what will land our cracked
  699. copies to 0204? Ebbene? :=)
  700.      Now, you see, we have gone a long way cracking our silly
  701. Webexpress... as you saw, we could have cracked this target in
  702. quite a lot of different ways, but eventually the best (and less
  703. intrusive) crack required indeed a slight knowledge of the
  704. working of this program. Once more we worked on a 'dead'
  705. application... and once more we have demonstrated that Winice,
  706. though a splendid tool, is NOT the 'only' or 'absolute' cracking
  707. tool... Often a good disassembler, a wordprocessor and a
  708. hexeditor (and a good cocktail) are more than enough to crack
  709. every single application you can think of.
  710.      I will tell you something you may already have supposed: in
  711. order to prepare this lesson I originally cracked this Windows'
  712. application without EVER FIRING WINDOWS... using WCB (100.294
  713. bytes which -unlike W32dasm, did not miss any routine), List
  714. (26.507 bytes... a quick 'lister' which is a *.com... not even
  715. an *.exe!) and PSEDIT (which is a very powerful, 65.862 bytes
  716. long hexeditor), all DOS quick application (to work REALLY you
  717. cannot use windoze)... but many of my readers will probably have
  718. to crack inside Microsoft's slow abomination... using W32dasm,
  719. Word and Hexworkshop and wasting time... after all... why not?
  720. The results will be the same, it's only a matter of -good or bad-
  721. taste.
  722.      Now that you (begin to) understand re-direction cracking,
  723. you are ready to step over to 'real' higher cracks: what we call
  724. 'crackpatching'.
  725.  
  726. Well, that's it for this lesson, reader. Not all lessons of my
  727. tutorial are -or will be- on the Web.
  728.      You'll obtain the missing lessons IF AND ONLY IF you mail
  729. me back (via anon.penet.fi) with some tricks of the trade I may
  730. not know that YOU discovered. Mostly I'll actually know them
  731. already, but if they are really new you'll be given full credit,
  732. and even if they are not, should I judge that you "rediscovered"
  733. them with your work, or that you actually did good work on them,
  734. I'll send you the remaining lessons nevertheless. Your
  735. suggestions and critics on the whole crap I wrote are also
  736. welcomed. Do not annoy me with requests for warez, everything is
  737. on the Web, learn how to search, for goddess sake.
  738.  
  739.      "If you give a man a crack he'll be hungry again
  740.      tomorrow, but if you teach him how to crack, he'll
  741.      never be hungry again"
  742.  
  743.  
  744.  
  745.  
  746.  
  747. á
  748.  
  749.  
  750.  
  751. E-mail +ORC
  752.  
  753.  
  754.  
  755.  
  756. +ORC na526164@anon.penet.fi
  757.  
  758.  
  759.