home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / +Sandman / Htocrkc2.txt < prev    next >
Encoding:
Text File  |  2000-05-25  |  26.2 KB  |  498 lines
  1.                      HOW TO CRACK, by +ORC, A TUTORIAL
  2.  
  3. ---------------------------------------------------------------------------
  4.  
  5.               LESSON C (2) - How to crack, Cracking as an art
  6.  
  7. ---------------------------------------------------------------------------
  8.  
  9.                               [INSTANT ACCESS]
  10.  
  11.                    --------------------------------------
  12.  
  13.       cracking Instant Access (2) - strainer for the +HCU
  14.  
  15. [SEE LESSON C.1 for the first part of this cracking session]
  16.      Here follow the relevant protection routines for the first
  17. (The "Registration") number_code of Instant Access, with my
  18. comments: you have to investigate a little the following code.
  19.      Later, when you'll crack on your own, try to recognize the
  20. many routines that fiddle with input BEFORE the relevant (real
  21. protection) one. In this case, for instance, a routine checks the
  22. correctness of the numbers of your input:
  23.  
  24. This_loop_checks_that_numbers_are_numbers:
  25. 1B0F:2B00 C45E06    LES    BX,[BP+06]  ; set/reset pointer
  26. 1B0F:2B03 03DF      ADD    BX,DI
  27. 1B0F:2B05 268A07    MOV    AL,ES:[BX]  ; get number
  28. 1B0F:2B08 8846FD    MOV    [BP-03],AL  ; store
  29. 1B0F:2B0B 807EFD30  CMP    BYTE PTR [BP-03],30
  30. 1B0F:2B0F 7C06      JL     2B17        ; less than zero?
  31. 1B0F:2B11 807EFD39  CMP    BYTE PTR [BP-03],39
  32. 1B0F:2B15 7E05      JLE    2B1C        ; between 0 & 9?
  33. 1B0F:2B17 B80100    MOV    AX,0001     ; no, set flag=1
  34. 1B0F:2B1A EB02      JMP    2B1E        ; keep flag
  35. 1B0F:2B1C 33C0      XOR    AX,AX       ; flag=0
  36. 1B0F:2B1E 0BC0      OR     AX,AX       ; is it zero?
  37. 1B0F:2B20 7507      JNZ    2B29        ; flag NO jumps away
  38. 1B0F:2B22 8A46FD    MOV    AL,[BP-03]  ; Ok, get number
  39. 1B0F:2B25 8842CC    MOV    [BP+SI-34],AL ; Ok, store number
  40. 1B0F:2B28 46        INC    SI          ; inc storespace
  41. 1B0F:2B29 47        INC    DI          ; inc counter
  42. 1B0F:2B2A C45E06    LES    BX,[BP+06]  ; reset pointer
  43. 1B0F:2B2D 03DF      ADD    BX,DI       ; point next number
  44. 1B0F:2B2F 26803F00  CMP    BYTE PTR ES:[BX],00 ; input end?
  45. 1B0F:2B33 75CB      JNZ    2B00        ; no:loop next num
  46.  
  47.      You now obviously understand that the "real" string is
  48. stored inside memory location [BP+SI-34]... set a memory
  49. breakpoint on this area to get the next block of code that
  50. fiddles with the transformed input. Notice how this routine
  51. "normalizes" the input, strips the "-" off and puts the 10
  52. numbers together:
  53. user input:  1  2  1  2  1  2  1  2  1  2 End
  54.   1E7F:92E2 31 32 31 32 31 32 31 32 31 32 00 45 AF 1F 70 9B
  55.  Stack ptr:  0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F
  56.      Let's now look at the "real" protection routine: the one
  57. that checks these numbers and throw you out if they are not
  58. "sound". Please pay attention to the following block of code:
  59.  
  60. check_if_sum_other_9_numbers_=_remainder_of_the_third_number:
  61. :4B79 8CD0       MOV    AX,SS ; we'll work inside the stack...
  62. :4B7B 90         NOP
  63. :4B7C 45         INC    BP
  64. :4B7D 55         PUSH   BP    ; save real BP
  65. :4B7E 8BEC       MOV    BP,SP ; BP = stackpointer
  66. :4B80 1E         PUSH   DS    ; save real Datasegment
  67. :4B81 8ED8       MOV    DS,AX ; Datasegment = stacksegment
  68. :4B83 83EC04     SUB    SP,+04
  69. :4B86 C45E06     LES    BX,[BP+06] ; BX points input_start
  70. :4B89 268A07     MOV    AL,ES:[BX] ; load first number
  71. :4B8C 98         CBW               ; care only for low
  72. :4B8D C45E06     LES    BX,[BP+06] ; reset pointer
  73. :4B90 50         PUSH   AX         ; save 1st number
  74. :4B91 268A4701   MOV    AL,ES:[BX+01] ; load 2nd number
  75. :4B95 98         CBW               ; only low
  76. :4B96 8BD0       MOV    DX,AX      ; 2nd number in DX
  77. :4B98 58         POP    AX         ; get 1st number
  78. :4B99 03C2       ADD    AX,DX      ; sum with second
  79. :4B9B C45E06     LES    BX,[BP+06] ; reset pointer
  80. :4B9E 50         PUSH   AX         ; save sum
  81. :4B9F 268A4707   MOV    AL,ES:[BX+07] ; load 8th number
  82. :4BA3 98         CBW               ; only low
  83. :4BA4 8BD0       MOV    DX,AX      ; 8th number in DX
  84. :4BA6 58         POP    AX         ; old sum is back
  85. :4BA7 03C2       ADD    AX,DX      ; sum 1+2+8
  86. :4BA9 C45E06     LES    BX,[BP+06] ; reset pointer
  87. :4BAC 50         PUSH   AX         ; save sum
  88. :4BAD 268A4703   MOV    AL,ES:[BX+03] ; load 4rd number
  89. :4BB1 98         CBW               ; only low
  90. :4BB2 8BD0       MOV    DX,AX      ; #4 in DX
  91. :4BB4 58         POP    AX         ; sum is back
  92. :4BB5 03C2       ADD    AX,DX      ; sum 1+2+8+4
  93. :4BB7 C45E06     LES    BX,[BP+06] ; reset pointer
  94. :4BBA 50         PUSH   AX         ; save sum
  95. :4BBB 268A4704   MOV    AL,ES:[BX+04] ; load 5th number
  96. :4BBF 98         CBW               ; only low
  97. :4BC0 8BD0       MOV    DX,AX      ; #5 in DX
  98. :4BC2 58         POP    AX         ; sum is back
  99. :4BC3 03C2       ADD    AX,DX      ; 1+2+8+4+5
  100. :4BC5 C45E06     LES    BX,[BP+06] ; reset pointer
  101. :4BC8 50         PUSH   AX         ; save sum
  102. :4BC9 268A4705   MOV    AL,ES:[BX+05] ; load 6th number
  103. :4BCD 98         CBW               ; only low
  104. :4BCE 8BD0       MOV    DX,AX      ; #6 in DX
  105. :4BD0 58         POP    AX         ; sum is back
  106. :4BD1 03C2       ADD    AX,DX      ; 1+2+8+4+5+6
  107. :4BD3 C45E06     LES    BX,[BP+06] ; reset pointer
  108. :4BD6 50         PUSH   AX         ; save sum
  109. :4BD7 268A4706   MOV    AL,ES:[BX+06] ; load 7th number
  110. :4BDB 98         CBW               ; only low
  111. :4BDC 8BD0       MOV    DX,AX      ; #7 in DX
  112. :4BDE 58         POP    AX         ; sum is back
  113. :4BDF 03C2       ADD    AX,DX      ; 1+2+8+4+5+6+7
  114. :4BE1 C45E06     LES    BX,[BP+06] ; reset pointer
  115. :4BE4 50         PUSH   AX         ; save sum
  116. :4BE5 268A4708   MOV    AL,ES:[BX+08] ; load 9th number
  117. :4BE9 98         CBW               ; only low
  118. :4BEA 8BD0       MOV    DX,AX      ; #9 in DX
  119. :4BEC 58         POP    AX         ; sum is back
  120. :4BED 03C2       ADD    AX,DX      ; 1+2+8+4+5+6+7+9
  121. :4BEF C45E06     LES    BX,[BP+06] ; reset pointer
  122. :4BF2 50         PUSH   AX         ; save sum
  123. :4BF3 268A4709   MOV    AL,ES:[BX+09] ; load 10th #
  124. :4BF7 98         CBW               ; only low
  125. :4BF8 8BD0       MOV    DX,AX      ; #10 in DX
  126. :4BFA 58         POP    AX         ; sum is back
  127. :4BFB 03C2       ADD    AX,DX      ; 1+2+8+4+5+6+7+9+10
  128. :4BFD 0550FE     ADD    AX,FE50    ; clean sum to 0-51
  129. :4C00 BB0A00     MOV    BX,000A    ; BX holds 10
  130. :4C03 99         CWD               ; only AL
  131. :4C04 F7FB       IDIV   BX         ; remainder in DX
  132. :4C06 C45E06     LES    BX,[BP+06] ; reset pointer
  133. :4C09 268A4702   MOV    AL,ES:[BX+02] ; load now # 3
  134. :4C0D 98         CBW               ; only low
  135. :4C0E 05D0FF     ADD    AX,FFD0    ; clean # 3 to 0-9
  136. :4C11 3BD0       CMP    DX,AX  ; remainder = pampered #3?
  137. :4C13 7407       JZ     4C1C       ; yes, go on good guy
  138. :4C15 33D2       XOR    DX,DX  ; no! beggar off! Zero DX
  139. :4C17 33C0       XOR    AX,AX  ;     and FLAG_AX = FALSE
  140. :4C19 E91701     JMP    4D33       ; go to EXIT
  141. let's_go_on_if_first_check_passed:
  142. :4C1C C45E06     LES    BX,[BP+06] ; reset pointer
  143. :4C1F 268A4701   MOV    AL,ES:[BX+01] ; now load #2 anew
  144. :4C23 98         CBW               ; only low
  145. :4C24 05D7FF     ADD    AX,FFD7    ; pamper adding +3
  146. :4C27 A38D5E     MOV    [5E8D],AX  ; save SEC_+3
  147. :4C2A 3D0900     CMP    AX,0009    ; was it < 9? (no A-F)
  148. :4C2D 7E05       JLE    4C34       ; ok, no 0xletter
  149. :4C2F 832E8D5E0A SUB    WORD PTR [5E8D],+0A ; 0-5 if A-F
  150. :4C34 C45E06     LES    BX,[BP+06] ; reset pointer
  151. :4C37 268A07     MOV    AL,ES:[BX] ; load 1st input number
  152. :4C3A 98         CBW               ; only low
  153. :4C3B 05C9FF     ADD    AX,FFC9    ; pamper adding +7
  154. :4C3E A38F5E     MOV    [5E8F],AX  ; save it in FIR_+7
  155. :4C41 0BC0       OR     AX,AX      ; if #1 > 7
  156. :4C43 7D05       JGE    4C4A       ; no need to add 0xA
  157. :4C45 83068F5E0A ADD    WORD PTR [5E8F],+0A ; FIR_+7 + 0xA
  158. now_we_have_the_sliders_let's_prepare_for_loop:
  159. :4C4A C45E0E     LES    BX,[BP+0E] ; Set pointer to E
  160. :4C4D 26C747020000 MOV  WORD PTR ES:[BX+02],0000 ; 0 flag
  161. :4C53 26C7070000   MOV  WORD PTR ES:[BX],0000    ; 0 flag
  162. :4C58 C706975E0900 MOV  WORD PTR [5E97],0009     ; counter=9
  163. :4C5E E99500     JMP    4CF6       ; Jmp check_counter
  164. loop_8_times:
  165. :4C61 C45E06     LES    BX,[BP+06] ; reset pointer
  166. :4C64 031E975E   ADD    BX,[5E97]  ; add running counter
  167. :4C68 268A07     MOV    AL,ES:[BX] ; load # counter+1
  168. :4C6B 98         CBW               ; only low
  169. :4C6C 50         PUSH   AX         ; save 10th number
  170. :4C6D A18D5E     MOV    AX,[5E8D]  ; ld SEC_+3 down_slider
  171. :4C70 BA0A00     MOV    DX,000A    ; BX holds 0xA
  172. :4C73 F7EA       IMUL   DX         ; SEC_+3 * 0xA
  173. :4C75 03068F5E   ADD    AX,[5E8F]  ; plus FIR_+7 up_slider
  174. :4C79 BAA71E     MOV    DX,1EA7    ; fixed segment
  175. :4C7C 8BD8       MOV    BX,AX ; BX = Lkup_val=(SEC_+3*10+FIR_+7)
  176. :4C7E 8EC2       MOV    ES,DX      ; ES = 1EA7
  177. :4C80 268A870000 MOV    AL,ES:[BX+0000] ; ld 1EA7:[Lkup_val]
  178. :4C85 98         CBW               ; only low: KEY_PAR
  179. :4C86 8BD0       MOV    DX,AX      ; save KEY_PAR in DX
  180. :4C88 58         POP    AX         ; repops 10th number
  181. :4C89 03C2       ADD    AX,DX      ; RE_SULT=KEY_PAR+#10
  182. :4C8B 05D0FF     ADD    AX,FFD0    ; polish RE_SULT
  183. :4C8E 99         CWD               ; only low: RE_SULT
  184. :4C8F 8956FC     MOV    [BP-04],DX ; save here KEY_PAR [9548]
  185. :4C92 8946FA     MOV    [BP-06],AX ; save here RE_SULT [9546]
  186. :4C95 0BD2       OR     DX,DX      ; KEY_PAR < 0?
  187. :4C97 7C0F       JL     4CA8       ; yes: KEY_PAR < 0
  188. :4C99 7F05       JG     4CA0       ; no: KEY_PAR > 0
  189. :4C9B 3D0900     CMP    AX,0009    ; KEY_PAR = 0
  190. :4C9E 7608       JBE    4CA8 ; no pampering if RE_SULT < 9
  191. :4CA0 836EFA0A   SUB    WORD PTR [BP-06],+0A ; else pamper
  192. :4CA4 835EFC00   SBB    WORD PTR [BP-04],+00 ; and SBB [9548]
  193. :4CA8 C45E0E     LES    BX,[BP+0E] ; reset pointer to E
  194. :4CAB 268B4F02   MOV    CX,ES:[BX+02] ; charge CX [958C]
  195. :4CAF 268B1F     MOV    BX,ES:[BX] ; charge BX slider [958A]
  196. :4CB2 33D2       XOR    DX,DX      ; clear DX to zero
  197. :4CB4 B80A00     MOV    AX,000A    ; 10 in AX
  198. :4CB7 9A930D2720 CALL   2027:0D93  ; call following RO_routine
  199.  
  200.   This is the only routine called from our protection, inside the
  201. loop (therefore 8 times), disassembly from WCB. Examining this
  202. code please remember that we entered here with following
  203. configuration: DX=0, AX=0xA, CX=[958C] and BX=[958A]...
  204.  1.0D93  56      push   si     ; save si
  205.  1.0D94  96      xchg   ax, si ; ax=si, si=0xA
  206.  1.0D95  92      xchg   ax, dx ; dx=0xA ax=dx
  207.  1.0D96  85C0    test   ax, ax ; TEST this zero
  208.  1.0D98  7402    je     0D9C   ; zero only 1st time
  209.  1.0D9A  F7E3    mul    bx     ; BX slider! 0/9/5E/3B2...
  210.  1.0D9C >E305    jcxz   0DA3   ; cx=0? don't multiply!
  211.  1.0D9E  91      xchg   ax, cx ; cx !=0? cx = ax & ax = cx
  212.  1.0D9F  F7E6    mul    si     ;     ax*0xA in ax
  213.  1.0DA1  03C1    add    ax, cx ; ax=  ax*0xA+cx = M_ULT
  214.  1.0DA3 >96      xchg   ax, si ; ax=0xA; si evtl. holds M_ULT
  215.  1.0DA4  F7E3    mul    bx     ; ax= bx*0xA
  216.  1.0DA6  03D6    add    dx, si ; dx= dx_add
  217.  1.0DA8  5E      pop    si     ; restore si
  218.  1.0DA9  CB      retf          ; back to caller with two
  219.                                         parameters: DX and AX
  220. Back_to_main_protection_loop_from_RO_routine:
  221. :4CBC C45E0E     LES    BX,[BP+0E] ; reset pointer
  222. :4CBF 26895702   MOV    ES:[BX+02],DX ; save R_DX par  [958C]
  223. :4CC3 268907     MOV    ES:[BX],AX ; save R_AX par     [958A]
  224. :4CC6 0346FA     ADD    AX,[BP-06] ; add to AX RE_SULT [9546]
  225. :4CC9 1356FC     ADC    DX,[BP-04] ; add to DX KEY_PAR [9548]
  226. :4CCC C45E0E     LES    BX,[BP+0E] ; reset pointer
  227. :4CCF 26895702   MOV    ES:[BX+02],DX ; save R_DX+KEY_PAR [958C]
  228. :4CD3 268907     MOV    ES:[BX],AX ; save R_AX+RE_SULT    [958A]
  229. :4CD6 FF0E8D5E   DEC    WORD PTR [5E8D] ; down_slide SEC_+3
  230. :4CDA 7D05       JGE    4CE1       ; no need to add
  231. :4CDC 83068D5E0A ADD    WORD PTR [5E8D],+0A  ; pamper adding 10
  232. :4CE1 FF068F5E   INC    WORD PTR [5E8F] ; up_slide FIR_+7
  233. :4CE5 A18F5E     MOV    AX,[5E8F]  ; save upslided FIR_+7 in AX
  234. :4CE8 3D0900     CMP    AX,0009    ; is it over 9?
  235. :4CEB 7E05       JLE    4CF2       ; no, go on
  236. :4CED 832E8F5E0A SUB    WORD PTR [5E8F],+0A ; yes, pamper -10
  237. :4CF2 FF0E975E   DEC    WORD PTR [5E97]  ; decrease loop counter
  238. check_loop_counter:
  239. :4CF6 833E975E03 CMP    WORD PTR [5E97],+03  ; counter = 3?
  240. :4CFB 7C03       JL     4D00       ; finish if counter under 3
  241. :4CFD E961FF     JMP    4C61       ; not yet, loop_next_count
  242. loop_is_ended:
  243. :4D00 C45E06     LES    BX,[BP+06] ; reset pointer to input
  244. :4D03 268A4701   MOV    AL,ES:[BX+01] ; load 2nd number (2)
  245. :4D07 98         CBW               ; only low
  246. :4D08 05D0FF     ADD    AX,FFD0    ; clean it
  247. :4D0B BA0A00     MOV    DX,000A    ; DX = 10
  248. :4D0E F7EA       IMUL   DX         ; AX = SEC_*10 = 14
  249. :4D10 C45E06     LES    BX,[BP+06] ; reset pointer
  250. :4D13 50         PUSH   AX         ; save SEC_*10
  251. :4D14 268A07     MOV    AL,ES:[BX] ; load 1st number (1)
  252. :4D17 98         CBW               ; only low
  253. :4D18 8BD0       MOV    DX,AX      ; save in DX
  254. :4D1A 58         POP    AX         ; get SEC_*10
  255. :4D1B 03C2       ADD    AX,DX      ; sum SEC_*10+1st number
  256. :4D1D 05D0FF     ADD    AX,FFD0    ; clean it
  257. :4D20 99         CWD               ; only low
  258. :4D21 C45E0A     LES    BX,[BP+0A] ; get pointer    to   [9582]
  259. :4D24 26895702   MOV    ES:[BX+02],DX ; save 1st (1) in  [9584]
  260. :4D28 268907     MOV    ES:[BX],AX ; save FINAL_SUM (15) [9582]
  261. :4D2B 33D2       XOR    DX,DX      ; DX = 0
  262. :4D2D B80100     MOV    AX,0001    ; FLAG TRUE !
  263. :4D30 E9E6FE     JMP    4C19       ; OK, you_are_a_nice_guy
  264. EXIT:
  265. :4D33 59         POP    CX         ; pop everything and
  266. :4D34 59         POP    CX         ;  return with flag
  267. :4D35 1F         POP    DS         ;  AX=TRUE if RegNum OK
  268. :4D36 5D         POP    BP         ;  with 1st # in     [9584]
  269. :4D37 4D         DEC    BP         ;  with FINAL_SUM in [9582]
  270. :4D38 CB         RETF
  271.  
  272.   Let's translate the preceding code: first of all the pointers:
  273. At line :4B86 we have the first of a long list of stack ptrs:
  274.                         LES BX,[BP+06]
  275.  This stack pointer points to the beginning of the input string,
  276. which, once polished from the "-", has now a length of 10 bytes,
  277. concluded by a 00 fence. At the beginning, before the main loop,
  278. 9 out of our 10 numbers are added, all but the third one.
  279.   Notice that protection has jumped # 3 (and added # 8 out of the
  280. line). The rest is straightforward. Now, at line :4BFD we have
  281. our first "cleaning" instruction. You see: the numbers are
  282. hexadecimal represented by the codes 0x30 to 0x39. If you add
  283. FE50 to the minimum sum you can get adding 9 numbers (0x30*9 =
  284. 0x160) You get 0. The maximum you could have adding 9 numbers,
  285. on the contrary is (0x39*9=0x201), which, added to FE50 gives
  286. 0x51. So we'll have a "magic" number between 0x0 and 0x51 instead
  287. of a number between 0x160 and 0x201. Protection pampers this
  288. result, and retains only the last ciffer: 0-9.  Then protection
  289. divides this number through 0xA, and what happens? DX get's the
  290. REMAINDER of it.
  291.   If we sum the hexcodes of our (1212-1212-12) we get 0x1BE (we
  292. sum only 9 out of then numbers: the third "1" -i.e. "31"- does
  293. not comes into our count); 0x1BE, cleaned and pampered gives E.
  294. Therefore (0xE/0xA = 1) We get 1 with a remainder of 4.
  295.   You may observe that of all possible answers, only sums
  296. finishing with A, B, C, D, E or F give 1 (and rem=0,1,2,3,4 or
  297. 5). Sums finishing 0 1 2 3 4 5 6 7 8 or 9 give 0 as result and
  298. themselves as reminder. The chance of getting a 0,1,2,3 or 4 are
  299. therefore bigger as the chance of getting a 5, 6, 7, 8 or 9. We
  300. are just observing... we do not know yet if this should play a
  301. role or not.
  302.   Now this remainder is compared at :4C11 with the third number
  303. polished from 0x30-0x39 to 0-9. This is the only protection check
  304. for the registration number input: If your third number does not
  305. match with the remainder of the sum of all the 9 others numbers
  306. of your input you are immediately thrown out with FLAG AX=FALSE
  307. (i.e. zero).
  308.  To crack the protection you now have to MODIFY your input string
  309. accordingly. Our new input string will from now on be "1242-1212-
  310. 12": we have changed our third number (originally a "2") to a "4"
  311. to get through this first strainer in the correct way. Only now
  312. protection starts its mathematical part (We do not know yet why
  313. it does it... in order to seed the random product number? To
  314. provide a check for the registration number you'll input at the
  315. end? We'll see).
  316. -    Protection saves the second number of your input (cleaned
  317.      with FFD7) in SEC_+3 [5E8D], pampering it if it is bigger
  318.      than 9 (i.e. if it is 0xA-0xF). Here you'll have therefore
  319.      following correspondence: 0=7 1=8 2=9 3=0 4=1 5=2 6=3 7=4
  320.      8=5 9=6. The second number of your input has got added +3.
  321.      This is value SEC_+3. In (lengthy) C it would look like
  322.      this:
  323.        If (RegString(2)is lower than  7) RegString(2) = RegString(2)+3
  324.        Else Regstring(2) = ((RegString(2)-10)+3)
  325. -    Protection saves your first number in FIR_+7 [5E8F] with a
  326.      different cleaning parameter (FFC9). The next pampering
  327.      adds 0xA if it was not 7/8/9 therefore you have here
  328.      following correspondence 7=0 8=1 9=2 0=3 1=4 2=5 3=6 4=7
  329.      5=8 6=9). This is value FIR_+7. In (lengthy) C it would
  330.      look like this:
  331.        If (RegString(1) is lower than 3) RegString(1) = RegString(1)+7
  332.        Else Regstring(1) = ((RegString(1)-10)+7)
  333.   So protection has "transformed" and stored in [5E8D] and [5E8F]
  334. the two numbers 1 and 2. In our RegString: 1242-1212-12 the first
  335. two numbers "12" are now stored as "94". These will be used as
  336. "slider" parameters inside the main loop, as you will see.
  337.  Only now does protection begin its main loop, starting from the
  338. LAST number, because the counter has been set to 9 (i.e. the
  339. tenth number of RegString). The loop, as you'll see, handles only
  340. the numbers from 10 to 3: it's an 8-times loop that ends without
  341. handling the first and second number. What happens in this
  342. loop?... Well, quite a lot: Protection begins the loop loading
  343. the number (counter+1) from the RegString. Protection then loads
  344. the SEC_+3 down_slider parameter (which began its life as second
  345. number "transformed"), multiplies it with 0xA and then adds the
  346. up_slider parameter FIR_+7 (at the beginning it was the first
  347. number transformed).
  348.      This sum is used as "lookup pointer" to find a parameter
  349. inside a table of parameters in memory, which are all numbers
  350. between 0 and 9. Let's call this value Lkup_val.
  351. Protection looks for data in 1EA7:[Lkup_val]. In our case (we
  352. entered 1242-1212-12, therefore the first SEC_+3 value is 9 and
  353. the first FIR_+7 value is 4): [Lkup_val] = 9*0xA+4; 0x5A+4 =
  354. 0x5E. At line :4C80 therefore AL would load the byte at 1EA7:005E
  355. (let's call it KEY_PAR), which now would be ADDED to the #
  356. counter+1 of this loop. In our case KEY_PAR at 1EA7:005E it's a
  357. "7" and is added to the pampered 0x32=2, giving 9.
  358.      Let's establish first of all which KEY_PAR can possibly get
  359. fetched: the maximum is 0x63 and the minimum is 0x0. The possible
  360. KEY_PARs do therefore dwell in memory between 1EA7: and
  361. 1EA7:0063. Let's have a look at the relative table in memory,
  362. where these KEY_PARs are stored ("our" first 0x5Eth byte is
  363. underlined):
  364. 1EA7:0000 01 03 03 01 09 02 03 00-09 00 04 03 08 07 04 04
  365. 1EA7:0010 05 02 09 00 02 04 01 05-06 06 03 02 00 08 05 06
  366. 1EA7:0020 08 09 05 00 04 06 07 07-02 00 08 00 06 02 04 07
  367. 1EA7:0030 04 04 09 05 09 06 00 06-08 07 00 03 05 09 00 08
  368. 1EA7:0040 03 07 07 06 08 09 01 05-07 04 06 01 04 02 07 01
  369. 1EA7:0050 03 01 08 01 05 03 03 01-02 08 02 01 06 05 07 02
  370. 1EA7:0060 05 09 09 08 02 09 03 00-00 04 05 01 01 03 08 06
  371. 1EA7:0070 01 01 09 00 02 05 05 05-01 07 01 05 08 07 01 09
  372. 1EA7:0080 08 07 07 04 04 08 03 00-06 01 09 08 08 04 09 09
  373. 1EA7:0090 00 07 05 02 03 01 03 08-06 05 07 06 03 07 06 07
  374. 1EA7:00A0 04 02 02 05 02 04 06 02-06 09 09 01 05 02 03 04
  375. 1EA7:00B0 04 00 03 05 00 03 08 07-06 04 08 08 02 00 03 06
  376. 1EA7:00C0 09 00 00 06 09 04 07 02-00 01 01 01 01 00 01 FF
  377. 1EA7:00D0 00 FF FF FF FF 00 FF 01-00 00 00 00 00 00 00 00
  378.  
  379.      An interesting table, where all the correspondences are
  380. between 0 and 9... are we getting some "secret" number here? But,
  381. hey, look there... funny, isn't it? Instead of only 0-0x63 bytes
  382. we have roughly the DOUBLE here: 0-0xC8 bytes (the 01 sequence
  383. starting at CA "feels" like a fence). We'll see later how
  384. important this is. At the moment you should only "perceive" that
  385. something must be going on with a table that's two time what she
  386. should be.
  387.      As I said the result of KEY_PAR + input number is polished
  388. (with a FFDO) and pampered (subtracting, if necessary, 0xA).
  389. Therefore the result will be the (counter+1) input number +
  390. KEY_PAR (let's call it RE_SULT], in our case, (at the beginning
  391. of the loop) a 9. Now (DX=0 because of the CWD instruction) DX
  392. will be saved in [9548] and RE_SULT in [9546].
  393.  Now Protection prepares for the RO_routine: resets its pointer
  394. and charges CX and BX from [958C] and from [958A] respectively,
  395. charges AX with 0xA and sets DX to zero.
  396.  The routine performs various operations on AX and DX and saves
  397. the results in the above mentioned locations [958A] and [958C].
  398.  Now KEY_PAR and RE_SULT are added respectively to the DX and AX
  399. value we got back from the RO_routine call, and saved once more
  400. in the last two locations: AX+RE_SULT in [958A] and DX+KEY_PAR
  401. in [958C]
  402.  Now the value in SEC_+3 is diminished by 1 (if it was 9 it's now
  403. 8, if it was zero it will be pampered to 9). It's a "slider"
  404. parameter (in this case a down_slider), typically used in
  405. relatively complicated protections to give a "random" impression
  406. to the casual observer. The value in FIR_+7, on the contrary, is
  407. augmented by one, from 4 to 5... up_sliding also.
  408.      Protection now handles the next number of your input for the
  409. loop. In our case this loop uses following protection
  410. configuration with our "sliding" parameters:
  411.  Input #  pamp_2nd   pamp_1st   Lookup value  KEY_PAR  # RE_SULT
  412. # 10 = 2, SEC_+3= 9, FIR_+7= 4, Lkup_val = 0x5E, KEY=7 +2 = 9
  413. # 9  = 1, SEC_+3= 8, FIR_+7= 5, Lkup_val = 0x55, KEY=3 +1 = 4
  414. # 8  = 2, SEC_+3= 7, FIR_+7= 6, Lkup_val = 0x4C, KEY=4 +2 = 6
  415. # 7  = 1, SEC_+3= 6, FIR_+7= 7, Lkup_val = 0x43, KEY=7 +1 = 7
  416. # 6  = 2, SEC_+3= 5, FIR_+7= 8, Lkup_val = 0x3A, KEY=0 +2 = 2
  417. # 5  = 1, SEC_+3= 4, FIR_+7= 9, Lkup_val = 0x31, KEY=4 +1 = 5
  418. # 4  = 2, SEC_+3= 3, FIR_+7= 0, Lkup_val = 0x1E, KEY=5 +2 = 7
  419. # 3  = 4, SEC_+3= 2, FIR_+7= 1, Lkup_val = 0x15, KEY=2 +4 = 5
  420. Notice how our "regular" input 21212124 has given an "irregular"
  421. 94672575.
  422.      You may legitimately ask yourself what should all this mean:
  423. what are these RE_SULTs used for? Well they are used to slide
  424. another parameter: this one inside the called routine... this is
  425. what happens to AX and DX inside the routine, and the lines after
  426. the called routine:
  427. :4CBF 26895702   MOV    ES:[BX+02],DX ; save R_DX par  [958C]
  428. :4CC3 268907     MOV    ES:[BX],AX ; save R_AX par     [958A]
  429. :4CC6 0346FA     ADD    AX,[BP-06] ; add to AX RE_SULT [9546]
  430. :4CC9 1356FC     ADC    DX,[BP-04] ; add to DX KEY_PAR [9548]
  431. :4CCC C45E0E     LES    BX,[BP+0E] ; reset pointer to E
  432. :4CCF 26895702   MOV    ES:[BX+02],DX ; save R_DX+KEY_PAR [958C]
  433. :4CD3 268907     MOV    ES:[BX],AX ; save R_AX+RE_SULT    [958A]
  434.  
  435.             :4CC6     :4CC9  :4CCF Odd_DX  :4CD3 slider_sum
  436.   RE_SULT   [958A]    [958C]   [958C]        [958A]
  437.      0         0        0        0            0
  438.      9         5A       0        0            9
  439.      4         3AC      0        0            5E
  440.      6         24F4     0        0            3B2
  441.      7         71CE     1        1            24FB
  442.      2         7220     4        E            71D0
  443.      5         7572     4        90           7225
  444.                                               7579
  445.  
  446. Now the loops ends, having handled the input numbers from tenth
  447. to third. Protection loads the second number and multiplies it
  448. by 10 (let's call this result SEC_*10), in our case 2*0xA=14.
  449. Protection loads the first number and adds it to the
  450. multiplication, in our case 1+0x14=0x15 (FINAL_SUM].
  451. Now everything will be added to FFDO to "clean" it.
  452. Pointer will now be set to the end of the input number.
  453. DX, zeroed by CDW, will be saved as parameter in [9584] and the
  454. cleaned and pampered sum will be saved in [9582].
  455. FLAG is set to true and this routine is finished! No parameter
  456. are passed and the only interesting thing is what actually
  457. happens in the locations [9582], [9584], [958A] and [958C], i.e.:
  458. FINAL_SUM, 0, slider_sum, odd_dx.
  459.      In the next lesson we'll crack everything, but I'll give you
  460. already some hints here, in case you would like to go ahead on
  461. your own: we'll see how the scheme used for the third (the
  462. registration) number show analogies and differences with the
  463. scheme we have studied (and cracked) here for the first number.
  464. Our 3434-3434-3434-3434-34 input string for the registration
  465. number will be transformed in the magic string
  466. 141593384841547431, but this will not work because the "magic"
  467. 12th number: "1" will not correspond to the remainder calculated
  468. inside this check through the previous locations of the other
  469. checks.
  470.      Here the things are more complicated because every little
  471. change in your input string transforms COMPLETELY the "magic"
  472. string... therefore in order to pass the strainer you'll have to
  473. change 3434-3434-3434-3434-34 in (for instance) 7434-3434-3434-
  474. 3434-96. The "magic" string 219702960974498056 that this
  475. registration input gives will go through the protection strainer.
  476. Only then we'll be able to step over and finally crack the whole
  477. protection... it's a pretty complicated one as I said. Now crack
  478. it pupils... you have three months time. From this crack depends
  479. your admission to the Uni, there will be no other admission text
  480. till summer 1997 (it's a hell of work to prepare this crap)...
  481. work well.
  482.  
  483. Well, that's it for this lesson, reader. Not all lessons of my
  484. tutorial are on the Web.
  485.      You 'll obtain the missing lessons IF AND ONLY IF you mail
  486. me back (via anon.penet.fi) some tricks of the trade I may not
  487. know but YOU've discovered. I'll probably know most of them
  488. already, but if they are really new you'll be given full credit,
  489. and even if they are not, should I judge that you "rediscovered"
  490. them with your work, or that you actually did good work on them,
  491. I'll send you the remaining lessons nevertheless. Your
  492. suggestions and critics on the whole crap I wrote are also
  493. welcomed.
  494.  
  495.                                 E-mail +ORC
  496.  
  497.                         +ORC an526164@anon.penet.fi
  498.