home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / Mendoza / flux7.txt < prev    next >
Encoding:
Text File  |  2000-05-25  |  13.2 KB  |  395 lines
  1. Welcome to Flu[X] Cracking tutor #7
  2. In this One ill show you how to make another keygen
  3.  
  4. LEVEL: Simple/Intermediate
  5.  
  6. Tools Needed
  7. -SoftICE
  8. -Brains
  9. -W32Dasm [OPTIONAL]
  10. -DLL Demon v1.0    (http://members.aol.com/progency)
  11.  
  12. OK lets begin. Download the app and install it.
  13. Under the help button there is a button that says register.
  14. Click this and bring the window up...
  15.  
  16. We notice it asks for a Name and a Key and it also generates a
  17. unique Serial# for each user.. 
  18.  
  19. OK Lets begin our trace... Enter Softice and set the Breakpoint
  20. on hmemcpy. Enter in our names and Fake Serial and hit enter.
  21. Softice Should Break.. hit F5 once then we can begin our
  22. trace.. F12 until you get into The process of DLL Demon.
  23. Soon you will come accross this code:
  24.  
  25.  
  26. :00461AC3 8B45F4                  mov eax, dword ptr [ebp-0C]
  27. :00461AC6 8D4DF8                  lea ecx, dword ptr [ebp-08]
  28. :00461AC9 B201                    mov dl, 01
  29. :00461ACB E8FC5B0000              call 004676CC               <-single User Keygeneration call
  30. :00461AD0 8B55F8                  mov edx, dword ptr [ebp-08]
  31. :00461AD3 58                      pop eax
  32. :00461AD4 E8B721FAFF              call 00403C90
  33. :00461AD9 745C                    je 00461B37
  34. :00461ADB 8D55FC                  lea edx, dword ptr [ebp-04]
  35. :00461ADE 8B83F8010000            mov eax, dword ptr [ebx+000001F8]
  36. :00461AE4 E84BEBFBFF              call 00420634
  37. :00461AE9 8B45FC                  mov eax, dword ptr [ebp-04]
  38. :00461AEC 50                      push eax
  39. :00461AED 8D55F4                  lea edx, dword ptr [ebp-0C]
  40. :00461AF0 8B83F4010000            mov eax, dword ptr [ebx+000001F4]
  41. :00461AF6 E839EBFBFF              call 00420634
  42. :00461AFB 8B45F4                  mov eax, dword ptr [ebp-0C]
  43. :00461AFE 8D4DF8                  lea ecx, dword ptr [ebp-08]
  44. :00461B01 33D2                    xor edx, edx
  45. :00461B03 E8C45B0000              call 004676CC               <-Site License Keygen call
  46. :00461B08 8B55F8                  mov edx, dword ptr [ebp-08]
  47.  
  48.  
  49. OK, we notice both calls call the same address.. meaning it
  50. uses that area more than once.
  51.  
  52. Lets trace into the first call..
  53.  
  54.  
  55.   Making a Single USER Key
  56.   ========================
  57.  
  58. Ok soon we come accross this code...
  59.  
  60.  
  61.  
  62. :004676CC 55                      push ebp
  63. :004676CD 8BEC                    mov ebp, esp
  64. :004676CF 83C4BC                  add esp, FFFFFFBC
  65. :004676D2 53                      push ebx
  66. :004676D3 894DF4                  mov dword ptr [ebp-0C], ecx
  67. :004676D6 8855FB                  mov byte ptr [ebp-05], dl
  68. :004676D9 8945FC                  mov dword ptr [ebp-04], eax
  69. :004676DC 8B45FC                  mov eax, dword ptr [ebp-04]
  70. :004676DF E850C6F9FF              call 00403D34
  71. :004676E4 33C0                    xor eax, eax
  72. :004676E6 55                      push ebp
  73. :004676E7 6813784600              push 00467813
  74. :004676EC 64FF30                  push dword ptr fs:[eax]
  75. :004676EF 648920                  mov dword ptr fs:[eax], esp
  76. :004676F2 33DB                    xor ebx, ebx
  77. :004676F4 8B45FC                  mov eax, dword ptr [ebp-04]
  78. :004676F7 E884C4F9FF              call 00403B80
  79. :004676FC 85C0                    test eax, eax
  80. :004676FE 7E13                    jle 00467713
  81. :00467700 BA01000000              mov edx, 00000001
  82.  
  83.  
  84. This Area Sets the Strings Up for some part. We notice that
  85. It appends the Serial # to the end of our Name..
  86.  
  87. Example If this is your values  name:JoeBob     Serial: 122351
  88.  
  89. Then this is the String it passes in:  JoeBob122351
  90.  
  91.  
  92. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  93. |:00467711(C)
  94. |
  95. :00467705 8B4DFC                  mov ecx, dword ptr [ebp-04]
  96. :00467708 0FB64C11FF              movzx ecx, byte ptr [ecx+edx-01] <-get character
  97. :0046770D 03D9                    add ebx, ecx                     <-add ascii to EBX
  98. :0046770F 42                      inc edx                          <-increase position in string
  99. :00467710 48                      dec eax                          <-decrease counter of letters left
  100. :00467711 75F2                    jne 00467705                     <-repeat if more letters left
  101.  
  102.  
  103. The above lines of code are simple .. they add up all
  104. the ascii values of the string passed into it with EBX being
  105. used as the accumulator.
  106.  
  107.  
  108. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  109. |:004676FE(C)
  110. |
  111. :00467713 807DFB00                cmp byte ptr [ebp-05], 00       <-test if generating Sitelicense (is no this time arround)
  112. :00467717 7475                    je 0046778E
  113. :00467719 8B45F4                  mov eax, dword ptr [ebp-0C]
  114. :0046771C 50                      push eax
  115.  
  116. * Possible StringData Ref from Code Obj ->"DSU"
  117.                                   |
  118. :0046771D B828784600              mov eax, 00467828
  119. :00467722 8945BC                  mov dword ptr [ebp-44], eax <-Put "DSU" into "buffer"
  120. :00467725 C645C00B                mov [ebp-40], 0B
  121. :00467729 8BC3                    mov eax, ebx                <-move accumulated ascii into eax
  122. :0046772B B90D000000              mov ecx, 0000000D           <-move Dh (13 decimal) into ecx
  123. :00467730 99                      cdq                         <-Convert Double -> Quad
  124. :00467731 F7F9                    idiv ecx                    <-divide Eax by Ecx (13 decimal)
  125. :00467733 83C259                  add edx, 00000059           <-add 59h to remainder
  126. :00467736 8955C4                  mov dword ptr [ebp-3C], edx <-put Value of EDX into Buffer
  127. :00467739 C645C800                mov [ebp-38], 00
  128. :0046773D C645CC2D                mov [ebp-34], 2D            <-2Dh = "-" letter
  129. :00467741 C645D002                mov [ebp-30], 02
  130. :00467745 895DD4                  mov dword ptr [ebp-2C], ebx <-put Sum of ascii into Buffer 
  131. :00467748 C645D800                mov [ebp-28], 00
  132. :0046774C 8BC3                    mov eax, ebx                <-move accumulated ascii into eax
  133. :0046774E 2503000080              and eax, 80000003           <-Logical AND the ascii by 80000003h
  134. :00467753 7905                    jns 0046775A
  135. :00467755 48                      dec eax
  136. :00467756 83C8FC                  or eax, FFFFFFFC
  137. :00467759 40                      inc eax
  138.  
  139.  
  140. Ok an explanation of this code..
  141.  
  142. We first notice that ALL Single User Serials Start with the letters "DSU"
  143. Next we take a look at the maths part.
  144.  
  145. It uses the sum of all ascii as before explained.
  146. It divides the Sum of the ascii values by 13.  When you use idiv operand
  147. it puts the WHOLE number of divides into EAX and the remainder into EDX.
  148. For example...
  149.  
  150. say EAX was equal to 33 in the above code
  151.  
  152. then after the Idiv  EAX=2(whole divides)  and EDX =7 (remainder)
  153.  
  154. So what the above code does is get all your ascii values
  155. added up and divide it by 13 and take the remainder.
  156. To the remainder it adds 59 HEX  NOT DEcimal!
  157.  
  158. It also Takes your Accumulated ascii and logical AND's it
  159. with 80000003 HEX.
  160.  
  161.  
  162.  
  163.  
  164. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  165. |:00467753(C)
  166. |
  167. :0046775A 8945DC                  mov dword ptr [ebp-24], eax  <-move result of AND into buffer
  168. :0046775D C645E000                mov [ebp-20], 00
  169. :00467761 C645E42D                mov [ebp-1C], 2D             <-add another "-" to String
  170. :00467765 C645E802                mov [ebp-18], 02
  171. :00467769 8BC3                    mov eax, ebx                 <-move accumulated ascii into eax
  172. :0046776B B903000000              mov ecx, 00000003            <-mov 3 into ecx to divide by
  173. :00467770 99                      cdq
  174. :00467771 F7F9                    idiv ecx                     <-divide by 3
  175. :00467773 8945EC                  mov dword ptr [ebp-14], eax  <-move Result into string
  176. :00467776 C645F000                mov [ebp-10], 00
  177. :0046777A 8D55BC                  lea edx, dword ptr [ebp-44]
  178. :0046777D B906000000              mov ecx, 00000006
  179.  
  180.  
  181.  
  182. So we see the BASIC Alogorithm for the Single User Key is:
  183.  
  184. GIVEN
  185. =====
  186. NAME And Serial combined into 1 string
  187. X= Sum of all ascii values of NAme and Serial Combined
  188.  
  189. THEN...
  190.  
  191. Single USER Serial# =  DSU + (remainder(X/Dh)+59h) + "-" + X + X AND 80000003h + "-" + Floor(X/3)
  192.  
  193.  
  194.  
  195.  
  196.  
  197.  
  198.     Making a SITE License Key
  199.     =========================
  200.  
  201.  
  202. Ok, trace into the second call you will ciom accross this...
  203.  
  204. This Area Sets the Strings Up for some part. We notice that
  205. It appends the Serial # to the end of our Name..
  206.  
  207. For The Site License it Simply Takes your Name and the 
  208. Serial # Does NOT Matter!
  209.  
  210.  
  211.  
  212. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  213. |:00467711(C)
  214. |
  215. :00467705 8B4DFC                  mov ecx, dword ptr [ebp-04]
  216. :00467708 0FB64C11FF              movzx ecx, byte ptr [ecx+edx-01] <-get character
  217. :0046770D 03D9                    add ebx, ecx                     <-add ascii to EBX
  218. :0046770F 42                      inc edx                          <-increase position in string
  219. :00467710 48                      dec eax                          <-decrease counter of letters left
  220. :00467711 75F2                    jne 00467705                     <-repeat if more letters left
  221.  
  222.  
  223. The above lines of code are simple .. they add up all
  224. the ascii values of the string passed into it with EBX being
  225. used as the accumulator.
  226.  
  227.  
  228. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  229. |:004676FE(C)
  230. |
  231. :00467713 807DFB00                cmp byte ptr [ebp-05], 00       <-test if generating Sitelicense (is YES this time arround)
  232. :00467717 7475                    je 0046778E                     <-This Time it is True so it Jumps to BElow Code
  233.  
  234.  
  235.  
  236.  
  237. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  238. |:00467717(C)
  239.  
  240. :0046778E 8B45F4                  mov eax, dword ptr [ebp-0C]    
  241. :00467791 50                      push eax
  242. :00467792 B84C784600              mov eax, 0046784C
  243. :00467797 8945BC                  mov dword ptr [ebp-44], eax <-Move 'DS' into Buffer
  244. :0046779A C645C00B                mov [ebp-40], 0B
  245. :0046779E 8BC3                    mov eax, ebx                <-Move added Ascii into eax
  246. :004677A0 B909000000              mov ecx, 00000009           <- Get ready to divide by 9
  247. :004677A5 99                      cdq
  248. :004677A6 F7F9                    idiv ecx                    <-Divide by 9
  249. :004677A8 83C243                  add edx, 00000043           <-Add 43h to remainder of divide
  250. :004677AB 8955C4                  mov dword ptr [ebp-3C], edx <-move remainder+43h into buffer
  251. :004677AE C645C800                mov [ebp-38], 00
  252. :004677B2 C645CC2D                mov [ebp-34], 2D            <- put a "-" in the serial
  253. :004677B6 C645D002                mov [ebp-30], 02
  254. :004677BA 895DD4                  mov dword ptr [ebp-2C], ebx <-put Sum of ascii in serial buffer
  255. :004677BD C645D800                mov [ebp-28], 00
  256. :004677C1 8BC3                    mov eax, ebx                <-move sum of ascii into EAX
  257. :004677C3 B905000000              mov ecx, 00000005           <-Get ready to divide by 5
  258. :004677C8 99                      cdq
  259. :004677C9 F7F9                    idiv ecx                    <-Divide by 5
  260. :004677CB 8955DC                  mov dword ptr [ebp-24], edx <-put Remainder int Serial buffer
  261. :004677CE C645E000                mov [ebp-20], 00
  262. :004677D2 C645E42D                mov [ebp-1C], 2D            <-Put another "-" into serial buffer
  263. :004677D6 C645E802                mov [ebp-18], 02
  264. :004677DA 85DB                    test ebx, ebx
  265. :004677DC 7903                    jns 004677E1
  266. :004677DE 83C303                  add ebx, 00000003
  267.  
  268. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  269. |:004677DC(C)
  270. |
  271. :004677E1 C1FB02                  sar ebx, 02                 <-Similar to SHR
  272. :004677E4 895DEC                  mov dword ptr [ebp-14], ebx <-Put result of SAR into Serial Buffer
  273. :004677E7 C645F000                mov [ebp-10], 00
  274. :004677EB 8D55BC                  lea edx, dword ptr [ebp-44]
  275. :004677EE B906000000              mov ecx, 00000006
  276.  
  277.  
  278.  
  279.  
  280. So we see the BASIC Alogorithm for the Site License Key is:
  281.  
  282. GIVEN
  283. =====
  284. X= Sum of all ascii values of Name
  285.  
  286. THEN...
  287.  
  288. Single USER Serial# =  "DS" + (remainder(X/9)+43h) + "-" + X + remainder(X/5) + "-" + X SHR 2
  289.  
  290.  
  291.  
  292.  
  293.  
  294. BElow is MY KEYGEN SOURCE CODE.. Yeah im a shitty PAS programmer but it works!
  295.  
  296. ===Start Code===
  297.  
  298.  
  299.  
  300.  
  301. var
  302.  name:string;
  303.  secondc:integer;
  304.  serialn:string;
  305.  eax,ecx,edx:longint;
  306.  pos:integer;
  307.  
  308. begin
  309.  
  310.  
  311.  writeln('DLL Demon v1.0 Keygen');
  312.  writeln('Flu[X]/PC98');
  313.  writeln('12/21/98');
  314.  writeln(' ');
  315.  write('Enter Name : ');
  316.  readln(name);
  317.  write('Enter Serial Number : ');
  318.  readln(serialn);
  319.  writeln('');
  320.  write('Site License Key: ');
  321.  
  322.   {Generate Site License Key}
  323.  pos:=1;
  324.  ecx:=0;
  325.  while pos <= length(name) do
  326.  begin
  327.   ecx:= ecx+ord(name[pos]);
  328.   pos:=pos+1;
  329.  end;
  330.  eax:=ecx;
  331.  edx:=0;
  332.   while ecx >=9 do
  333.   begin
  334.    ecx:=ecx-9;
  335.   end;
  336.   ecx:=ecx+$43;
  337.   write('DS',ecx,'-',eax);
  338.   ecx:=eax;
  339.   while ecx >=5 do
  340.   begin
  341.    ecx:=ecx-5;
  342.   end;
  343.   write(ecx,'-');
  344.   ecx:=eax;
  345.   ecx:=ecx SHR 2;
  346.   writeln(ecx);
  347.   write('Single User Key : ');
  348.  
  349.  
  350.   {Single User Generation}
  351.   name:=name+serialn;
  352.   pos:=1;
  353.   ecx:=0;
  354.   while pos <= length(name) do
  355.   begin
  356.    ecx:= ecx+ord(name[pos]);
  357.    pos:=pos+1;
  358.   end;
  359.   eax:=ecx;
  360.   while ecx >=13 do
  361.   begin
  362.    ecx:=ecx-13;
  363.   end;
  364.   ecx:=ecx+$59;
  365.   write('DSU',ecx,'-',eax);
  366.   ecx:=eax;
  367.   ecx:= ecx AND $80000003;
  368.   write(ecx,'-');
  369.   ecx:=eax;
  370.   edx:=0;
  371.   while ecx >=3 do
  372.   begin
  373.    ecx:=ecx-3;
  374.    edx:=edx+1;
  375.   end;
  376.   writeln(edx);
  377.  
  378. end.
  379.  
  380.  
  381. ===END CODE===
  382.  
  383.  
  384.  
  385.  
  386.  
  387.  
  388. I hope to see you again in Flu[X] tutor #8
  389. As always if you like a program buy it!  Thi essay is for
  390. educational purposes ONLY! Software authors deserve your support!
  391.  
  392. Flu[X]/PC98
  393. http://tuts98.cjb.net
  394. pcflux@hotmail.com
  395.