home *** CD-ROM | disk | FTP | other *** search
/ The World of Computer Software / World_Of_Computer_Software-02-385-Vol-1of3.iso / t / toplib40.zip / METHODS.TXT < prev    next >
Text File  |  1993-01-13  |  24KB  |  499 lines

  1.                              Techniques in Cracking
  2.                             Brought to you by -TOP-
  3.                      We are Tired of Protection. Arent You?
  4.  
  5.         The Following Information provided is a listing of some techniques the
  6. -TOP- crackers have used in cracking Programs.  This is NOT intended as a
  7. Cracking Tutorial but as an enhancement to people who need to know just a bit
  8. more in order to crack a certain program.  -TOP- Crackers have spent time and
  9. effort in comming up with these techniques. Get what information you can from
  10. it.  It will be updated each new Issue.
  11.  
  12. Listing of Techniques
  13. 1. Goldrush
  14. 2. Space Ace
  15. 3. SimEarth
  16. 4. StarControl 1
  17. 5. Bo Jackson Baseball
  18. 6. Mike Dikta Football
  19. 7. Con>Format 1.06
  20. 8. The Summoning
  21. 9. Martian Dreams
  22. 10. Sargon V
  23. 11. Secret Weapons of the Lutewaffa
  24. 12. Crimewave
  25. 13. 3 on 3: The Dream Team.
  26. <*****************************************************************************>
  27. Unprotect for GoldRush by Sierra!
  28.  
  29. **********************************
  30. Sierra's Doc check  AARGH!
  31. **********************************
  32.  
  33. This one is a royal pain to do manually however, here it goes:
  34.  
  35.         Using norton DE/Pctools enter the file AGI.
  36.         Look at the beginning of the file and start at the A
  37.         in 'Adventure game...' and enter the numbers on the
  38.         lefthand side of the screen.  For those interested the
  39.         assembly code is on the right.
  40.  
  41.         90                      NOP
  42.         9C                      PUSHF
  43.         50                      PUSH AX
  44.         53                      PUSH BX
  45.         56                      PUSH SI
  46.         8B 1E AA 00             MOV BX, [AA]
  47.         BE E3 73                MOV SI, 73E3
  48.         46              SCAN:   INC SI
  49.         38 1C                   CMP [SI],BL
  50.         75 FB                   JNZ SCAN
  51.         8A 44 07                MOV AL, [SI+7]
  52.         A2 F7 00                MOV [F7], AL
  53.         5E                      POP SI
  54.         5B                      POP BX
  55.         58                      POP AX
  56.         9D                      POPF
  57.         C3                      RET
  58.  
  59.  
  60.         That is only part one, part two is shorter:
  61.  
  62.         Using norton's DE or Pctools search 'AGI' for:
  63.  
  64.         8A 87 09 00 00 85 09 00
  65.         ^^ ^^ ^^ ^^ ^^ ^^ ^^ ^^
  66.         90 90 90 90 2E E8 15 89
  67.  
  68.         In Assembler:           NOP
  69.                                 NOP
  70.                                 NOP
  71.                                 NOP
  72.                                 CALL CS:0
  73.  
  74. ***********************************************************************
  75. TO BYPASS THE PROTECTION YOU MUST ENTER AT LEAST ONE LETTER FOLLOWED BY
  76.                      *****THE ENTER KEY*****
  77.  
  78. The method involved:
  79.         Sierra programs are a royal pain and even the old ones take me a
  80. long time to crack.  This one lets you type in an answer.  I did a
  81. search through memory to find the answer and then did a break if any
  82. letter was read of the answer.  I followed it through and found the the
  83. program added the letters up into a single number (at ds:f7).  I
  84. followed this and found a compare that accessed this number.  However, I
  85. could not find anyplace to put a crack in so I went back to find how the
  86. answer was obtained.  What a royal pain.  I found a number that was used
  87. to index into a block of memory that had all the answer numbers  --no
  88. words, just numbers (started at ds:73e4).  The program would compare its
  89. index number to sub-blocks until it found the right number.  It then
  90. would scan a bit further until it found the number and then did its
  91. compare.  However, it was not done until it scanned the entire block for
  92. any other equal numbers.  So the crack involves using spare room inside
  93. the sierra file AGI, grabbing the index number (at ds:aa) and scanning
  94. through the memory block (starting at ds:73e4).  Once the right
  95. sub-block was found a went a bit further and took the number there and
  96. put it back at ds:f7--which was where the program looks for my answer.
  97. The second part of the crack is to call the subroutine.
  98.  
  99.                                                 The Mad Doctor
  100.                                                 -TOP- crack.
  101. <*****************************************************************************>
  102. Cracker:  The Mage
  103. Program:  Space Ace.
  104.  
  105.         A Little Description of the Copy-Protection.  The Copy Protect was
  106. Off of a main loop.  It was integrated into the program.  A Main screen popped
  107. up and it went in 4 different directions.  One of these Directions led to the
  108. Copy Protection screen which THEN let you into the game.  The Game was also in
  109. this main loop and so Nopping out the CALL would not avail me.
  110.         I searched the code through and through and found that it was using a
  111. interesting comparison scheme to determine the Screens with which to load based
  112. on 4 different variables and Combinations thereof.  This was interesting.  I
  113. had to re-program the code to make it go to regular locations 3 out of 4 times
  114. and the 4th time force it to jump to the game.  This required some programming
  115. and Assembly knowledge.  The Copy Protection itself was different than any
  116. others I have seen, or the way I got passed it was different.
  117. <*****************************************************************************>
  118. Cracker:  The Mage and Majik
  119. Program: Sim Earth
  120.  
  121.         Some Background on the game..  When you load up the game it pops into a
  122. nice menued system.  This system allowed you to mess around But on 2 different
  123. Commands (New Planet and Load Planet I think) had a DOC check.  Now since there
  124. was more than one CALL to the same procedure Majik had an Idea.  Since it was a
  125. window based system and you wouldn't be expected to keep answering the DOC
  126. check, it seemed that there must be a counter or something that checked if you
  127. had answered the question BEFORE asking it.
  128.         Entering Into the CALL we did some quick checking and sure enough right
  129. at the beginning of the call was a comparision that jmped pretty much to the
  130. end of the procedure.  Well by simply forcing this to happen you never saw the
  131. CP again.
  132.         A HINT to people who usually just NOP out calls.  NOP'ing out CALL's
  133. works a lot of the time but I would suggest that you completly play the game
  134. before you consider it cracked.  By removing the CALL statement it just removes
  135. that current CP but it may also be called later on in the program which would
  136. then mean additional Removals.  Look inside each CALL and see if there is a
  137. simple way to JMP to the end of the CALL and thus eliminating that possibility.
  138.  
  139.  
  140. <*****************************************************************************>
  141.  
  142. Unprotect for Starcon!
  143.  
  144. **********************************
  145. Documentation Check
  146. **********************************
  147.  
  148. use Pctools/Norton's DE and search STARCON.OVL for:
  149. FE 00 75 03 E9 4C
  150.       ^^ ^^
  151.       EB 2A
  152.  
  153. The method involved:
  154.         Actually not hard.  I uncompressed starcon.exe with unlzexe to
  155. make it easier to follow through and also to find the proper bytes if I
  156. needed to but this wasn't necessary.  By running through the code I
  157. found the doc check.  I found right after it where the program loaded
  158. the addresses of my answer and the programs answer with a compare
  159. statement and conditional jump afterward.  I just made the program jump
  160. immediately to that area.  I could have made it so the screen would not
  161. even show up but you would have seen some garbage on the screen and it
  162. would have been a messier crack.  Enjoy!
  163.  
  164.                                                 The Mad Doctor
  165.                                                 -TOP- crack.
  166. <*****************************************************************************>
  167. Unprotect for The Bo Jackson Baseball!
  168.  
  169. **********************************
  170. Pathetically simple protection
  171. **********************************
  172.  
  173. Bo Jackson Baseball is another one of those protection checks in which
  174. you need your manual to answer a question.
  175.  
  176. use Pctools/Nortons search for  (in BALL.EXE)
  177. 9A 4C 04
  178. ^^ ^^
  179. EB 14
  180.  
  181. The method involved:
  182.         The method here is so simple I am embarassed to relate it to
  183.         you.  I ran the program once to see what the protection was.  It
  184.         was one of those generic protection checks.  I let the
  185.         protection kill the game and restarted it again under soft-ice.
  186.         This time I timed it a bit and stopped the program before it got
  187.         to the doc check.  I stepped through it with soft-ice and found
  188.         2 calls that ran the protection.  A few steps later I found a
  189.         conditional jump that went to the rest of the game.  So I tried
  190.         the simplest thing.  I put a JMP statement to the rest of the
  191.         game and it worked!  I then went into norton diskedit and
  192.         searched for the bytes.  It wasn't there, so I searched for a
  193.         shorter string (as above) and there was only one string like
  194.         that in the program.  I made the changes above and it works!
  195.         Enjoy!
  196.                                                 The Mad Doctor
  197.                                                 -TOP- crack.
  198. <*****************************************************************************>
  199. Unprotect for Mike Ditka Football!
  200.  
  201. **********************************
  202. Documentation Checks and Checksums
  203. **********************************
  204.  
  205. Mike Ditka football has the standard documentation checks but also has
  206. some checksums early on that also have to be fixed.  This is a 3 part
  207. unprotect.
  208.  
  209. use Pctools/Nortons search for  (in MDFB.EXE)
  210. Part 1:    75 6B 05 00
  211.            ^^ ^^
  212.            90 90
  213.  
  214. re-search MDFB.exe for:
  215. Part 2:    75 12 8E 46
  216.            ^^ ^^
  217.            90 90
  218.  
  219. now look in DAT101.DAT for:
  220. part 3:    E8 A1 B7 B8 01
  221.            ^^ ^^ ^^
  222.            90 90 90
  223.  
  224. The method involved:
  225.            This program uses the doc check which is not too difficult to
  226.            find.  If you let the program run and then stop it with
  227.            soft-ice just prior to when the doc check pops up you will
  228.            find a call routine that calls the doc check up.  If you NOP
  229.            it out you then go right to the main menu.  OK, now we go to
  230.            norton's diskedit and make the changes and run the program.
  231.            Drat! the program says bad overlay--obviously someone put a
  232.            checksum to prevent exactly what I did.  No problem, lets go
  233.            back into soft-ice and run the program using the soft-ice
  234.            again and stopping the program before it gets to that
  235.            bad overlay statement.  I then find a call routine that makes
  236.            the statement and 2 conditional jumps that will lead up to
  237.            that call.  So, I NOP them out and it works.  I then went
  238.            back to diskedit and made the changes.  Now, it works.  Enjoy!
  239.  
  240.                                                 The Mad Doctor
  241.                                                 -TOP- crack.
  242.  
  243. Addendum:  This program was already supposedly cracked by others.  It is
  244. interesting that their crack works when I use soft-ice but does not work
  245. without it.  This crack works period.
  246.  
  247. <*****************************************************************************>
  248. Another fine patch courtesy of Majik..
  249. Con>Format is a fine product, but the opening banner is a pain in the you
  250. know what, and requires a keypress, which kinda ruins putting it in
  251. autoexec.bat....(I use loadhi from QEMM so it's always there but uses no
  252. conventional memory).
  253. ok, here is  a step-by-step for version 1.06
  254. 1st!!!!! Run the configuration program to setup your system
  255. 2. debug confmt.com
  256. -r   ;To display registers upon entry - write down cx's value
  257.  
  258. AX=0000  BX=0000  CX=3560  DX=0000  SP=FFFE  BP=0000  SI=0000  DI=0000
  259. DS=24FE  ES=24FE  SS=24FE  CS=24FE  IP=0100   NV UP EI PL NZ NA PO NC
  260. 24FE:0100 E93F35        JMP     3642
  261. keep pressing p (to proceed) until you see the following...
  262.  
  263. 24FE:365C FF264036      JMP     [3640]                          DS:3640=266A
  264. -                                                      write this down ^^^^^
  265. -p                                                                     |
  266. This has just completed the de-cryption algorithm for the TSR.         |
  267. So we will code around that for future start-up.                       |
  268. -a cs:100                                                              |
  269. 24FE:0100 jmp 266a <--- This should be what you wrote down up here  -> |
  270. 24FE:0103  <ENTER>
  271. Now to get rid of that opening screen...
  272. 24FE:2697 E8B40D        CALL    344E  This is the call to the opening screen
  273. -e 2697
  274. 24FE:2697  E8.90       So we will NOP it out....
  275. 24FE:2698  B4.90   0D.90
  276. -r cx
  277. CX 0000
  278. :3560                 Enter the value from step 2 above.
  279. -n cf.com             Rename the working program to whatever you like
  280. -w                    Write it to disk
  281. writing 3560 bytes
  282. -q                    Enjoy.... Majik
  283. <*****************************************************************************>
  284. Unprotect for The Summoning!
  285.  
  286. **********************************
  287. Graphical documentation check
  288. **********************************
  289.  
  290. use Pctools/Norton's DE and search 'CODE.1' for:
  291. A3 CC 0C 56 57 0E
  292.          ^^ ^^
  293.          EB 16
  294.  
  295. The method involved:
  296.         I ran the program with Soft-Ice and saw what the protection
  297. looked like on the screen.  I then went back, ran the program and
  298. stopped it early to see what was going on.  The program is fairly
  299. straightforward with individual call routines doing individual things.
  300. I quickly got to the protection portions and found two calls that
  301. brought up the protection screen and the second actually did the test
  302. for the answer and returned back where it checked ax to see if it was
  303. zero or not.  If it wasn't zero it wouldn't let you continue with the
  304. game.  I just jumped past the entire section and it worked!  Enjoy!
  305.  
  306.                                                 The Mad Doctor
  307.                                                 -TOP- crack.
  308.  
  309. <*****************************************************************************>
  310. Unprotect for Martian Dreams!
  311.  
  312. Use your PC Tools or Norton Diskedit on the file game.exe
  313.  
  314. search for the hex string:
  315. 74 08 8b 5e 0a
  316. ^^                 replace the 74 with:
  317. eb
  318. When the protection check comes up just press enter and it will work!
  319.  
  320. The method involved:
  321.         The difficulty in breaking this game wathat the program seemed
  322.         to be using the same sets of code no matter what it did and this
  323.         was extremely frustrating.  I was trying to stop the protection
  324.         routine from even coming up.  I was unable to do this so I went
  325.         for the next best thing, I inactivated the doc check.  Here's
  326.         how:  when you try to get out of the spaceship with the prybar
  327.         is when the protection springs up.  Tesla asks you a question
  328.         from the manual.  I filled in a word and then stopped the
  329.         program with soft-ice and searched for it in memory.  I found it
  330.         at:    4161:eca8
  331.         I then put a watch on it with the bpmb command in S-I.  By
  332.         following what the program was doing with my answer I found that
  333.         it moved it to another location:
  334.                4161:fe6e
  335.         I then stopped by other watch and followed this memory location.
  336.         Lo and behold I found it was comparing my answer to a memory
  337.         location with the answer!
  338.                4161:ec8e
  339.         I figured this out by changing my answer to the word found at
  340.         this location and the program worked.  However, I needed more
  341.         than this.  So, I started again and followed the location of the
  342.         answer until I got to a section of the code where there was a
  343.         comparison between my answer and their answer followed by a
  344.         conditional jump.
  345.                POP CX     (not obvious here but now one register has one
  346.                POP DX      letter or my answer and one of the real answer)
  347.                CMP DX,AX  (if they are not the same then you lose)
  348.                JNZ 004C   (this is what I changed to a JMP statement so it
  349.                            doesn't matter what your answer is now)
  350.         I just changed that conditional jump to a regular jump and it works.
  351.         Enjoy!
  352.  
  353.  
  354.                                                 The Mad Doctor
  355.                                                 -TOP- crack.
  356.  
  357. <*****************************************************************************>
  358. Unprotect for Sargon 5
  359.  
  360. *******************
  361. Documentation Check
  362. *******************
  363.  
  364. Using Norton's Diskedit or PCTools:
  365.  
  366. Search the file  sargon5.exe for the following:
  367.  
  368. 8e d6 eb a8
  369. ^^ ^^
  370. d1 17
  371.  
  372. and that's it!
  373.  
  374. The method involved:
  375.  
  376.         Sargon 5 uses a standard documentation check.  If you run the
  377. program under soft-ice and break it prior to the doc check you will find
  378. the call statement that will call the doc check routine.  On my setup:
  379.         program start 1a66:0
  380.         call routine  2fba:32be
  381. I ran through the call routine and input some letters.  Instead of
  382. running the entire doc check I set soft-ice to look for my letters and
  383. stop the program when accessed.  This brought me near the end of the
  384. routine.  I went a bit farther and noticed a compare statement followed
  385. by a conditional jump (at 2fba:4a92).  I changed the condition of the jump
  386. and lo! it worked.  However, I didn't like this crack (too much work for
  387. the gamer) and went back to the jump.  After the conditional jump there
  388. were 2 mov statements and a return.  So, I went back to the call routine
  389. and made the call go just to the end of the protection routine where the
  390. mov statements were and that was it.  Now I had to find it by
  391. diskedit--however it wasn't there.  So, since I knew where I wanted to
  392. change memory I put soft-ice watching the spot.  Soft-ice stopped the
  393. program and I saw a movsb statement which had the area I wanted.  That's
  394. it--this was a more in depth discussion than usual, it wasn't hard at
  395. all.  Bye!
  396.           
  397.                                                 The Mad Doctor
  398.                                                 -TOP- crack.
  399.  
  400. <*****************************************************************************>
  401.                     Secret Weapons of the Lutwaffe Unprotect
  402.                               Cracked By The Mage
  403.  
  404. Type of Check:  Doc Check in the Beginning of the Game.
  405. What was done:  Enabled it to press Enter 3 Times and you are into the Game.
  406.    Very Sloppy, but works perfectly.  Not bad for a 15 minute crack.
  407.  
  408. Method Involved.
  409.         While talking to The Mad Doctor and while we were working on Tony
  410. Larussa's Ultimate Baseball he showed me a new technique for cracking that I
  411. had not thought of..  simple and easier.  Anyways, At the DOC check you type in
  412. a Name (any name, I use MAGE) and then you search memory for the name.  Search
  413. from the first program block on up into memory.  You them in SOFT-ICE put a
  414. Break point on Memory Access and Read.  You then continue the program and press
  415. enter to finish the check.  You will have reads on the memory and chances are
  416. you will find a CMP to that memory location and a simple jmp afterwards.  This
  417. also helps you stay in the Copy Protection routines.  Well It wasn't as simple
  418. as all that and what I had to do was jump over a lot of checking code.  I found
  419. a JMP to a far location and used it by taking a much earlier JAE and changing
  420. it to JMP to the far location and whammo bypassed the code and enabled you to
  421. get into the program.  Since it was doing overlays I wasn't sure where the call
  422. was to the whole program so I left it at hitting enter 3 times and into the
  423. game you go.
  424.  
  425. Anyways Get out DiskEdit/Pctools andd search
  426. the file NOTCAMP.OVL
  427. Search for: 73 74 8B 5E
  428. Change to : E9 64 02
  429.             ^^ ^^ ^^
  430.  
  431. And that is it!
  432.  
  433. Thanks and greets go to everyone in -TOP-.  thanks to The Mad Doctor for the
  434. new Technique in my collection.
  435.                                                 The Mage
  436. <*****************************************************************************>
  437.                        Unprotect for Crime Wave by Access
  438.                               Cracked by The Mage
  439.                                     --------
  440.  
  441. Type of Protection:  Doc check at the Beginning of the program.
  442. What was done:  A JZ changed to JMP.
  443. Method Involved.
  444.         Well I loaded this sucker up and the program was using interupts to
  445. process strings so I could not search through memory for a sample string
  446. that I inputed.  Since at the Doc check itself it was sitting in DOS and I/O
  447. system blocks of memory I put in a bad value and got a PRESS ESC or SPACE BAR
  448. message from the program.  I then traced to where it compared to a space
  449. like CMP AH,20 and set this to true.  Then a Simple trace to where it compared
  450. the answer after the Interupt and a change and simple..  all of 7 minutes while
  451. talking on the phone..  <grin>  Very Very Easy.  I tried taking out the call
  452. completely but was unable to do so without extensive work.
  453.  
  454. Get out Norton/Pcshell
  455. Search the File CW.EXE
  456. Search for: 80 3D 00 74 05
  457. Change to:  -- -- -- EB --
  458.  
  459. And save it and press enter at the DOC check.  You are in!
  460.                                                         The Mage
  461.  
  462. <*****************************************************************************>
  463. ---------                         By Gron                           -----------
  464. ---------     3 on 3 Basketball : The Dream Team by Data East       -----------
  465.         Protection : Doc Check
  466.  
  467.         Search : DREAM.EXE
  468.  
  469.         Locate : 7D 00 75 55 C6 06                 
  470.         Replace:       EB
  471.         
  472.         Method : After loading the game into memory, I ran the program
  473.                  until the doc check popped up.  I then kicked out to
  474.                  Soft-Ice and traced until I found where it was looking
  475.                  for a compare to 0D which is the ENTER key.  I then traced 
  476.                  until it failed the protection.  This brought me back to
  477.                  the original CALL which was used to get keyboard input, 
  478.                  followed by a conditional jump.  Since the program did not
  479.                  jump with my bogus input, I changed the conditional jump
  480.                  to an unconditional one.  This worked beautifully.  However,
  481.                  the protection scheme still came up and forced the user to 
  482.                  enter three numbers before it would go on.  
  483.  
  484.                  Therefor, I looked back in the code and discovered that
  485.                  immediately before the CALL which asked for input there were
  486.                  a series of CALLs and jumps.  I noted the address of the 
  487.                  last jump in that series which jumped just beyond where the
  488.                  conditional jump I had changed earlier was jumping.  I 
  489.                  reloaded the program and ran to the address I had noted.  The
  490.                  protection scheme had yet to come up.  I changed the
  491.                  conditional jump to an unconditional one and continued 
  492.                  running the program.  It went right to the main menu, 
  493.                  bypassing the protection entirely.  After playing the game 
  494.                  for an hour or so, the protection never again surfaced nor 
  495.                  did any noticeable side-effects of the change.
  496.                
  497. <*****************************************************************************>
  498. End Methods File.
  499.