home *** CD-ROM | disk | FTP | other *** search
/ Cracking 2 / Cracking II..iso / Texty / crackme / cm12_tut.txt < prev    next >
Encoding:
Text File  |  2000-01-24  |  12.8 KB  |  340 lines
  1. Tutorial for Crackme id:9 (tC...)
  2. by Sanhedrin
  3.  
  4. Tools
  5. Wdasm
  6. Softice
  7. PEEK
  8.  
  9. --PART ONE--
  10.  
  11. This crackme requires an unlock code before it allows you to enter your name and serial number.  
  12. First thing to do is to disassemble and look at the binary text with PEEK.  Nothing too 
  13. unusual in the binary text, but something stands out at 004442FF.  The String Data Reference
  14. to "CrackMe [id:9] by tC... ." is in an unusual place for something that is in the about dialog
  15. box.  Furthermore, there is another "CrackMe [id:9] by tC... .Today". Just a clue, but perhaps 
  16. it has something to do with the unlock code.  So, enter an unlock code
  17.  
  18. 12344321
  19.  
  20. go into softice and enter the breakpoint
  21.  
  22. bpx hmemcpy
  23.  
  24. go back to the crackme and enter another number in the unlock code box.
  25.  
  26. Once in softice, disable the breakpoints and press F12 until you end up at:
  27.  
  28. :004442DE 8BD8                    mov ebx, eax
  29. :004442E0 33C0                    xor eax, eax
  30. :004442E2 55                      push ebp
  31. :004442E3 6875434400              push 00444375
  32. :004442E8 64FF30                  push dword ptr fs:[eax]
  33. :004442EB 648920                  mov dword ptr fs:[eax], esp
  34. :004442EE 8D55FC                  lea edx, dword ptr [ebp-04]
  35. :004442F1 8B83C4020000            mov eax, dword ptr [ebx+000002C4]
  36. :004442F7 E898F9FDFF              call 00423C94
  37. :004442FC 8B45FC                  mov eax, dword ptr [ebp-04]<----you will land here
  38.  
  39. * Possible StringData Ref from Code Obj ->"CrackMe [id:9] by tC... ."
  40.                                   |
  41. :004442FF BA88434400              mov edx, 00444388
  42. :00444304 E83BF8FBFF              call 00403B44<---call the compare code routine
  43. :00444309 7507                    jne 00444312<----jump if not the same
  44. :0044430B E8BCFFFFFF              call 004442CC
  45. :00444310 EB4D                    jmp 0044435F
  46.  
  47. //SNIP//
  48.  
  49. * Possible StringData Ref from Code Obj ->"Please enter your name and serial..."
  50.                                   |
  51. :0044434F BAAC434400              mov edx, 004443AC
  52. :00444354 8B83F0020000            mov eax, dword ptr [ebx+000002F0]
  53. :0044435A E8FDF4FFFF              call 0044385C
  54.  
  55. //SNIP//
  56.  
  57. * Possible StringData Ref from Code Obj ->"UnlockCode needed..."
  58.                                   |
  59. :00444405 BA20444400              mov edx, 00444420
  60.  
  61. Interesting place to land!  At 004442FC (call 00403B44) press F8 and you will end up:
  62.  
  63.  
  64. :00403B44 53                      push ebx<---you will land here
  65. :00403B45 56                      push esi
  66. :00403B46 57                      push edi
  67. :00403B47 89C6                    mov esi, eax<---move our 3 to esi
  68. :00403B49 89D7                    mov edi, edx<---move real # to edi
  69. :00403B4B 39D0                    cmp eax, edx<---compare our # to real #
  70. :00403B4D 0F848F000000            je 00403BE2<---jump if the same
  71. :00403B53 85F6                    test esi, esi
  72. :00403B55 7468                    je 00403BBF<---jump if no number is entered
  73. :00403B57 85FF                    test edi, edi
  74. :00403B59 746B                    je 00403BC6
  75. :00403B5B 8B46FC                  mov eax, dword ptr [esi-04]<---count our number of digits
  76. :00403B5E 8B57FC                  mov edx, dword ptr [edi-04]<---count the amount in real #
  77. :00403B61 29D0                    sub eax, edx<---subtract real number from our number
  78. :00403B63 7702                    ja 00403B67<---jump if greater than 0
  79. :00403B65 01C2                    add edx, eax
  80.  
  81. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  82. |:00403B63(C)
  83. |
  84. :00403B67 52                      push edx
  85. :00403B68 C1EA02                  shr edx, 02
  86. :00403B6B 7426                    je 00403B93
  87.  
  88. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  89. |:00403B89(C)
  90. |
  91. :00403B6D 8B0E                    mov ecx, dword ptr [esi]
  92. :00403B6F 8B1F                    mov ebx, dword ptr [edi]
  93. :00403B71 39D9                    cmp ecx, ebx
  94. :00403B73 7558                    jne 00403BCD<---check 1st four numbers jump if not the same
  95. :00403B75 4A                      dec edx
  96. :00403B76 7415                    je 00403B8D
  97. :00403B78 8B4E04                  mov ecx, dword ptr [esi+04]
  98. :00403B7B 8B5F04                  mov ebx, dword ptr [edi+04]
  99. :00403B7E 39D9                    cmp ecx, ebx
  100. :00403B80 754B                    jne 00403BCD<---check 2nd four numbers jump if not the same
  101. :00403B82 83C608                  add esi, 00000008
  102. :00403B85 83C708                  add edi, 00000008
  103. :00403B88 4A                      dec edx
  104. :00403B89 75E2                    jne 00403B6D<---finished all the numbers?  Repeat process if no
  105. :00403B8B EB06                    jmp 00403B93<---jump when finished the first 24 numbers
  106.  
  107. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  108. |:00403B76(C)
  109. |
  110. :00403B8D 83C604                  add esi, 00000004
  111. :00403B90 83C704                  add edi, 00000004
  112.  
  113. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
  114. |:00403B6B(C), :00403B8B(U)
  115. |
  116. :00403B93 5A                      pop edx
  117. :00403B94 83E203                  and edx, 00000003
  118. :00403B97 7422                    je 00403BBB
  119. :00403B99 8B0E                    mov ecx, dword ptr [esi]
  120. :00403B9B 8B1F                    mov ebx, dword ptr [edi]
  121. :00403B9D 38D9                    cmp cl, bl<---compare 25th # 
  122. :00403B9F 7541                    jne 00403BE2<---jump if not the same
  123. :00403BA1 4A                      dec edx<---decrease the count on our # by one
  124. :00403BA2 7417                    je 00403BBB<---jump if zero
  125. :00403BA4 38FD                    cmp ch, bh
  126. :00403BA6 753A                    jne 00403BE2
  127. :00403BA8 4A                      dec edx
  128. :00403BA9 7410                    je 00403BBB
  129. :00403BAB 81E30000FF00            and ebx, 00FF0000
  130. :00403BB1 81E10000FF00            and ecx, 00FF0000
  131. :00403BB7 39D9                    cmp ecx, ebx
  132. :00403BB9 7527                    jne 00403BE2
  133.  
  134. //SNIP//
  135.  
  136. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
  137. |:00403B4D(C), :00403B9F(C), :00403BA6(C), :00403BB9(C), :00403BBD(U)
  138. |:00403BC4(U), :00403BCB(U), :00403BD0(C), :00403BD4(C), :00403BDE(C)
  139. |
  140. :00403BE2 5F                      pop edi
  141. :00403BE3 5E                      pop esi
  142. :00403BE4 5B                      pop ebx
  143. :00403BE5 C3                      ret<---return
  144.  
  145. Here is where things get a little strange.  We know what the first 24 characters should be, 
  146. and we know that the last character should be a period.  I have to admit that I got lost in 
  147. the code somewhat here, but here is what works.  Either enter another space after the last 
  148. period, or delete the period after you have entered it.  I am not sure if this is a bug, or 
  149. planned for, but it through me for a bit of a loop (tC informs me that it was  an 
  150. intentional annoyance).  So the Unlock Code is:
  151.  
  152. CrackMe [id:9] by tC... . 
  153.                        ^ ^
  154.                        Spaces before and after the last period.
  155.                        
  156.  
  157. --PART TWO--
  158.  
  159.  
  160. Notice that you can enter your name and serial number, and that the Register button is enabled.  
  161. So, enter your name and serial number
  162.  
  163. Sanhedrin
  164. 12344321
  165.  
  166. enter softice and place a breakpoint
  167.  
  168. bpx hmemcpy
  169.  
  170. and press Register
  171.  
  172. Once we have broken into softice, disable the breakpoint press F12 a few times and we will be at:
  173.  
  174. :0044477E 8B55F8                  mov edx, dword ptr [ebp-08]<---we will land here
  175. :00444781 B868684400              mov eax, 00446868
  176.  
  177. Press F10 until
  178.  
  179. //SNIP//
  180.  
  181. :00444848 E813FCFFFF              call 00444460<---first important call - STOP here
  182. :0044484D E81EFEFFFF              call 00444670<---second important call
  183. :00444852 A150684400              mov eax, dword ptr [00446850]
  184. :00444857 3B0554684400            cmp eax, dword ptr [00446854]
  185. :0044485D 7546                    jne 004448A5<---no jump if the calcualtions are not the same
  186.  
  187.  
  188. --FIRST CALL--
  189.  
  190.  
  191. A lot of information in these few lines of code.  I would love to go through each line of 
  192. code and explain everything, but I really only have space to go through the highlights. 
  193. Let's start with 00444848.  Once you are there press F8:
  194.  
  195. :00444460 55                      push ebp<---you will land here
  196. :00444461 8BEC                    mov ebp, esp
  197. :00444463 6A00                    push 00000000
  198. :00444465 53                      push ebx
  199. :00444466 56                      push esi
  200. :00444467 33C0                    xor eax, eax
  201.  
  202. //SNIP//
  203.  
  204. Press F10 until 004444CD.
  205.  
  206. :004444CD 8B55FC                  mov edx, dword ptr [ebp-04]<---stop here
  207.  
  208. At the top of your softice window, you will notice all of the registers EAX=, EBX=, etc., etc..
  209. The lower right hand is SS=.  The addresses may not be the same, but on my computer it says:
  210.  
  211. ss:0068FA90=00BB6194
  212.  
  213. It's the second location that we are interested in.  Type:
  214.  
  215. d 00BB6194 
  216.  
  217. and you will see the first part of your code (for me it was B20E).  Write it down.
  218. Continue pressing F10 until:
  219.  
  220. :00444537 8D45FC                  lea eax, dword ptr [ebp-04]<---stop here
  221.  
  222. Again, on my computer:
  223.  
  224. ss:0068FA90=00BB2DDC
  225.  
  226. Type
  227.  
  228. d 00BB2DDC (for me it was FFFBDC4A)
  229.  
  230. you will see the final section of your code.  Write it down.
  231.  
  232.  
  233. --SECOND CALL--
  234.  
  235.  
  236. Here's where things get complicated.  tC has added a lot of dummy routines to cloud 
  237. exactly which serial number is correct.  All look like they could be serial numbers.  
  238. Again, to make things short, I will go over the code which relates only to obtaining a 
  239. valid serial number.  Let's begin at the second call routine 0044484D.  Once you have 
  240. finishedthe first call, stop at the second call and press F8.  This call brings you
  241. to the magical sequence that ties everything together. Follow the code carefully....
  242.  
  243. :00444848 E813FCFFFF              call 00444460
  244. :0044484D E81EFEFFFF              call 00444670<---stop here, press F8
  245.  
  246.  
  247. :00444670 55                      push ebp<---you will land here
  248. :00444671 8BEC                    mov ebp, esp
  249. :00444673 6A00                    push 00000000
  250. :00444675 6A00                    push 00000000
  251. :00444677 53                      push ebx
  252. :00444678 56                      push esi
  253. :00444679 33C0                    xor eax, eax
  254. :0044467B 55                      push ebp
  255.  
  256. //SNIP//
  257.  
  258. Press F10 until:
  259.  
  260. :00444700 E847FEFFFF              call 0044454C<---stop here, press F8
  261. :00444705 33C0                    xor eax, eax
  262. :00444707 5A                      pop edx
  263. :00444708 59                      pop ecx
  264. :00444709 59                      pop ecx
  265. :0044470A 648910                  mov dword ptr fs:[eax], edx
  266.  
  267. //SNIP//
  268.  
  269. :0044454C 55                      push ebp<---you will land here
  270. :0044454D 8BEC                    mov ebp, esp
  271. :0044454F 6A00                    push 00000000
  272. :00444551 6A00                    push 00000000
  273. :00444553 6A00                    push 00000000
  274.  
  275. Press F10 until:
  276.  
  277. :00444645 8D45F4                  lea eax, dword ptr [ebp-0C]
  278. :00444648 BA03000000              mov edx, 00000003
  279. :0044464D E88AF1FBFF              call 004037DC<---stop here, press F8
  280. :00444652 C3                      ret
  281.  
  282. //SNIP//
  283.  
  284. :004037DC 53                      push ebx<---you will land here
  285. :004037DD 56                      push esi
  286. :004037DE 89C3                    mov ebx, eax
  287. :004037E0 89D6                    mov esi, edx
  288. :004037E2 8B13                    mov edx, dword ptr [ebx]
  289. :004037E4 85D2                    test edx, edx
  290. :004037E6 7419                    je 00403801
  291. :004037E8 C70300000000            mov dword ptr [ebx], 00000000<---stop here
  292.  
  293. Alright, we have found that magic spot in the program that will tie it all together and do
  294. all of the work for us.  Cancel all breakpoints and put a breakpoint:
  295.  
  296. bpx 004037E8
  297.  
  298. Before we look at the whole serial, look at the second address at SS (top right hand of the
  299. register window) and type (for me)
  300.  
  301. d 00BB613C 
  302.  
  303. This will give you the third part of the key code (for me it was 1135).  Press F5, look at the same 
  304. register and type the address(for me it was)
  305.  
  306. d 00BB6128
  307.  
  308. This will give you the second part of the serial (for me it was 46653). BUT WAIT!!!!  Press F5 again,
  309. type in the address
  310.  
  311. d 00BB570C
  312.  
  313. and VOILA, our entire serial waiting patiently for us.  
  314.  
  315.  
  316. B20E-46653-1135-FFFBDC4A
  317.  
  318.  
  319. --FINAL NOTES--
  320.  
  321. There was a lot of code that I had to leave out for brevity's sake.  tC does a lot of neat 
  322. things to try and trick the cracker.  For example, if you watch the initial serial being 
  323. made, you will notice that there is a '65A' after the first part of the code.  At the serial
  324. check routine, it looks for that '65A', and sends you immediately to the bad cracker 
  325. section.  There are some other fun tricks in this one, and I suggest that, rather than just 
  326. following the above code, that you do some exploring.  
  327.  
  328.  
  329. Greets to tC
  330.  
  331. Thanks to all of those coders that make these crackmes, to Pepper for sending me on the 
  332. right path so long ago and of course to Eternal Bliss.
  333.  
  334.  
  335. Sanhedrin
  336. stachi@geocities.com
  337.  
  338.  
  339.  
  340.