home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / Library / +HCU / 131-140.TXT < prev    next >
Encoding:
Text File  |  2000-05-25  |  38.4 KB  |  1,039 lines

  1. ========================================================
  2. +HCU Maillist          Issue: 131             02/01/1998 
  3. --------------------------------------------------------
  4. Send Articles To:......................... *************
  5. Info, Help, Unsubscription, etc:....... ****************
  6. Web Repository.........................hcuml.home.ml.org
  7. ========================================================
  8.  
  9. CONTENTS:
  10.  
  11. #1  Subject: RE: RE: RE: RE:
  12.  
  13. ARTICLES:
  14.  
  15. -----#1-------------------------------------------------
  16. Subject: RE: RE: RE: RE:
  17.  
  18. ><<<<<
  19. >From what I remember this is just needs a READWRITE flag set in the source
  20. >code. But I can't remember where I read this.
  21. >>>>>
  22. I think the position of the RW flag in the sourcecode well.. I don't
  23. think all compilers / linkers support it. btw - should you happen to
  24. know how to do it with my beloved TASM/TLINK please tell me. I couldn't
  25. find a way to do it in some code I made at a point and chose to set the
  26. flag manually after linking. The way this is done -  and yes you should
  27. know this if you wish to append code / data to PE files, the essays I've
  28. seen so far has either just seen that the flags were set correct or been
  29. lucky that they were - the flag is positioned as the last byte in the
  30. ObjectTableEntry for the object. Set it to 0E0h and you'll have read,
  31. write, exe which basically means you'll be able to do what ever you
  32. like. As for using VirtualProtect / or VirtualProtectEx API's to remove
  33. the protection it obviously requires that this function is in the
  34. imports or that you've importeted it yourself thru GetProcAddress (it's
  35. in the kernel32.dll which is mapped in all processes so you don't need
  36. to load :) ) So the above mentioned method of changing flags in the PE
  37. file directly is well suited for "foreign targets". Also since all well
  38. behaved aplications run in ring 3 modifying this flag won't pose a
  39. general endangerment of the system - only the process itself.. (which
  40. IMHO is done by all patching anyways) - though.. avoid changing the
  41. flags if there is no obvious reason to do so. 
  42.  
  43.  
  44. <<<<<<<<<
  45. >I've always thought it strange that protectionists never tried to search
  46. >for softice given how easy it can be done and how difficult (if not
  47. >impossible) it would be to hide from a determined programmer.
  48. >I wrote to Quine about this not long ago as he pre-empted one of my
  49. >'concept' protection schemes: basically heavy softice detection with PE
  50. >wrapping. I thought that since most crackers have little experience in
  51. >unpacking PE packed files it would be quite safe also tools were limited at
  52. >the time, but with Quine's SoftDump...
  53. >>>>>>>>>>
  54. Even with Quine's SoftDump or long time avaible dumpers by Patriarch or
  55. Jammer it's still pretty hard to unpack PE's. Imports might be mangled,
  56. resources, relocations etc. there is a lot of work to be done. And -
  57. well.. the PE header is more than 200 bytes large and it needs to be
  58. consistent (atleast if you wish the unpacked file to run on NT) Speaking
  59. of this - do anybody know how to get from a IAT entry to the
  60. name/ordinal of an imported function and DLL name? (the IAT entry is the
  61. exported entrypoint mapped the current process Virtual Addressing space
  62. - you can assume that I have axx. to this mapping because it's
  63. relatively easy to force yourself into other processes addressing space
  64. :) )
  65. >
  66. <<<<
  67. >I agree that going to ring 0 is hardly ever necessary. But I remember
  68. >reading the above paragraph somewhere recently. Was it something you wrote?
  69. >Do you know where it is from?
  70. >>>>
  71. The paragraph you're refering to could very well be mine - I wrote
  72. something similar to  Hanno's Exemailing list in respons to the fact
  73. that some PE-encrypters are using these unfortunate techniques. Lord
  74. Caligo published it on his webpage -
  75. ***************************
  76. where you can find it if you're interested in an old mans views and
  77. thoughts of encrypting PE-files. If you have not previously dealt with
  78. the PE-file only the intro will make sense to you.
  79.  
  80. On a totally different note - +RCG's VxD techniques to hook certain
  81. functions is IMHO ill behaved cracking. There is no need for ring 0 in
  82. the specific situation and in the general case there are many other ways
  83. of intercepting "hostile" api's. This does however not change the fact
  84. that I found the essay interesting and fairly well written - it's just
  85. not a method that should be taken into consideration before all else
  86. fails - and all MEANS all.. and there are extremely many tricks that can
  87. be applied to solve situations where +RGC's solution would be possible.
  88. Maybe if you guys find it particularly interesting I'll write a doc or
  89. something on "Pseudo residency and hooking API's from ring 3".. :) 
  90.  
  91. Stone / United Cracking Force '98
  92. >
  93. >
  94.  
  95. =====End of Issue 131===================================
  96.  
  97.  
  98.  
  99.  
  100. ========================================================
  101. +HCU Maillist          Issue: 132             02/02/1998 
  102. --------------------------------------------------------
  103. Send Articles To:......................... *************
  104. Info, Help, Unsubscription, etc:....... ****************
  105. Web Repository.........................hcuml.home.ml.org
  106. ========================================================
  107.  
  108. CONTENTS:
  109.  
  110. #1  Subject: Pseudo residency and hooking API's from ring 3"..
  111.  
  112. #2  Subject: Re....Re
  113.  
  114. #3  Subject: Netscape
  115.  
  116. #4  Subject: Netscape Source
  117.  
  118. #5  Subject: Symantec's protection
  119.  
  120. ARTICLES:
  121.  
  122. -----#1-------------------------------------------------
  123. Subject: Pseudo residency and hooking API's from ring 3"..
  124.  
  125. Stone,
  126. I'm VERY interested in your essay 
  127. Pseudo residency and hooking API's from ring 3
  128. please do by all means write it as soon as 
  129. you have some time...
  130.  
  131. later
  132. fravia+
  133.  
  134. -----#2-------------------------------------------------
  135. Subject: Re....Re
  136.  
  137. Hi Stone, I would like very much your comments/critics
  138. about the bad use of the VxD for cracking purposes.
  139. You know how many protections were being defeated in
  140. our beloved MSDOS using TSR programs, because in some
  141. cases, there were no other solution. I know that 
  142. protections in W95/NT are far from these levels of
  143. sophistication, but I think soon protectionits will
  144. begin to use more powerful technics, in fact a good
  145. protection using Hasp/Sentinel can't be removed 
  146. if you haven't certain privileges like IO access/
  147. interception.
  148. BTW 99% of us use a ring 0 utility to reverse
  149. programs.
  150. I know you and Quine don't agree with me because
  151. you are using NT, sure you are right, because
  152. I have never use it before and sure many things
  153. I don't care about under W95 can be dangerous in NT.
  154. All right, my advice is not to use such technics
  155. to crack programs, but at least you must know
  156. it can be an extreme solution.
  157. Finally, would you describe briefly your idea to
  158. intercept API using only an standart application,
  159. I'm very interesting to know it.
  160.  
  161. regards
  162. +rcg       rcg__(at)usa(point)net
  163.  
  164. PD. Please forget my latinmail address, our high
  165. technology is so good. :-(
  166.  
  167.  
  168.  
  169.  
  170. ____________________________________________________________________
  171. Get free e-mail and a permanent address at *************************
  172.  
  173. -----#3-------------------------------------------------
  174. Subject: Netscape
  175.  
  176. Just a bit of info. Netscape says they will be releasing
  177. their client source code by the end of the first quarter '98.
  178. That should make for some interesting ideas.
  179.  
  180.     Joe Dark
  181.  
  182.  
  183. -----#4-------------------------------------------------
  184. Subject: Netscape Source
  185.  
  186. Ok, I just read on.. they plan on releasing the source
  187. code for Netscape Communicator 5.0
  188.  
  189.     Joe Dark
  190.  
  191. Maybe we'll be able to fix some of the bugs its
  192. bound to have.
  193.  
  194.  
  195. -----#5-------------------------------------------------
  196. Subject: Symantec's protection
  197.  
  198. Hi there Rezident !!!
  199. Way back You wrote about unlocking NU trial. I have recently spent some
  200. time on it and I can't jump over anything, i just end i the same place
  201. all the time. Can You or someon e else tip me on that. BTW: it uses some
  202. strange procedure calling method anyone noticed that ???
  203.  
  204. Greets KUBAK
  205.  
  206. =====End of Issue 132===================================
  207.  
  208.  
  209.  
  210.  
  211. ========================================================
  212. +HCU Maillist          Issue: 133             02/03/1998 
  213. --------------------------------------------------------
  214. Send Articles To:......................... *************
  215. Info, Help, Unsubscription, etc:....... ****************
  216. Web Repository.........................hcuml.home.ml.org
  217. ========================================================
  218.  
  219. CONTENTS:
  220.  
  221. #1  Subject: Re: Pseudo residency 
  222.  
  223. #2  Subject: new project
  224.  
  225. ARTICLES:
  226.  
  227. -----#1-------------------------------------------------
  228. Subject: Re: Pseudo residency 
  229.  
  230. > Stone,
  231. > I'm VERY interested in your essay 
  232. > Pseudo residency and hooking API's from ring 3
  233. > please do by all means write it as soon as 
  234. > you have some time...
  235. I'm sorry to say that I do not intend to write an essay - however I might
  236. write a doc if I find the time.. :)
  237.  
  238. > Hi Stone, I would like very much your comments/critics
  239. > about the bad use of the VxD for cracking purposes.
  240. > You know how many protections were being defeated in
  241. > our beloved MSDOS using TSR programs, because in some
  242. > cases, there were no other solution. I know that 
  243. > protections in W95/NT are far from these levels of
  244. > sophistication, but I think soon protectionits will
  245. > begin to use more powerful technics, in fact a good
  246. > protection using Hasp/Sentinel can't be removed 
  247. > if you haven't certain privileges like IO access/
  248. > interception.
  249. > BTW 99% of us use a ring 0 utility to reverse
  250. > programs.
  251. It's a well known fact that a system debugger (which IMHO is the most
  252. important cracking tool) is by definition a ring 0 utillity. However there
  253. is a reason that I don't have my very much loved winice loaded by default
  254. on either my windows 95 or windows NT. They are a source of instabillity -
  255. a source that I can live with when cracking but a source that I'm not
  256. happy to have when I use my PC as a general purpose tools - write school
  257. papers etc. 
  258.  
  259. > I know you and Quine don't agree with me because
  260. > you are using NT, sure you are right, because
  261. > I have never use it before and sure many things
  262. > I don't care about under W95 can be dangerous in NT.
  263. > All right, my advice is not to use such technics
  264. > to crack programs, but at least you must know
  265. > it can be an extreme solution.
  266. Obviously the ring 0 approach can be used as an extreme solution. But as
  267. you point out windows copyprotection is not yet far developed and I've yet
  268. to see a program that required the use of a ring 0 component after I had
  269. been done with it. The exception is ofcause when copyprotection is build
  270. directly in ring 0 and for various reasons can't just be peeled off. Ring
  271. 0 protections obviously have great strength but they do also come at a
  272. great price. A price so high it's my firm belief that it shouldn't be
  273. done. The analogy you make to MSDOS TSR's doesn't quite hold. You are in
  274. windows offerend plenty other angles of attack - angles that did not exist
  275. in MSDOS. The hole import system is something begging for abuse - and that
  276. is abuse from ring 3! Another solution on the windows 95 platform is that
  277. of unprotected memory areas. While this is to some extend analog to using
  278. ring 0 schemes it's not quite as dangerous. (I'll publish some sourcecodes
  279. on this topic on my webpage next time I get around to update it). The
  280. essense of what I'm saying here is that Ring 0 should only be used when
  281. it's strictly unavoidble. And in 99.9% of all application-cracking the
  282. finished crack should rely only on ring 3 code. My reluctance to give ring
  283. 0 code it's rights in cracking does not mean that I did not find your
  284. essay interesting - it is. 
  285.  
  286. In short the method of hooking API's from ring 3 relies on forcing
  287. yourself upon the virtual address space of  the "target" and setting it's
  288. IAT to suit your own purposes :)
  289. Atleast 5 methods exist in which you can get around this from ring 3!
  290.  
  291. Stone / United Cracking Force '98
  292.  
  293.  
  294. -----#2-------------------------------------------------
  295. Subject: new project
  296.  
  297. Hi all,
  298. I started to work on a project that combines to difficult
  299. things like encryption and visual basic.
  300. It is similar to the Instant browse scheme - the
  301. 1997 HCU strainer.
  302. It is called Component Source and it has several software 
  303. components in a CD. We choose a particular component and we
  304. have to phone giving a reference ID program to get a working
  305. password that will enable the decryption process.
  306. The program is written in VB4 and the CD are available for free at
  307. ************************
  308. Has anyone already worked on it?
  309. Greets 
  310. +PopJack
  311.  
  312. ______________________________________________________
  313. Get Your Private, Free Email at **********************
  314.  
  315. =====End of Issue 133===================================
  316.  
  317.  
  318.  
  319.  
  320. ========================================================
  321. +HCU Maillist          Issue: 134             02/04/1998 
  322. --------------------------------------------------------
  323. Send Articles To:......................... *************
  324. Info, Help, Unsubscription, etc:....... ****************
  325. Web Repository.........................hcuml.home.ml.org
  326. ========================================================
  327.  
  328. CONTENTS:
  329.  
  330. #1  Subject: none
  331.  
  332. #2  Subject: VxD's in protection and deprotection - and ring 3 meassures!
  333.  
  334. #3  Subject: Marx Crypto Box
  335.  
  336. #4  Subject: VRamDir
  337.  
  338. #5  Subject: Component Source
  339.  
  340. ARTICLES:
  341.  
  342. -----#1-------------------------------------------------
  343. Subject: none
  344.  
  345. Hello KUBAK,
  346.  
  347. > Way back You wrote about unlocking NU trial. I have recently spent
  348. > some time on it and I can't jump over anything, i just end i the
  349. > same place all the time. Can You or someon e else tip me on that.
  350. > BTW: it uses some strange procedure calling method anyone noticed
  351. > that ???
  352.  
  353.     I could try to dig out my writings on this, but I suggest you go to 
  354. the snippets page at fravia+'s page of reverse engineering, where 
  355. ThunderLord has written a nice piece about how to do it. The URL is:
  356.  
  357. *************************************************
  358.     
  359.     Hope it helps!
  360.  
  361. Cya,
  362. +ReZiDeNt
  363.  
  364. -----#2-------------------------------------------------
  365. Subject: VxD's in protection and deprotection - and ring 3 meassures!
  366.  
  367. I'm sorry to say, Fravia, but I'm not much of a essay writter. I might
  368. write a doc though when I get the time.
  369.  
  370. +RCG: I do not believe that your analogy with MSDOS TSR quite holds.
  371. First in the MSDOS days we were dealing with a single task system. That
  372. is the crackers responsibility was limited to the program in question.
  373. TSR could simply be loaded prior to running the program and unloaded
  374. afterwards or be made in the form of a loader. While this it to some
  375. extend true with dynamic VxD's too the problem I see is that other
  376. processes has this VxD running as well. Further more the API interface
  377. provided in DOS was the interupt structure making this angle of attack a
  378. natural one - however in windows the API interface is not one of
  379. interupts and such an angle no longer becomes natural in a sense. And as
  380. a last comment to this analogy I think it's important to remember  that
  381. in all but the early days TSR cracks was thought off as a lesser
  382. fortunate cracks than the bytepatch. (E.g. many games groups spend
  383. countless hours removing int 2fh protections schemes while a small
  384. commonly avaible TSR works quite well (cd2emu, fakecd and others - this
  385. was not a coincidence)
  386.  
  387. A key distinction that I'd like to enter here is the time of the
  388. cracking and the time of the use. While cracking I see no problem in
  389. using a ring 0 tool. We are expecting instabillity while cracking - heck
  390. in the MSdos days I used to say that it wasn't a fun crack if I didn't
  391. have to reboot atleast once. Another thing is the time of use. The goal
  392. of the cracking process must be to provide the best possible solution at
  393. all times for the end user. This to me means providing something as
  394. close as possible to what he/she would've gotten had he/she bought the
  395. program legitimately. Adding a factor of instability to his/her entire
  396. system is IMHO as far away from this principle as you can get. The
  397. crackers use of ring 0 tools while cracking it is not a violation of
  398. above mentioned principle. 
  399.  
  400. However I cannot rule out that a program might come along where a ring 0
  401. angle is the only angle of attack. However I'd have to say that I've
  402. been around - I've seen a few heavy protection schemes in my time and
  403. all but those who themselves relied on VxD's I was able to resolve
  404. without the use of "use time" ring 0 code. The amount of avaible ring 3
  405. interception techniques is massive and they should be exhausted prior to
  406. whimping out and going ring 0.
  407.  
  408. The use of ring 0 techniques for protection purposes is IMHO a surrender
  409. of the programmer. It's plain bad karma. It's like selling a carstereo
  410. without telling the custumor you removed the airbag to install it.
  411.  
  412. However - knowledge is never bad. So I fully support spreading knowledge
  413. about VxD's telling how they could be used by a cracker or in a
  414. protection scheme. However in the same breath we should give the
  415. instructions of proper use of such techniques (which in 99.9% of all
  416. cases is no use)
  417.  
  418. Well - enough about why not to use ring 0 and on to how you can actually
  419. avoid using it.
  420. As each PE file is loaded each DLL it uses is mapped into it's virtual
  421. addressing space and a table of addresses for each requested
  422. API-function is made (this table is called the IAT). The trick is to
  423. force your own code into the addressing space of the process you where
  424. you wish to do damage :) ... then find the IAT and redirect the entries
  425. you wish to hook to your own code - possibly even chaining the original
  426. API. Since the IAT need not be at a fixed address we're forced to enter
  427. the process prior to the imports being loaded. Many methods of doing
  428. this from ring 3 exists. 5 atleast - not all well suited from a cracking
  429. point of view. Well.. it's beyond this forum to get more greasy than
  430. this.. so I'll leave it at that.
  431.  
  432. While on the subject of abusive ring 3 code. I'll put the source code
  433. for a windows 95 trainer on my WebNote later tonight. The technique that
  434. this uses can also serve as a ring 3 substitute. 
  435.  
  436. kind regards
  437.  
  438. Stone / United Cracking Force '98
  439. >
  440.  
  441. -----#3-------------------------------------------------
  442. Subject: Marx Crypto Box
  443.  
  444. Dr. Fuhrball,
  445.  
  446. I hope you're on the mailing list...
  447.  
  448. >>>>
  449. The device uses a pic16 processor (low voltage with 2mhz oscillator) and
  450. an 8kbit eeprom, both devices made by Microchip Inc. But it's even better,
  451. because when I soldered enough wires to the microprocessor and stuck it in
  452. the pic burner, I was able to read out the entire contents of the processor
  453. chip. This is secure????? And the same thing goes for the data inside the
  454. eeprom.
  455. <<<<
  456.  
  457. I've never actually seen a dongle before. From your description it seems
  458. that there are two main components, the PIC and the E^2 module. Reading the
  459. E^2 isn't much of a problem, but I don't understand the PIC. Which PIC was
  460. it? I thought they all had code protection?! Surely they set the flag!
  461. Though having seen their software protection in your essay it wouldn't
  462. surprise me if they hadn't...
  463.  
  464. Could you elaborate on the data in the PIC and E^2? I'm just wondering why
  465. it would need an extra 8kbit of storage. How does the PIC address the
  466. external memory? I didn't think it could do this at least not the PIC16C85
  467. (I suppose technically you could use a couple of bits on a port for I/O but
  468. the software on the PIC to handle this would be horrendous!).
  469.  
  470. If you've discovered a new and EASY (i.e. cheap) way to bypass the code
  471. protection flag I'd be VERY interested to hear it. :)
  472.  
  473. ~~
  474. Ghiribizzo
  475.  
  476. -----#4-------------------------------------------------
  477. Subject: VRamDir
  478.  
  479. When I first cracked Vramdir, I didn't have IDA so I just searched for
  480. 40771B and changed that to give me more time (in fact I changed it to give
  481. me less time - 2 minutes so that I could check that it worked).
  482.  
  483. After reading the recent essay on VRamdir, I decided to download it again
  484. and take another look. I tried the same trick again (you could write a
  485. generic patcher to search and replace the string).
  486.  
  487. I noticed something rather interesting:
  488.  
  489. If you change the 6840771b00 to 68cccccccc to give you lots of time, the
  490. information is written straight to disk (i.e. vramdir doesn't work)
  491.  
  492. If you change it to the value around 2 minutes (I can't remember exactly
  493. what I chose) you get the message as expected (I didn't test for whether it
  494. works properly to begin with)
  495.  
  496. At first I thought it might be some checksum so I changed a random byte in
  497. the file, but it worked as normal. Not a checksum over the whole file then.
  498.  
  499. I changed string to 684077ff66 and it works! 684077ff99 doesn't work. I
  500. haven't looked into why this happens, yet, but I thought I'd mention it in
  501. case anyone was interested.
  502.  
  503. The thing is - the author could have hidden the fact that the program
  504. wasn't working much better and then I would have thought I had cracked it
  505. and would go on merrily using the program...
  506.  
  507. ~~
  508. Ghiribizzo
  509.  
  510. -----#5-------------------------------------------------
  511. Subject: Component Source
  512.  
  513. Hi +PopJack and everyone else,
  514.  
  515. I have also just started to look at Component Source. My concern is
  516. that the decryption may require a brute force approach. Anyone with
  517. any information on the encryption/decryption method used?
  518.  
  519. Regards All
  520. basE+mEtaL
  521.  
  522.  
  523.  
  524. =====End of Issue 134===================================
  525.  
  526.  
  527.  
  528.  
  529. ========================================================
  530. +HCU Maillist          Issue: 135             02/05/1998 
  531. --------------------------------------------------------
  532. Send Articles To:......................... *************
  533. Info, Help, Unsubscription, etc:....... ****************
  534. Web Repository.........................hcuml.home.ml.org
  535. ========================================================
  536.  
  537. CONTENTS:
  538.  
  539. #1  Subject: Modifying the file...
  540.  
  541. #2  Subject: RE: PIC processors
  542.  
  543. #3  Subject: Marx Crypto Box
  544.  
  545. ARTICLES:
  546.  
  547. -----#1-------------------------------------------------
  548. Subject: Modifying the file...
  549.  
  550.  
  551. Hi!
  552.  
  553. My friend Cruhead and I were talking about a protection, a program which
  554. could modify itself on disk, when running...
  555.  
  556. The main idea is:
  557.  
  558. You run the proggie
  559. The proggie check some things, and then write some data into itself on the
  560. HDD...
  561.  
  562. The program then exits...
  563.  
  564. We'd like to use just one EXE, without any dll's or any other files...
  565.  
  566. Does anybody know anything about this?
  567.  
  568. Thanx!
  569.  
  570. Pero
  571.  
  572.  
  573. -----#2-------------------------------------------------
  574. Subject: RE: PIC processors
  575.  
  576. It turns out that Dr. Fuhrball is not on the mailing list. I contacted him
  577. by email and this is his reply (edited). I won't post any more messages
  578. from this thread unless someone really wants me to as it is straying from
  579. software reverse engineering and you may not be interested.
  580.  
  581. >>>> Begin message
  582.  
  583. >it? I thought they all had code protection?! Surely they set the flag!
  584. >Though having seen their software protection in your essay it wouldn't
  585. >surprise me if they hadn't...
  586.  
  587. answer 1) these people really are total morons. Sad really
  588. answer 2) they set the protection flag, and did not verify that they could
  589. no longer read the data back out. Even sadder.
  590.  
  591. and the chip is a pic16c55 and the eeprom is a 93aa76
  592.  
  593. >(I suppose technically you could use a couple of bits on a port for I/O but
  594. >the software on the PIC to handle this would be horrendous!).
  595.  
  596. The eeprom is where among other things the 540 bytes of memory storage
  597. for the key is used. Also the pre-calculated and/or/xor/... for the
  598. two encryption methods is stored. And you bet that serial e squared
  599. are icky devices. Just sent fravia the first rev of the dongle hardware
  600. essay....
  601.  
  602. >If you've discovered a new and EASY (i.e. cheap) way to bypass the code
  603. >protection flag I'd be VERY interested to hear it. :)
  604.  
  605. there are definitely people out there that can lift the code out of
  606. these devices reguardless of the protection flag. for example
  607. interesting-devices.com   and the various paul maxwell king sites
  608.  
  609. but its time fravia and crew start expanding their horizions into the
  610. fun business of dallas 5000's and atmel 89c52's. These guys think they
  611. are good, we will see. There have got to be others than AXA and BG.
  612.  
  613. <<<< End message
  614.  
  615. ~~
  616. Ghiribizzo
  617.  
  618.  
  619. -----#3-------------------------------------------------
  620. Subject: Marx Crypto Box
  621.  
  622. Hi Ghiribizzo and all
  623.  
  624. I've seen your comments on the dongle and it reminded me of
  625. the chips used in sattelite video decryption (the 18c84 and family)
  626. There are proggies made to emulate and program those chips.
  627. Just have a look at *************************** and links related.
  628. Maybe it is just a long shot but it is worth the try.
  629.  
  630. Greets +PopJack
  631.  
  632. ______________________________________________________
  633. Get Your Private, Free Email at **********************
  634.  
  635. =====End of Issue 135===================================
  636.  
  637.  
  638.  
  639.  
  640. ========================================================
  641. +HCU Maillist          Issue: 136             02/06/1998 
  642. --------------------------------------------------------
  643. Send Articles To:......................... *************
  644. Info, Help, Unsubscription, etc:....... ****************
  645. Web Repository.........................hcuml.home.ml.org
  646. ========================================================
  647.  
  648. CONTENTS:
  649.  
  650. #1  Subject: Re: Modifying the file
  651.  
  652. #2  Subject: Component Source
  653.  
  654. #3  Subject: PICs
  655.  
  656. #4  Subject: nesbitt sharelock
  657.  
  658. ARTICLES:
  659.  
  660. -----#1-------------------------------------------------
  661. Subject: Re: Modifying the file
  662.  
  663.  
  664. You would need to consider the implications of file sharing etc. but one
  665. way is:
  666.  
  667. Consider a COM file in DOS.
  668. Read from memory the name of the file (from PSP)
  669. Check to see if can get file
  670. If not reconstuct the path and try again
  671. open and write file as usual.
  672.  
  673. Putting counters in the exe file itself has some advantages (e.g. against
  674. filemon).
  675.  
  676. If you're writing in HLL e.g. C++ try this:
  677.  
  678. #include <iostream.h>
  679. void main(int argc, char **argv)
  680. {
  681. for (int i=0; i<argc; i++)
  682. cout << "argument " << i << ": " << argv[i] <<endl;
  683. }
  684.  
  685. The one to watch out for is argument zero. I'm sure you get the idea..
  686.  
  687. ~~
  688. Ghiribizzo
  689.  
  690. -----#2-------------------------------------------------
  691. Subject: Component Source
  692.  
  693. Hi +Popjack/Base+Metal
  694.  
  695. I've been having a look at the Component Source protection/encryption
  696. system over the last day or two. I agree it would be an interesting one
  697. to try. From what I can see so far, the decryption routine is written in
  698. Visual C++ 4/5 and stored in the OLE Control file "CSDEC32.OCX". This
  699. appears to be quite convenient since it does away with the need to
  700. reverse all that horrible VB code.
  701.  
  702. Initially, the Unlock Code is concatenated and strupr'd. Then a routine
  703. is called to replace each letter/number with an integer equivalent
  704. (taken from a list). First point: The U/LCode doesn't allow for i,1,o or
  705. 0's, presumably to prevent users from becoming confused when entering a
  706. code. This leaves 31 characters.
  707.  
  708. From this point on, there are two main routines (other than the
  709. inevitable ReadFile and WriteFile ones). Following the location and
  710. creation of a temporary file with the base "SRC", the routine proceeds
  711. generate a series of pseudo random numbers seeded by the Order
  712. Reference. These are then "combined" with the Encoded Unlock Code using
  713. the first routine. The second main routine seems (although I haven't
  714. been able to confirm this yet) to do the actual decryption, using the
  715. original Combined Encoded Unlock Code and further values generated from
  716. it.
  717.  
  718. Have you or anyone else any other info regarding this?
  719.  
  720. I agree that a Brute force technique may be required but I suspect that
  721. we may be able to avoid attempting to decrypt the entire file. There is
  722. a good chance that the encrypted file is infact an executable (in most
  723. cases) and once it is decrypted, the VB parent just executes it's
  724. contents.
  725.  
  726. Any further suggestions or help would be greatfully appreciated since
  727. I've been spending way too much time staring at pages of disassembly of
  728. math code.
  729.  
  730. ------
  731. Noose
  732.  
  733. -----#3-------------------------------------------------
  734. Subject: PICs
  735.  
  736. I'll take a look at the satellite site. Though I doubt that they actually
  737. managed to read the info from the PIC itself. In fact this method wouldn't
  738. be that good for stealing subscriptions as you would need a valid card in
  739. the first place.
  740.  
  741. A friend of mine has broken the satellite encryption system. Although he's
  742. got some microprocessors to do the job now, I must say, it's an awesome
  743. sight to see wires leading from the satellite box into his computer as it
  744. decrypts data on the fly! I just wish I had an ICE... :(
  745.  
  746. There ARE ways of reading from a PIC. The last time I checked none of them
  747. were easy or cheap :(
  748.  
  749. ~~
  750. Ghiribizzo
  751.  
  752. -----#4-------------------------------------------------
  753. Subject: nesbitt sharelock
  754.  
  755.  
  756. I found an app that uses nesbitt sharelock, but I was not able to get the private key, keyboard navigator the program that Razzia talked about in issue 109 was really easy to find the key, all you had to do is open the file in a HexEditor.  If anyone can help me on how I should look for the key(on where I should breakpoint), 
  757. it would help.  The program is MouseTool 1.53 ******************** The only thing different is that it uses an ocx control (ShrLk20.ocx).
  758.  
  759.  
  760.  
  761.                          Ace
  762.  
  763. ---------------------------------------------------
  764. Get free personalized email at ********************
  765.  
  766. =====End of Issue 136===================================
  767.  
  768.  
  769.  
  770.  
  771. ========================================================
  772. +HCU Maillist          Issue: 137             02/07/1998 
  773. --------------------------------------------------------
  774. Send Articles To:......................... *************
  775. Info, Help, Unsubscription, etc:....... ****************
  776. Web Repository.........................hcuml.home.ml.org
  777. ========================================================
  778.  
  779. CONTENTS:
  780.  
  781. #1  Subject: Component Source
  782.  
  783. #2  Subject: Re: Subject: Undercover Investigators on IRC
  784.  
  785. #3  Subject: followup on server hackers
  786.  
  787. ARTICLES:
  788.  
  789. -----#1-------------------------------------------------
  790. Subject: Component Source
  791.  
  792. I've looked a bit further into the CSDec32.ocx file and I'm under the
  793. impression that this is either a DES encryption or a variant of it. If
  794. it is, then it appears to be a fairly sturdy encryption (high bit-length
  795. keys) which would be v. hard to brute-force.
  796.  
  797. One thought does occur to me though. It may be possible to reduce the
  798. decryption down to a smaller routine which does not attempt to convert a
  799. typed Unlock Code to the DES Key required, but instead uses a direct
  800. decryption of the data (also avoiding decrypting the entire program
  801. would help).
  802.  
  803. Even then, I can't imagine that this would take a "sensible" amount of
  804. time.
  805.  
  806. Any thoughts?
  807.  
  808. ------
  809. Noose
  810.  
  811. -----#2-------------------------------------------------
  812. Subject: Re: Subject: Undercover Investigators on IRC
  813.  
  814. Hi Code-X,
  815. read your message in +HCU Maillist and due to the *****┤s
  816. instead of the URL i have one question: Can you send me the URL via ICQ 
  817. (UIN 5777852) or perhaps per email?
  818.  
  819. NiKai
  820.  
  821.  
  822. ______________________________________________________
  823. Get Your Private, Free Email at **********************
  824.  
  825. -----#3-------------------------------------------------
  826. Subject: followup on server hackers
  827.  
  828.  
  829. just for fun - here is the latest on the hacking that was done on the
  830. server i USED to love getting my email at...
  831. *apparently the feds arent real good at this one ;) *
  832.  
  833. here is the message i got when i logged in today:
  834.  
  835.   This computer system is for authorized users only.  Individuals using 
  836. this system without authority or in excess of their authority are subject 
  837.  to having all their activities on this system monitored and recorded or 
  838. examined by any authorized person, including law enforcement, as system 
  839.   personnel deem appropriate. In the course of monitoring individuals 
  840. improperly using the system or in the course of system maintenance, the 
  841. activities of authorized users may also be monitored and recorded.  Any 
  842. material so recorded may be disclosed as appropriate.  Anyone using this 
  843. system consents to these terms. 
  844.  
  845. ---
  846.  
  847. as much as i hate some kid ruining an otherwise very nice server i used to
  848. use for everything - i gotta laugh at these obviously useless 'trackers'
  849. since they obviously have no clue what happened to them
  850.  
  851. ....but there are so many more useful uses of a computer system than
  852. deleting all its files... (especially since there are ways to turn the
  853. user accounts there into full unix shells...)
  854.  
  855. +gthorne
  856.  
  857. /**************************************************\
  858.  
  859.            Greythorne The Technomancer
  860.  
  861.  WebSite: *****************************
  862.  OrcPaks: ******************************************
  863.  
  864. \**************************************************/
  865.  
  866.  
  867.  
  868. =====End of Issue 137===================================
  869.  
  870.  
  871.  
  872.  
  873. ========================================================
  874. +HCU Maillist          Issue: 138             02/08/1998 
  875. --------------------------------------------------------
  876. Send Articles To:......................... *************
  877. Info, Help, Unsubscription, etc:....... ****************
  878. Web Repository.........................hcuml.home.ml.org
  879. ========================================================
  880.  
  881. CONTENTS:
  882.  
  883. #1  Subject: none
  884.  
  885. ARTICLES:
  886.  
  887. -----#1-------------------------------------------------
  888. Subject: none
  889.  
  890. Hi there,
  891. it's an easy sunday morning and after surfing deep in Fravias pages,
  892. I found the gate to this list. So this is my first posting to this
  893. fine list here. I read through all the archives of this list to get a
  894. feeling about you all and I think it's time to throw in some
  895. thoughts.
  896.  
  897. 1.
  898. I tried to get my hands on the component-source stuff too, but wasn't
  899. very successful with it. As Noose said they might use some DES
  900. encryption this would imply several things:
  901.  
  902. DES is a symetric encryption method, meaning for en/decryption you
  903. use the same keys only in reverse order. Because the stuff is on a CD-
  904. Rom there must be a 'master en/decryption pair'. I think the keys you
  905. have to enter will generate these 'master keys' and than use them to
  906. actually decrypt the stuff on the CD-Rom. Maybe this is a way to go.
  907.  
  908. 2.
  909. Beside the component-source stuff, I have 'hacked' (or better make it
  910. work within some constraints) the FlexLM stuff. I hope you know this
  911. commercial license system. It's mostly used for high-price software
  912. which runs on several different platforms. I didn't try to hack the
  913. keys or something like this. FlexLM uses the network-adaptor ethernet
  914. address to identify a machine. So if you have a valid key for one
  915. machine it's very easy to use the same key on an other machine. I
  916. have done this unter NT.
  917.  
  918. The way to go is, to write a fake-network-driver which will response
  919. with the wrong ethernet-address, if asked for it. That's it. The
  920. drawback is of course that you need a valid key from somewhere... and
  921. you have to install the fake-driver to your actual driver.
  922.  
  923. However, I think there a lot of commercial licensing systems which
  924. use the ethernet-address. How about a generic driver which can find
  925. out from which application the request came from, makes a look-up in
  926. a small database and responses with the appropiate ethernet-address
  927. but uses the correct ethernet-address if you want to do networking.
  928.  
  929. 3.
  930. And last but not least, I have made some licensing system myself.
  931. It's not complete yet but it does work quite good. I would like to
  932. know if there are some people out there, how
  933.  
  934.  
  935.  
  936.  
  937.  
  938. =====End of Issue 138===================================
  939.  
  940.  
  941.  
  942.  
  943. ========================================================
  944. +HCU Maillist          Issue: 139             02/09/1998 
  945. --------------------------------------------------------
  946. Send Articles To:......................... *************
  947. Info, Help, Unsubscription, etc:....... ****************
  948. Web Repository.........................hcuml.home.ml.org
  949. ========================================================
  950.  
  951. CONTENTS:
  952.  
  953. #1  Subject: PIC's microchip and others
  954.  
  955. ARTICLES:
  956.  
  957. -----#1-------------------------------------------------
  958. Subject: PIC's microchip and others
  959.  
  960. Hi all,
  961.  
  962. An excelent article with references can be found
  963. at ***********************************************
  964.  
  965. Regards
  966. basE+mEtaL
  967.  
  968.  
  969. =====End of Issue 139===================================
  970.  
  971.  
  972.  
  973.  
  974. ========================================================
  975. +HCU Maillist          Issue: 140             02/10/1998 
  976. --------------------------------------------------------
  977. Send Articles To:......................... *************
  978. Info, Help, Unsubscription, etc:....... ****************
  979. Web Repository.........................hcuml.home.ml.org
  980. ========================================================
  981.  
  982. CONTENTS:
  983.  
  984. #1  Subject: winhelp32 and evtl. linking (fravia)
  985.  
  986. #2  Subject: info
  987.  
  988. #3  Subject: Re: nesbitt sharelock
  989.  
  990. ARTICLES:
  991.  
  992. -----#1-------------------------------------------------
  993. Subject: winhelp32 and evtl. linking (fravia)
  994.  
  995. complete and latest version of winhelp32 with the search bug fixed
  996. (borland)
  997. *****************************************************************
  998. 5.6 mega unzip to 24 mega
  999.  
  1000. well, if you already knew it, you knew it  :-)
  1001.  
  1002. +Zer0, +Malattia,
  1003. d'you want me to link to the hcu maillist repository?
  1004. If so, d'you want me to do it in BEST/MIDDLE/NOT EVIDENT position?
  1005. This could boost cracker partecipation and/or boost lamers, I dunnow.
  1006.  
  1007. later
  1008. fravia+
  1009.  
  1010. -----#2-------------------------------------------------
  1011. Subject: info
  1012.  
  1013. I need  some info about the Dongle _Hard Lock E-Y-E FAST III made in =
  1014. Glenco..Thanks.
  1015. My E-Mail **************
  1016.  
  1017.  
  1018. -----#3-------------------------------------------------
  1019. Subject: Re: nesbitt sharelock
  1020.  
  1021. Hi Ace,
  1022. i d/l yesterday MouseTool and worked on it. I tried to register it with 
  1023. WinIce, but i didn┤t find the key. At my second attempt i had to patch 
  1024. MouseTool because MouseTool caused a GPF (i don┤t know why). I patched 
  1025. at 4084EB one byte from 7C to EB. Then i patched Shrlk20.dll,
  1026. because there┤s the whole war of the bytes. In Shrlk20 i went to the 
  1027. Modul "DoRegistration". There i patched at E729D9 one byte from 74 to 
  1028. 75. The nag-screen is gone now. But where is the key? Perhaps one of the 
  1029. advanced cracker can help. I hope this little description can help you. 
  1030. BTW, i am the next 3 weeks in holiday. So long, see (read) you in March.
  1031.  
  1032. NiKai
  1033.  
  1034.  
  1035. ______________________________________________________
  1036. Get Your Private, Free Email at **********************
  1037.  
  1038. =====End of Issue 140===================================
  1039.