home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / Library / +ORC / Orc pac 3 / HOWTO31.TXT < prev    next >
Encoding:
Text File  |  2000-05-25  |  25.2 KB  |  512 lines
  1.                      HOW TO CRACK, by +ORC, A TUTORIAL
  2.  
  3. ---------------------------------------------------------------------------
  4.  
  5.                 Lesson 3.1: hands on, paper protections (1)
  6.  
  7. ---------------------------------------------------------------------------
  8.  
  9.                    [UMS.EXE] [LIGHTSPD.EXE] [GENERAL.EXE]
  10.  
  11.                    --------------------------------------
  12.  
  13. SOME PROBLEMS WITH INTEL's INT
  14. The INT instruction is the source of a great deal of the
  15. flexibility in the PC architecture, because the ability to get
  16. and set interrupt vectors means that system services (included
  17. DOS itself) are infinitely extensible, replaceable and
  18. MONITORABLE. Yet the Int instruction is also remarkably
  19. inflexible in two key ways:
  20. -    an interrupt handler DOES NOT KNOW which interrupt number
  21.      invoked it.
  22. -    the int instruction itself expects an IMMEDIATE operand:
  23.      you cannot write MOV AX,x21, and then INT AX; you must
  24.      write INT x21.
  25. That would be very good indeed for us cracker... unfortunately
  26. many high level language compilers compile interrupts into PUSHF
  27. and FAR CALL instruction sequences, rather than do an actual INT.
  28. Another method is to PUSH the address of the handler on the stack
  29. and do RETF to it.
  30.      Some protection schemes attempt to disguise interrupt calls,
  31. 1) camouflaging the code, 2) putting in substitute interrupt
  32. instructions which look harmless and modifying them "on the fly"
  33. or 3) replicating whole interrupt routines inside the code. This
  34. is particularly frequent in the various "disk access" protection
  35. schemes that utilize INT_13 (the "disk" interrupt) and will
  36. therefore be thoroughly explained in -> lesson 5.
  37.  
  38. A LITTLE BASIC ASSEMBLER
  39. In order to understand the protection schemes and to defeat them,
  40. you must acquire a passing knowledge of assembler, the "machine
  41. language" code. You can find a lot of good, well explained code
  42. for free: viruses are one of the best sources for good "tight and
  43. tricky" assembler code. You can find the source code of almost
  44. all viruses on the web: oddly all the would be hackers seem to
  45. have an aberrant passion for this kind of stuff instead of
  46. studying cracking techniques. But there are millions of lines of
  47. good explained "commercial" assembler code on the net, just fish
  48. it out and study it: the more you know, the better you crack.
  49. I'll restrict myself to some observations, sprinkled throughout
  50. this tutorial. Let's start with some must_know:
  51. ------------------------ STRINGS ----------------------------
  52. The string instructions are quite powerful (and play a great role
  53. in password protection scheme). ALL of them have the property
  54. that:
  55. 1)   The source of data is described by the combination DS:SI
  56. 2)   The destination of data is described by the combination
  57.      ES:DI
  58. 3)   As part of the operation, the SI and/or DI register(s)
  59.      is(are) incremented or decremented so the operation can be
  60.      repeated.
  61. ------------------------- JUMPS -----------------------------
  62. JZ   ero       means what it says
  63. JNZ  ero       means what it says
  64. JG   reater    means "if the SIGNED difference is positive"
  65. JA   bove      means "if the UNSIGNED difference is positive"
  66. JL   ess       means "if the SIGNED difference is negative"
  67. JB   elow      means "if the UNSIGNED difference is negative"
  68. JC   arry      assembles the same as JB, it's a matter of
  69.                aesthetic choice
  70.  
  71. CRACKING PASSWORD PROTECTED PROGRAMS
  72.      Refer to lesson one in order to understand why we are using
  73. games instead of commercial applications as learn material: they
  74. offer the same protection used by the more "serious" applications
  75. (or BBS & servers) although inside files that are small enough
  76. to be cracked without loosing too much time.
  77.      A whole series of programs employ copy protection schemes
  78. based upon the possess of the original manual or instructions.
  79. That's obviously not a very big protection -per se- coz everybody
  80. nowadays has access to a photocopier, but it's bothering enough
  81. to motivate our cracks and -besides- you'll find the same schemes
  82. lurking in many other password protected programs.
  83.      Usually, at the beginning of the program, a "nag screen"
  84. requires a word that the user can find somewhere inside the
  85. original manual, something like: "please type in the first word
  86. of line 3 of point 3.3.2". Often, in order to avoid mistakes, the
  87. program indicates the first letter of the password... the user
  88. must therefore only fill the remaining letters.
  89.  
  90. Some examples, some cracks:
  91. ---------------------------------------------------
  92. UMS (Universal Military Simulator) version 1
  93. by Dr Ezra SIDRAN
  94. (c) 1987 Intergalactic Development
  95. European Union:     Rainbird Software
  96. United States:      Firebird Software
  97. ---------------------------------------------------
  98.      This very old EGA program is one of the first I cracked in
  99. my youth, and it's very interesting coz it employs a very basilar
  100. protection scheme (a "PRIMITIVE"! More than 80% of the protection
  101. schemes used to day (January 1996) are directly derived from one
  102. of the 12 primitives.
  103.      The nag screen snaps at the beginning and keeps indefinitely
  104. asking your answer, only the use of CTRL+C will bring you out of
  105. it, back to DOS. That's a clear sign of older protection schemes:
  106. newer schemes let you in for only 3 attempts or even only one,
  107. and pop out to the OS if you fail. In UMS, besides, there is no
  108. "first letter" aid, a later improvement.
  109.      The cracking procedure for password protected programs is,
  110. first of all, to find out where are stored the letters that you
  111. type in. So examine your memory map, find out where the program
  112. dwells in memory, do a snap save of these memory areas and a
  113. series of snap compares as you type your password in.
  114.      Strangely enough, in the case of UMS, as you type your
  115. password there seems to be no difference at all in the memory
  116. locations where this program dwells... yet the data must be
  117. somewhere... Usually such a situation is a clear sign that an
  118. hooked interrupt is used to hide the data.
  119.      Checking the hooked vectors you find out the following:
  120. vecs 00, 02, 22          are hooked where needs be
  121. vecs 34-3D               are hooked at xxxx:0
  122. vec  3E                  is hooked at xxxx:00CA
  123.      Ha! Let's have a closer look at this bizarre 3E hook. Let's
  124. search for some words used in the nag_screen and then let's dump
  125. the area where we find them (in UMS that will be at 3E_hook
  126. address + 7656) and loo! You'll see the content of the nag screen
  127. and, immediately afterwards, ALL the passwords "in extenso", i.e.
  128. not encoded, not scrambled, nothing at all... THERE THEY ARE
  129. (that's a very old protection scheme indeed). You could now, for
  130. instance, easily patch all the different passwords to (for
  131. instance) "PASS", and this would work... it's a very primitive
  132. protection, as we said, nevertheless the use of a hooked vector
  133. as hiding place for the protection code is not yet obsolete...
  134. we'll find it elsewhere, in many "more modern" programs.
  135.      Now let's go deeper and examine the "compare" mechanism, we
  136. want to crack, here, not just to patch.
  137.      Password protected programs (and access protection routines
  138. for server and BBS, for that matter) have quite a lot of weak
  139. points. The most obvious one (you 'll find out the other when
  140. you'll high crack) is that they MUST compare the password of the
  141. user with the original one(s). So you do not need to steal a
  142. password, you just need to "ear" the echo of the original one in
  143. the memory locations used for the compare, or, and that's more
  144. correct, to crack the compare mechanism itself so as to make it
  145. let you in even with a totally false password.
  146.      The compare mechanism of UMS can be found setting a
  147. breakpoint on the memory range that covers the three locations
  148. where the password is stored (and you 'll find these with your
  149. search capabilities and with a pair of snap compares):
  150. ES:0F8E   (here you 'll see a copy of the password that the
  151.           program is asking)
  152. ES:0F5C   (here you 'll see a copy of the password that the user
  153.           types in)
  154. INT_3E hook_address + 7656 (here are all the possible passwords
  155.           in extenso).
  156.  
  157. Here is how the protection scheme looks out:
  158.  
  159. MOV       CX,FFFF        Charge MAX in CX
  160. REPNZ     SCASB          Scan ES:DI (the user password)
  161. NOT       CX             Now CX holds the number of the
  162.                          character that the user typed in
  163. MOV       DI,SI          Real password offset to DI
  164. LDS       SI,[BP+0A]     User password offset in SI
  165. REPZ      CMPSB          Compares DS:SI with ES:DI (user
  166.                          password and real password) then snap
  167.                          out at CX=0 or at char_different,
  168.                          whichever comes first.
  169. Nice, we found the compare schema... how do we crack it now?
  170. There are many elegant solutions, but let's remain on a basic
  171. level... you look at the code that follows the CMPSB searching
  172. the "snapping schema"... here it is immediately afterwards
  173. (that's the case in most of the primitives). Remember: we sprung
  174. out of the CMPSB check at the first different char, OR at the end
  175. of the count of the user chars. Here it is what follows:
  176.      MOV  AL,[SI-01]     loads in AL the before_different char
  177.                          of the user password (should be zero)
  178.      SUB  AL,ES:[DI-01]  subs with the before_different char of
  179.                          the real password (should be zero)
  180.      CBW                 zero flag set, "TRUE", if OK_match
  181. Well let's now look for the next JZ near (it's a "74" code)
  182.      CS:IP 740D     JZ  location no_good
  183. Wait, let's continue a little... is there another check (often
  184. you have a double check on DI)... yes there is!
  185.      CS:IP 7590     JNZ location no_good
  186. Cracking such a schema is very easy: you just need to substitute
  187. 75 to 74 and 74 to 75: transform your JZ in a JNZ and the JNZ in
  188. a JZ... now you will always pass, no matter what you write,
  189. unless you exactly guess the password!
  190.  
  191. Now let's quickly crack it:
  192. ------------------------------------------------
  193. CRACKING UMS.EXE (by +ORC, January 1996)
  194.  
  195. ren ums.exe ums.ded
  196. symdeb ums.ded
  197. -    s (cs+0000):0 Lffff 74 0D 1E B8 C2 3F
  198. (nothing)
  199. -    s (cs+1000):0 Lffff 74 0D 1E B8 C2 3F
  200. (nothing)
  201. -    s (cs+2000):0 lffff 74 0D 1E B8 C2 3F
  202. xxxx:yyyy           (this is the answer of the debugger)
  203. -    e xxxx:yyyy    75
  204. -    e xxxx:yyyy+17 74
  205. -    w
  206. -    q
  207. ren ums.ded ums.exe
  208. -------------------------------------------------
  209.  
  210.      In the debug/symdeb crack above we use as search string the
  211. bytes comprising and following immediately the first JZ.
  212. I know, I know... we saw them in [Soft-ice] and we could have
  213. modified them there, but I'm teaching also pupils who may not
  214. have [Soft-ice].
  215.      Note that the program is x431A0 bytes long, and therefore
  216. has a BX=4 sectors adding to the CX=31A0 in the initial
  217. registers... that's the reason I wanted to examine all the
  218. sectors (even if I knew that the snap was in sector (cs+2000):
  219. that's good practice! If you do not find your string in the first
  220. sector you must search for it in the next sectors, till you find
  221. it, coz in many programs there may be MORE THAN ONE repetitions
  222. of the same schema (more about this double check later).
  223. That's it, pupils, that's the way to crack old [UMS.EXE].
  224.  
  225. Let's go over, now, to more elaborate and more modern password
  226. protection schemes.
  227.  
  228. --------------------------------------------------------
  229. LIGHTSPEED, from Microprose (we crack here version 461.01)
  230. --------------------------------------------------------
  231.      This program, released in 1990, operates a more "modern"
  232. variation of the previous scheme. You 'll find this variation in
  233. many access routines of remote servers (and this makes it very
  234. interesting indeed).
  235.      Let's begin as usual, with our hooked vectors examination
  236. and our snap compares.
  237. Hooked vectors: 00, 08, 1B, 22, 23: nothing particular.
  238. The snap_comparisons of the main memory area -as you type the
  239. password in- gives more than six pages of changing locations...
  240. that's clearly much too much to examine.
  241. What now?
  242.      Sit down, have a Martini Wodka (I'm afraid that only
  243. Moskovskaja 'll do) and meditate. Get the memory map of the
  244. program's layout. Start anew: snap_save (before typing anything
  245. in). Type as password "ABCDE". Get the print of the snap
  246. compares. Sit down, sip Martini Wodka, relax. You know that the
  247. code for A is x41, for B x42, for C x43 and so on... and in the
  248. snap_compares, that you made between letters, you 'll have only
  249. some locations with these values changing. Focus on these.
  250.      You 'll soon enough find out that for LIGHTSPEED absolute
  251. location (in my computer) 404307, i.e.: relative locations (in
  252. my computer) 30BE:F857 or 4043:0007 evoke the characters you
  253. type, i.e. something like
  254. -----------------------------------------------------
  255. F855 F856 F857                F858                F859...
  256. 41   3E   first_ready_letter  your_1st_letter     your_2nd_one...
  257. -----------------------------------------------------
  258. Inspecting the same prints, you 'll find out that absolute
  259. location 30C64 (imc) or relative location 30BE:F83E evokes the
  260. LAST character you typed in. The relative code line is:
  261.      CS:0097   MOV  AX,[BP-08] where SS:F83E = 00+letter_code
  262.      Now breakpoint at these locations and investigate what's
  263. going on (for instance, the instruction that follows is
  264.      CS:009A   MOV [BX], AX
  265. and this means that the code of the letter you just typed in will
  266. be now copied in BX=F85A. What else can you do? Time to use a
  267. little intuition: look for an instruction "CMP AX,000D", which
  268. is the typical "IF the user hits ENTER then" instruction, coz
  269. "x1D" its the ENTER keystroke. This must be somewhere around
  270. here. Ha! You 'll soon enough find the line
  271.      CS:0073  3D0D00     CMP AX,000D
  272. And now the way is open to the crack. But YOU DO NOT NEED ALL
  273. THIS! Since the password protection schemes are -as I told you-
  274. all more or less the same, I would suggest that you use first of
  275. all following trick: in the largest part of the program (use
  276. memory map to see where the program dwells) search the "F3A6"
  277. sequence, that's instruction REPZ CMPSB.
  278.      In the case of Lightspd you 'll get as answer FOUR addresses
  279. with this instruction: (pgsg=program main segment)
  280.      pgsg:C6F9
  281.      pgsg:E5CA
  282.      pgsg:E63E
  283.      pgsg:EAB0
  284. There you are! Only four... have a short look at each of them:
  285. you 'll see that the second one (pgsg:E5CA) is the "good" one.
  286. The compare mechanism in this program of 1990 it's more or less
  287. the same as in 1987'UMS (and do believe me: the same mechanism
  288. is still in use to day (1996)!
  289. B9FFFF    MOV       CX,FFFF   charge Max in CX
  290. F2AE      REPNZ     SCASB     this scans ES:DI (the original
  291.                               password)
  292. F7D1      NOT       CX        so many chars in the original pw
  293. 2BF9      SUB       DI,CX     change DI for compare
  294. F3A6      REPZ      CMPSB     compares DS:SI with ES:DI (real
  295.                               pw with user pw) then snaps out
  296.                               at CX=0 or at char_differs
  297.      See how easy? They all use the same old tricks the lazy
  298. bastards! Here the section is preceded by a small routine to
  299. lowercase the user password, coz the original muster is always
  300. lowercased.
  301.      Now you would like, may be, to breakpoint at one of these
  302. locations, in order to stop the program "in the snap area" and
  303. inspect the snap mechanism... that WILL NOT DO with a "fixed"
  304. breakpoint, coz these locations are called by the snap with a
  305. different segment:offset numeration as the one you found (that's
  306. old dos magic). So you MUST first set a memory_read/write
  307. breakpoint on these locations, and then get at them at the snap.
  308. Now you can find out the segment:offset used by the snap and only
  309. now you'll be able to set a fixed breakpoint (for instance on the
  310. NOT CX instruction).
  311.      Now run the program and breakpoint in: have a dump of the
  312. ES:DI and see the original password. How nice! We have now the
  313. original password in extenso in our memory dump window. That's
  314. the "echo". By the way, there is a whole school of cracking
  315. devoted to find and use these echoes... we work on different
  316. paths, nevertheless password fishing can be interesting: where
  317. are the password stored? From which locations do they come from?
  318. A common practice of the protectionists is to hide them in
  319. different files, far away, or in hooked vectors, or in SMC parts.
  320. This is a program of 1990, that differs in respect to UMS: the
  321. passwords are not "hidden" inside a hooked vector, coz that's a
  322. pretty stupid protection: any hexdump utility would still permit
  323. you to see them. Here the passwords are encoded (albeit in a very
  324. primitive manner): looking for them (with memory range
  325. breakpoints) you'll quickly find a section of the program code
  326. that looks like this:
  327. sg:0118   8C 91 9D 95 9B 8D 00 B8 EC 94 9B 8D 8F 8B 9B
  328. sg:0128   94 9B 8D 00 AE EC 9C 9B 8A 9B 86 00 A9 EC 91
  329. This is a typical encoded matrix, with clear 00 fences between
  330. the encoded passwords.
  331. Ha! If all codes where so easy to crack! This is no better than
  332. children's crypt! It's a NEG matrix! And there is direct
  333. correspondence: 91=6F="o"; 92=6E="n"; 93=6D="m" and so on... Ha!
  334.      Let's now leave the "hidden" passwords and proceed with our
  335. cracking... let's follow the snap procedure after the REPZ CMPSB
  336. instruction looking for the "jump to OK" instruction...
  337. F3A6      REPZ      CMPSB          ; compares DS:SI with ES:DI
  338. 7405      JZ   preserved_AX=0000   <--- Here the first JZ
  339. 1BC0      SBB  AX,AX
  340. ADFFFF    SBB  AX,FFFF
  341. :preserved_AX=0000
  342. 8BF3      MOV  SI,BX
  343. 8BFA      MOV  DI,DX
  344. 5D        POP  BP
  345. CB        RETF
  346. ....
  347. 83C404    ADD  SP,+04
  348. 0BC0      OR   AX,AX
  349. 7509      JNZ  0276                <------ And here it is!
  350.      Now, remembering the UMS crack, you would probably want to
  351. change the JZ instruction in a JNZ instruction (you tried it on
  352. the fly INSIDE  [Soft-Ice] and it did work!), the "74" with a
  353. "75" also. And then you would like to change the JNZ instruction
  354. in a JZ instruction... Please feel free to try it... it will NOT
  355. work! (You will not even find the second JNZ in the program
  356. code). You should always be aware of the SMC (self modifying
  357. code) protections: parts of the code my be decrypted "on the
  358. fly", as needs arise, by the program. The code you modify while
  359. the program is running may be different from the code of the
  360. "dead" program.
  361.      Here we have a small "improvement" of the primitive: the
  362. same instruction is used as "muster" for manipulation of other
  363. parts of the program... if you do change it in a JNZ you get an
  364. overlay message and the program pops out with instability! You
  365. cannot easily modify the JNZ instruction either, coz the part
  366. after the RETF will be compiled "on the fly" by lightspeed, and
  367. you would therefore have to search the decryption mechanism and
  368. modify the original encrypted byte somewhere... and may be they
  369. do encrypt it twice... and then you must hack all night long...
  370. very annoying.
  371.      So do the following: back to the snap, a sip of martini-
  372. Wodka and meditate: loo! The only thing that happens after the
  373. JZ, is the setting of the AX register to flag *FALSE* (AX=1...
  374. that's what the two SBB instructions do) if the snap went out
  375. with a non-zero flag... i.e. if you did not know the password.
  376. So let's nop the 5 bytes of the two SBB instructions, or, more
  377. elegantly, let's have a INC AX, DEC AX, NOP, INC AX, DEC AX
  378. sequence instead of the two SBB! There is a good reason to use
  379. a sequence of working instructions instead of a series of NOPs:
  380. recent protection schemes "smell" patched nops inside the program
  381. and trash everything if they find more than -say- three
  382. consecutive NOPs! You should always try to choose THE LESS
  383. INTRUSIVE and MORE "CAMOUFLAGED" solution when you crack!
  384.      Eliminating the two SBBs we get our crack! No need to bother
  385. with the second JNZ either... the program will work as if you got
  386. the password if you have it AND if you do not (that's better as
  387. the previous type of crack -seen for UMS- when you crack computer
  388. accesses: hereby the legitimate user will not have any suspects
  389. 'coz the system will not shut him out... everybody will access:
  390. the good guys and the bad ones... that's nice isn't it?).
  391.  
  392.      Now let's quickly crack LIGHTSPD:
  393. ------------------------------------------------
  394. CRACKING LIGHTSPEED.EXE (by +ORC, January 1996)
  395.  
  396. ren lightspd.exe lightspd.ded
  397. symdeb lightspd.ded
  398. -    s (cs+0000):0 Lffff 2B F9 F3 A6 74
  399. xxxx:yyyy           (this is the answer of the debugger)
  400. -    s (cs+1000):0 Lffff 2B F9 F3 A6 74
  401. (nothing, but do it nonetheless, just to be sure)
  402. -    s (cs+2000):0 lffff 2B F9 F3 A6 74
  403. (nothing, just to be sure, now it's enough)
  404. -    e xxxx:yyyy+6  40 [SPACE] 48 [SP] 90 [SP] 40 [SP] 48
  405. -    w
  406. -    q
  407. ren lightspd.ded lightspd.exe
  408. -------------------------------------------------
  409.  
  410. All this CMPSB is very common. Some programs, nevertheless,
  411. utilize a password protection scheme that is slightly different,
  412. and does not rely on a F3A6 REPZ CMPSB instruction. Let's
  413. analyze, for instance, the protection scheme used in the first
  414. version of Perfect general I from QQP-White wolf, July 1992.
  415. When you break in, at the nag screen, you are in the middle of
  416. the BIOS procedures, coz the program expects your input (your
  417. password, that's is). You 'll quickly find out (MAP MEMORY
  418. USAGE!) that [General.exe] dwells in two main areas; Setting
  419. breakpoints on memory write you 'll find out that the memory area
  420. "queried" by the protection mechanism is
  421.      xxxx:1180 to xxxx:11C0
  422. where xxxx represents the second of the memory segments where the
  423. program dwells. Now do the following (a very common cracking
  424. procedure):
  425. *    Breakpoint on memory range WRITE for the small memory area
  426.      touched by the program in querying you for the password.
  427. *    Breakpoint TRACE on the whole memory range of the MAIN
  428.      CODE.
  429. *    Run anew everything
  430. It's already done! Now it's your intuition that should work a
  431. little: Here the last 9 traces (traces [!], not instructions
  432. following on a line) before the calling of the procedure sniffing
  433. your memory area:
  434.  
  435. -9   xxxx:0185 7425           JZ   somewhere, not taken
  436. -8   xxxx:0187 2D1103         SUB  AX,0311
  437. -7   xxxx:018A 7430           JZ   somewhere, not taken
  438. -6   xxxx:018C 2DFD04         SUB  AX,04FD
  439. -5   xxxx:018F 7443           JZ   next_trace, taken
  440. -4   xxxx:01D4 E85500         CALL funny_procedure
  441. -3   xxxx:022C 803E8F8C11     CMP  BYTE PTR[8C8F],11
  442. -2   xxxx:0231 750E           JNZ  somewhere, not taken
  443. -1   xxxx:0233 9A0A0AC33E     CALL procedure_that_sniffs
  444.                                    our_memory_area
  445.  
  446. Well, the call to funny_procedure followed by a byte compare
  447. "feels" fishy from very far away, so let's immediately look at
  448. this part of the code of [General.exe]
  449. :funny_procedure
  450.      803E8F8C11     CMP  BYTE PTR[8C8F],11
  451.      750E           JNZ  compare_byte
  452.      9A0A0AC333     CALL procedure_that_sniffs
  453.      0AC0           OR   AL,AL
  454.      7405           J2   compare_byte
  455.      C6068F8C2A     MOV  BYTE PTR [8C8F],2A
  456. :compare_byte
  457.      803E8F8C2A     CMP  BYTE PTR [8C8F],2A
  458.      7504           JNZ  after_ret
  459.      B001           MOV  AL,01
  460.      C3             RET
  461. You should be enough crack-able ;=), by this lesson, to notice
  462. immediately the inconsistency of the two successive instructions
  463. MOV 2A and CMP 2A, coz there would be no sense in comparing the
  464. "2A" in order to JNZ to after_ret if you just had the 2A set with
  465. the precedent MOV instruction... but the first JNZ jumps to the
  466. compare WITHOUT putting the "2A" inside. And "2A" is nothing else
  467. as the "*" symbol, commonly used by programmer as "OK"! This
  468. protection works in the following way (this is the above code
  469. explained):
  470. -    compare holy_location with 11
  471. -    jump non zero to compare holy_loc with "*"
  472. -    else call sniffing protection part
  473. -    or al,al (al must be zero, else)
  474. -    jump zero to compare holy_loc with "*"
  475. -    if al was zero mov "*" inside holy_loc
  476. -    compare holy_loc with "*"
  477. -    if there is a difference then JNZ beggar_off_ugly_copier
  478. -    else ret_ahead_nice_buyer
  479.  
  480. Now let's quickly crack it:
  481. ------------------------------------------------
  482. CRACKING GENERAL.EXE (by +ORC, January 1996)
  483.  
  484. ren general.exe general.ded
  485. symdeb general.ded
  486. -    s (cs+0000):0 Lffff 8C 11 75 0E
  487. xxxx:yyyy           (this is the answer of the debugger)
  488. -    e xxxx:yyyy+2  EB [SPACE] 09
  489. -    w
  490. -    q
  491. ren general.ded general.exe
  492. -------------------------------------------------
  493. And in this way you changed the JNZ to the cmp "*" instruction
  494. in a JMP to the mov "*" instruction. So no more nag screens, no
  495. more protections... serene, placid, untroubled [general.exe].
  496.  
  497. Well, that's it for this lesson, reader. Not all lessons of my
  498. tutorial are on the Web.
  499.      You 'll obtain the missing lessons IF AND ONLY IF you mail
  500. me back (via anon.penet.fi) with some tricks of the trade I may
  501. not know that YOU discovered. Mostly I'll actually know them
  502. already, but if they are really new you'll be given full credit,
  503. and even if they are not, should I judge that you "rediscovered"
  504. them with your work, or that you actually did good work on them,
  505. I'll send you the remaining lessons nevertheless. Your
  506. suggestions and critics on the whole crap I wrote are also
  507. welcomed.
  508.  
  509.                                 E-mail +ORC
  510.  
  511.                         +ORC an526164@anon.penet.fi
  512.