home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / Library / +ORC / Orc pac 3 / HOWTO32.TXT < prev    next >
Encoding:
Text File  |  2000-05-25  |  21.7 KB  |  453 lines
  1.                      HOW TO CRACK, by +ORC, A TUTORIAL
  2.  
  3. ---------------------------------------------------------------------------
  4.  
  5.                 Lesson 3.2: hands on, paper protections (2)
  6.  
  7. ---------------------------------------------------------------------------
  8.  
  9.                 [TOP.EXE] [F19.EXE] [POPULOUS.EXE] [MAP.EXE]
  10.  
  11.                    --------------------------------------
  12.  
  13. You have seen in the previous lesson that the use of a password
  14. protection, independently of the coding and hiding methods used
  15. to store them in memory, implies the use of a comparing procedure
  16. with the password that the user types in. You therefore have many
  17. options to begin your cracking work:
  18. -    find the location of the user password
  19. -    find the "echo" in memory of the real password
  20. -    find the routine that compares both
  21. -    find the passwords hideout and encryption type
  22. -    find the go_ahead_nice_buyer exit or jump
  23. -    find the beggar_off_ugly_copier exit or jump
  24. just to name the more obvious ones. In order to make things more
  25. difficult for us crackers, the protectionists have devised many
  26. counter-strategies, the more obvious ones being:
  27. -    keeping the various part of the store/compare/hide routines
  28. well apart in code (no match for zen-cracking);
  29. -    filling these routines with "bogus" compares, bogus jumps
  30. and bogus variables, in order to make things more difficult for
  31. the crack (no match for decent crackers);
  32. -    disseminating the code with anti-debugger tricks, like INT_3
  33. instructions or jumps in and out protected mode (no match for our
  34. beloved [Soft-Ice]);
  35. -    trying to eliminate the need for passwords altogether
  36. letting the user input "one letter" or "one number" or "one
  37. image" as answer to some variable question. In this lesson I'll
  38. teach you how to crack these "passletters" protection techniques.
  39.  
  40. Let's first resume the "uses" of a password protection:
  41.  
  42. PASSWORDS AS PERMISSION TO ACCESS
  43. These passwords serve to acknowledge that a legitimate user is
  44. using the program. This is the type of password that you'll find,
  45. for example, protecting your user account on Compuserve, on
  46. Networks or even in ATM machines used by banks or corporations.
  47. These require a little hardwiring to crack: ATM passnumber
  48. protection schemes rely on an answer from the central computer
  49. (they do NOT verify only the three magnetic areas in the magnetic
  50. strip on the card). The lines between ATM's & their hosts are
  51. usually 'weak' in the sense that the information transmitted on
  52. them is generally not encrypted in any way. (Some banks use
  53. encrypted information, but this is fairly easy to crack too).
  54. So for ATMs you should do the following 1) cross over the
  55. dedicated line between the ATM and the host; 2) insert your
  56. computer between the ATM and the host; 3) Listen to the "normal"
  57. messages and DO NOT INTERFERE YET; 4) Try out some operations
  58. with a legal card, make some mistakes, take note of the various
  59. codes; 5) When you are ready insert a fraudulent card into the
  60. ATM. Now the following happens:
  61. -    the ATM sends a signal to the host, saying "Hey! Can I give
  62. this guy money, or is he broke, or is this funny card invalid?";
  63. -    the microcomputer intercepts the signal from the host,
  64. discards it, sends on the "there's no one using the ATM" signal;
  65. -    the host gets the "no one using" signal and sends back its
  66. "good, keep watching out if somebody comes by, and for God's sake
  67. don't spit out any money on the street!" signal to the ATM;
  68. -    the microcomputer intercepts this signal (again), throws it
  69. away (again), and sends the "Wow! That guy is like TOO rich! Give
  70. him as much money as he wants. In fact, he's so loaded, give him
  71. ALL the cash we have!  He is a really valued customer." signal.
  72. -    the ATM obediently dispenses cash till the cows come home.
  73.      All this should be possible, but as a matter of fact it has
  74. not much to do with cracking, unless there is a special software
  75. protection on the line... so if you want to work on ATMs contact
  76. our fellow phreakers/hackers and learn their trade... and
  77. please remember to hack only cash dispenser that DO NOT HAVE a
  78. control camera :=)
  79.  
  80. PASSWORDS AS REGISTRATION
  81. This type of password is often used in shareware programs. When
  82. you register the shareware program, you are sent a password that
  83. you use to upgrade your shareware program to a complete and more
  84. powerful version. This method, used frequently for commercial
  85. applications, has recently been used quite a lot by many windows
  86. applications that come "crippled" on the magazines cover CD-roms,
  87. requiring you to telephone a hot line (and paying) in order to
  88. get the "unique key" to unlock the "special protection". It's all
  89. bullshit: we'll learn in the "how to crack windows" lessons how
  90. easy it is to disable the various routines that verify your
  91. entry.
  92.  
  93. PASSWORDS AS COPY PROTECTIONS
  94. This type of password is often used for games and entertainment
  95. software. The password query does not usually appear any more at
  96. the start of the program, or as the program is loading. Instead,
  97. the password query appears after one or more levels are completed
  98. (this innovation was pioneered by "EOB I" and the "Ultima"
  99. series) or when the user reloads a saved game or session.
  100.  
  101. DONGLE PASSWORDS
  102.      A few extremely expensive programs use a dongle (also called
  103. an hardware key). A dongle is a small hardware device containing
  104. a password or checksum which plugs into either a parallel or a
  105. serial port. Some specially designed dongles even include
  106. complete program routines. Dongles can be cracked, but the amount
  107. of work involved is considerable and the trial and error
  108. procedure currently used to crack them via software is extremely
  109. tedious. It took me more than a week to crack MULTITERM,
  110. Luxembourger dongle protected program. The quickest method to
  111. crack dongle protected programs, involves the use of pretty
  112. complicated hardware devices that cannot be dealt with here. I
  113. myself have only seldom seen them, and do not like at all to
  114. crack dongles via software, coz it requires a huge amount of zen
  115. thinking and of luck and of time. If you want more information
  116. on the hardware way to crack dongles, try to contact the older
  117. ones on the appropriate web sites, they may even answer you if
  118. you are nice, humble and really technically interested.
  119.  
  120.      The obvious principle, that applies to the software password
  121. types mentioned above is the following: The better the password
  122. is hidden, and the better it is encrypted, the more secure the
  123. program will be. The password may be
  124. -    encrypted and/or
  125. -    in a hooked vector and/or
  126. -    in an external file and/or
  127. -    in a SMC (Self modifying code) part
  128.  
  129.      Let's finally inspect the common "ready_made" protection
  130. schemes (used by many programmers that do not program
  131. themselves):
  132. *    password read in
  133. *    letters added to a key to be entered
  134. *    complement of the letters formed xoring with 255
  135. *    saved key (1 char)
  136. *    saved password (256 chars)
  137. *    saved checksum (1 char), as protection, against simple
  138.      manipulations
  139. *    generating file PASSWORD.DAT with password, to be inserted
  140.      inside a different file than the one containing the calling
  141.      routine
  142. Now the lazy programmer that wants to "protect" his program
  143. searches first the file where the password is stored, then loads
  144. the key, the password and the checksum. He uses a decrypt
  145. procedure to decrypt the password and a check_checksum procedure
  146. to check whether the password was modified. All this is obviously
  147. crackabe in few seconds.
  148.  
  149. [PASSWORD ACCESS INSIDE THE SETUP]
  150.      Some computers have a password protected access INSIDE the
  151. Setup (at the beginning), the protection scheme does not allow
  152. a boot with a floppy and does not allow a setup modify. In these
  153. cases the only possible crack is an old hack method:
  154. *    open the PC
  155. *    find on the motherboard a small jumper (bridge) with the
  156.      words "Pw"
  157. *    take it away
  158. *    PC on
  159. *    run the setup with F1 or Del (depending from the BIOS) (the
  160.      protection will not work any more)
  161. *    deactivate inside the setup the option password
  162. *    PC off
  163. *    put the small jumper (bridge) back again
  164. *    close the PC
  165. *    PC on, cracked (if you want to be nasty you could now use
  166.      the setup to set YOUR password)
  167.      If you want to know more about access refuse and access
  168. denying, encryption and locking of the FAT tables, get from the
  169. web, and study, the (very well written) code of a virus called
  170. "Monkey", that does exactly this kind of devastation. Virus
  171. studying is, in general, very useful for cracking purposes, coz
  172. the virus'code is at times
  173. -    very well written (pure, tight assembly)
  174. -    using concealing techniques not much different from the
  175.      protection schemes (often far superior)
  176. -    using the most recent and best SMC (self modifying code)
  177.      tricks
  178.  
  179.      But, and this is very important, do not believe that the
  180. protection schemes are very complicated! Most of the time the
  181. protection used are incredibly ordinary: as a final example of
  182. our paper protection schemes, let's take a program released not
  183. long ago (1994), but with a ridiculous protection scheme: TOP
  184. (Tiger on the prowl) a simulation from HPS.
  185. Here the cracking is straightforward:
  186. -    MAP(memory_usage) and find main_sector
  187. -    type "AAAA" as password
  188. -    (s)earch main_sector:0 lffff "AAAA"
  189. -    dump L80 "AAAA" location -40 (gives you a "wide" dump),
  190.      this gives you already the "echo" of the correct password
  191. -    breakpoint on memory read & write to "AAAA" location and
  192.      backtrace the complete main_sector
  193. it's done! Here the code_lines that do protect TOP:
  194.      8A841C12  MOV  AL,[SI+121C]   move in AL first user letter
  195.      3A840812  CMP  AL,[SI+1208]   compare with echo
  196.      7402      JZ   go_ahead_nice_buyer
  197.      EB13      JMP  beggar_off_ugly_cracker
  198.  
  199. Now let's quickly crack it:
  200. ------------------------------------------------
  201. CRACKING TOP.EXE (by +ORC, January 1996)
  202.  
  203. ren top.exe top.ded
  204. symdeb top.ded
  205. -    s (cs+0000):0 Lffff 8A 84 1C 12 3A 84
  206. xxxx:yyyy           (this is the answer of the debugger)
  207. -    e xxxx:yyyy+2  08 (instead of 1C)
  208. -    w
  209. -    q
  210. ren top.ded top.exe
  211. -------------------------------------------------
  212. And you changed the MOV  AL, [SI+121C] instruction in a MOV AL,
  213. [SI+1208] instruction... it is now reading the ECHO instead of
  214. the characters you typed in... no wonder that the ECHO does
  215. compare exactly with itself... and you pass!
  216.  
  217. "SOMETHING FISHY UNDER COVERS"
  218. Back to the "Passletter" type of password protected programs.
  219. Let's take as an example the protection used in a game of 1990:
  220. "F19", where the protection scheme asks you to identify a
  221. particular plane's silhouette. This kind of protection is used
  222. in order to avoid the use of memory locations where the passwords
  223. are stored: we saw in the first part of our "passwords hands on"
  224. how easy it is to crack those schemes.
  225. To crack this kind of protection, you could try a technique know
  226. as "memory snuffing". The protected program, START.EXE, install
  227. itself first at location xxxx:0000 with a length of 6C62 bytes,
  228. but proceeds to a relocation of its modules (with some SMC, self
  229. modifying code parts) in different locations. What does all this
  230. mean? Well, this could mean quite many things... the most
  231. important one for crackers is that the protection code will
  232. probably snap way ahead of the actual user input phase.
  233. Now you 'll quickly find out that the routine determining
  234. (randomly) which plane is being chosen, leaves the progressive
  235. number of this plane in one memory location: (imc) 43CD:DADA.
  236. This brings us to the random triggering mechanism:
  237.  
  238. E87FAF    CALL random_seed
  239. 83C402    ADD  SP,02
  240. 8946E8    MOV  [BP-18],AX     and ds:(BP-18) is the location
  241.                               you are looking for
  242. Now, every time this random triggers, you get a different number
  243. (00-x14) in this location, corresponding to the different plane
  244. the user should choose.
  245. The random seed routine, evidently, comes back with the random
  246. seed in AX... what we now need is to zero it: the user will
  247. always have to choose the same plane: "plane 0", and he will have
  248. given the correct answer. Note how elegant all this is: we do not
  249. need to interfere with the whole mouse pointing routines, nor
  250. with the actual choosing of the planes... the random seed may
  251. choose whatever plane it wishes... the memory location for this
  252. choice will always report the (legitimate) choice of zero.
  253.  
  254. So, let's quickly crack this program:
  255. ---------------------------------------------------
  256. CRACKING "F19" [START.EXE] (by +ORC, January 1996)
  257. ren start.exe start.ded       <- let's have a dead file
  258. symdeb start.ded              <- let's debug it
  259. - s cs:O lffff 83 C4 02 89 46 E8 <- search ADD SP,02
  260. xxxx:yyyy                     <- debugger's answer
  261. - e xxxx:yyyy 58 [SPACE] 31 [SPACE] C0 [SPACE]
  262. - w                           <- write the crack
  263. - q                           <- back to the OS
  264. ren start.ded start.exe       <- re-write the exe
  265. ----------------------------------------------------
  266. You just transformed the instruction you searched for
  267.      83C402    ADD  SP,+02
  268. in the following sequence:
  269.      58        POP  AX        <- respecting ADD SP,+02
  270.      31C0      XOR  AX,AX     <- xoring to zero
  271. (the POP AX instruction increments the stack pointer by 2, in
  272. order to respect the previous ADD SP,+02).
  273. Well, nice. It's getting easier, isnt'it? Now let's take as
  274. example a protection that has no "echo" in memory. (At the
  275. beginning this was a smart idea: "the cracker won't find the
  276. correct password, 'coz it's not there, ah!". We'll now therefore
  277. crack one of the first programs that used this scheme:
  278. [Populous.exe], from Bullfrog.
  279.  
  280. [POPULOUS.EXE]
  281.      A old example of the protection scheme "password that is not
  282. a password" can be found in [Populous.exe], from Bullfrog. It's
  283. a very widespread program, and you'll surely be able to find a
  284. copy of it in order to follow this lesson. The program asks for
  285. the identification of a particular "shield", a combination of
  286. letters of various length: the memory location were the user
  287. password is stored is easily found, but there is (apparently) no
  288. "echo" of the correct password. You should be able, by now, to
  289. find by yourself the memory location were the user password is
  290. stored. Set a breakpoint memory read & write on this area, and
  291. you 'll soon come to the following section of code:
  292.  
  293. F7AE4EFF  IMUL WORD PTR [BP+FF4E]       <- IMUL with magic_N°
  294. 40        INC  AX
  295. 3B460C    CMP  AX, [BP+0C]
  296. 7509      JNZ  beggar_off_ugly_copier
  297. 8B460C    MOV  AX, [BP+0C]
  298. A3822A    MOV  [2A82], AX
  299. E930FE    JMP  nice_buyer
  300. 817E0C7017CMP  WORD PTR[BP+0C],1770     <- beggar_off
  301.  
  302. I don't think that you need much more now... how do you prefer
  303. to crack this protection scheme? Would you choose to insert a MOV
  304. [BP+0C], AX and three NOPS (=6 bytes) after the IMUL instruction?
  305. Wouldn't you rather prefer the more elegant JMP to nice_buyer
  306. instruction at the place of the JNZ beggar_off? This solution has
  307. less nops: remember that newer protection schemes smell
  308. NOPs_patches!). Yeah, let's do it this way:
  309. ---------------------------------------------------
  310. CRACKING [Populous.exe] (by +ORC, January 1996)
  311. ren populous.exe populous.ded      <- let's have a dead file
  312. symdeb populous.ded                <- let's debug it
  313. -    s cs:O lffff F7 AE 4E FF      <- the imul magic_N°
  314. xxxx:yyyy                          <- debugger's answer
  315. -    e xxxx:yyyy+4  EB [SPACE] 03  <- JMP anyway
  316. -    w                             <- modify ded
  317. -    q                             <- back to the OS
  318. ren populous.ded populous.exe      <- let's re-have the exe
  319. ----------------------------------------------------
  320.  
  321. This time was easy, wasnt'it?
  322.      Now you are almost ready with this course... let's crack a
  323. last application, a memory utility that is very widespread, very
  324. good (the programmers at Clockwork software are Codemasters),
  325. very useful for our purposes (you'll use it later to crack a lot
  326. of TSR) and, unfortunately for Clockworkers, very easy to crack
  327. at the level you are now.
  328. But, Hey! Do not forget that you would have never done it without
  329. this tutorial, so do the following: look toward east from your
  330. window, sip a Martini-Wodka (Two blocks of ice first, 1/3 dry
  331. Martini from Martini & Rossi, 1/3 Moskovskaia Wodka, 1/3
  332. Schweppes indian tonic) and say three times: Thank-you +ORC!.
  333.  
  334. [MAP.EXE]
  335.      Let's now go over to one of the best TOOLS for mapping your
  336. memory usage that exist: MAP.EXE (version 2) from the masters at
  337. Clockwork software. The usage of this tool has been recommended
  338. in Lesson 2, and you should learn how to crack it, coz it comes
  339. with an annoying nag-screen ("Nigel" screen). In [Map.exe] this
  340. ubiquitous "Nigel" screen appears at random waiting for a random
  341. amount of time before asking the user to press a key which varies
  342. every time and is also selected at random.
  343.      The use of a single letter -mostly encrypted with some XOR
  344. or SHR- as "password" makes the individuation of the relevant
  345. locations using "snap compares" of memory much more difficult.
  346. But the crack technique is here pretty straightforward: just
  347. break in and have a good look around you.
  348.      The INT_16 routine for keyboard reading is called just after
  349. the loading of the nag screen. You 'll quickly find the relative
  350. LODSB routine inside a routine that paints on screen the word
  351. "Press" and a box-edge after a given time delay:
  352.      B95000         MOV  CX,0050
  353.      2EFF366601     PUSH CS:[0166]
  354.      07             POP  ES
  355.      AC             LODSB
  356.      ...
  357. You could already eliminate the delay and you could already force
  358. always the same passletter, in order to temperate the effects of
  359. the protection... but we crack deep!: let's do the job and track
  360. back the caller! The previous routine is called from the
  361. following section of the code:
  362.      91             XCHG AX,CX
  363.      6792           XCHG AX,DX
  364.      28939193       SUB  [BP+DI+9391],DL
  365.      2394AA94       AND  DX,[SI+94AA]
  366.      2EC7064B880100 MOV  WORD PTR CS:[884B],0001
  367.      2E803E5C0106   CMP  BYTE PTR CS:[015C],06
  368.      7416           JZ   ret       <- Ha! jumping PUSHa & POPa!
  369.      505351525756   PUSH the lot
  370.      E882F3         CALL 8870
  371.      2E3B064B88     CMP  AX,CS:[884B]
  372.      7307           JAE  after RET <- Ha! Not taking the RET!
  373.      5E5F5A595B58   POP  the lot
  374.      C3             RET
  375.      ...                                <- some more instructions
  376.      E86700         CALL delay_user
  377.      BE9195         MOV  SI,9591
  378.      2E8B3E255C     MOV  DI,CS:[5C25]
  379.      83EF16         SUB  DI,+16
  380.      2E8A263D01     MOV  AH,CS:[013D]
  381.      50             PUSH AH
  382.      E892C7         CALL routine_LODSB  <-- HERE!
  383.      B42C           MOV  AH,2C
  384.      CD21           INT  21             <- get seconds in DH
  385.      80E60F         AND  DH,0F
  386.      80C641         ADD  DH,41
  387.      58             POP  AX
  388.      8AC6           MOV  AL,DH
  389.      83EF04         SUB  DI,+4
  390.      AB             STOSW
  391.      E85A00         CALL INT_16_AH=01
  392.      B400           MOV  AH,00
  393.      CD16           INT  16
  394.      24DF           AND  AL,DF     <- code user's letter_answer
  395.      3AC6           CMP  AL,DH     <- pass_compare
  396.      75F3           JNZ  CALL INT_16_AH=01
  397.      E807F3         go_ahead
  398.      You just need to look at these instructions to feel it: I
  399. think that unnecessary code segments (in this case protections)
  400. are somehow like little snakes moving under a cover: you cannot
  401. easily say what's exactly going on yet, but you could bet that
  402. there is something fishy going on. Look at the code preceding
  403. your LODSB routine call: you find two JUMPS there: a JZ ret, that
  404. leaves a lot of pusha and popa aside, and a JAE after RET, that
  405. does not take the previous ret. If you did smell something here
  406. you are thoroughly right: The first JZ triggers the NIGEL screen
  407. protection, and the second JAE does THE SAME THING (as usual,
  408. there are always redundances, exactly as there are a lot of
  409. possibilities to disable a single protection). Now you know...
  410. you can disable this protection at different points: the two
  411. easiest blueprints being
  412. 1)   to change 7416 (JZ ret) in a EB16 (JMP ret anyway)
  413. 2)   to change 7307 (JAE after ret) in a 7306 (JAE ret).
  414.      We have not terminated yet: if you try locating this part
  415. of the code in order to change it, you won't have any luck: it's
  416. a SMC (Self modifying code) part: it is loaded -partly- from
  417. other sections of the code (here without any encryption). You
  418. must therefore first of all set a breakpoint on memory range;
  419. find out the LODSW routine; find out the real area; dump that
  420. memory region; find out a search sequence for the "dead" code...
  421. and finally modify the "dead" program.
  422.  
  423. Now let's quickly crack it:
  424. ------------------------------------------------
  425. CRACKING MEM.EXE (version 2) (by +ORC, January 1996)
  426.  
  427. ren map.exe map.ded
  428. symdeb map.ded
  429. -    s (cs+0000):0 Lffff 74 16 50 53 51 52 57
  430. xxxx:yyyy           <- this is the debugger's answer
  431. -    e xxxx:yyyy    EB
  432. -    w
  433. -    q
  434. ren map.ded map.exe
  435. -------------------------------------------------
  436. Now you have done it, NIGEL has been cracked!
  437.  
  438. Well, that's it for this lesson, reader. Not all lessons of my
  439. tutorial are on the Web.
  440.      You 'll obtain the missing lessons IF AND ONLY IF you mail
  441. me back (via anon.penet.fi) with some tricks of the trade I may
  442. not know that YOU discovered. Mostly I'll actually know them
  443. already, but if they are really new you'll be given full credit,
  444. and even if they are not, should I judge that you "rediscovered"
  445. them with your work, or that you actually did good work on them,
  446. I'll send you the remaining lessons nevertheless. Your
  447. suggestions and critics on the whole crap I wrote are also
  448. welcomed.
  449.  
  450.                                 E-mail +ORC
  451.  
  452.                         +ORC an526164@anon.penet.fi
  453.