home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / Mendoza / ASMTUT.TXT < prev    next >
Encoding:
Text File  |  2000-05-25  |  15.9 KB  |  390 lines
  1. Welcome to XLogic's Assembly KeyGen tutorial.
  2.  
  3. What you will need:
  4. TASM 3.0 or higher (Comes with TD).
  5. A Good Text Editor (EDIT.COM).
  6. A Good Dos Debugger (I will use TD, S-ICE and DG are also Acceptable).
  7. A File access monitor (SCANF is included).
  8. An ASM Command Listing (go buy a book).
  9. A GOOD (intermediate) knowledge of ASM. <-- Don't bug me for help.
  10. X-Tract 1.51 (included).
  11.  
  12. 1. Introduction.
  13. This was the first key generator I ever wrote.  It taught me more about
  14. assembly than any book I've read, considering that I originally
  15. learned assembly from debugging stuff.
  16.  
  17. This is a very easy keygen to do, but you use the same process to write
  18. other much more complex keygens.
  19.  
  20. The best way of writing a keygen in my experience is:
  21. 1.  Debug, dissasemble, do whatever is necessary to UNDERSTAND what the hell
  22.     the program is doing.
  23. 2.  Extract the relevant code, reverse it or whatever needs doing to make it
  24.     ready for the keygen.
  25. 3.  Write the keygen.
  26. 4.  Use a key you made, debug the program, and make sure it works 101%.
  27.  
  28. 2. Let's Get Started!
  29. Ok, look at the program, how it runs. See if it prompts for a reg number,
  30. if it looks for a key file, any way it gets registration in.
  31.  
  32. With X-Tract, there are no prompts for reg numbers, or anything.
  33. Ok, so now you run a file access monitor, to check if it looks for a reg
  34. key.  (I have included a good file access monitor with the package, SCANF.
  35. To make it put file access up on the screen, use "scanf con" to run it)
  36. Bingo.  It looks for X-TRACT.KEY.
  37.  
  38. Now the debugging starts.  First create a file called X-TRACT.KEY in the
  39. same directory as X-Tract, and load your debugger.  Step through with the
  40. file access montior loaded to see where it opens the key file. 
  41.  
  42. You trace over the following call, and the file monitor tells you that the
  43. key has been opened.
  44.  
  45.   cs:366B 2EA27908       mov    cs:[0879],al
  46.   cs:366F 9C             pushf
  47.   cs:3670 E8D71A         call   514A
  48.  
  49. Now you restart debugging and trace one instruction into that function call.
  50. You trace over the first function call, and notice that it displays the
  51. startup banner:
  52. X-TRACT (tm)   Executable File Extractor  Version 1.51  7-26-95
  53. Copyright 1994-95 by Pablo Carboni. All Rights Reserved.
  54.  
  55. The next block of code uses an Int 21h call.
  56. You notice that this is what opens the file.
  57. Int 21h's usage is as follows:
  58. ah = 3D                 ; Open file Handle for file access
  59. al = 02                 ; file access code
  60. dx = filename offset    ; Where the filename is in memory
  61. Int 21h                 ; Try to open the file
  62. jnb ok                  ; If the file exists, and has been opened, jump
  63. jmp error               ; If the file hasn't been opened, jump.
  64.  
  65. So what this block of code does is try and open the file.
  66.   cs:5150 B8023D         mov    ax,3D02
  67.   cs:5153 BAFC21         mov    dx,21FC
  68.   cs:5156 CD21           int    21
  69.   cs:5158 7303           jnb    515D
  70.   cs:515A E9ED00         jmp    524A
  71.  
  72. Since you made a file called X-TRACT.KEY before you started debugging
  73. it should jump on the first jump.
  74. You then end up here:
  75.   cs:515D 2EA3D805       mov    cs:[05D8],ax
  76.   cs:5161 B43F           mov    ah,3F
  77.   cs:5163 2E8B1ED805     mov    bx,cs:[05D8]
  78.   cs:5168 B99B00         mov    cx,009B
  79.   cs:516B BABD00         mov    dx,00BD
  80.   cs:516E CD21           int    21
  81.   cs:5170 3D9B00         cmp    ax,009B
  82.   cs:5173 7303           jnb    5178
  83.   cs:5175 E9D200         jmp    524A
  84.  
  85. The first line stores the files handle for future access from AX to
  86. memory location 05D8h.
  87.  
  88. Now, we see another Int 21h call coming up.  This time it is as follows:
  89. ah = 3Fh                ; Read Data from the open filehandle in BX
  90. bx = [05D8h]            ; get the file handle we saved just before.
  91. cx = 9Bh                ; How many bytes we want to try and read.
  92. dx = 0BDh               ; Where we want to put the read bytes.
  93. Int 21h                 ; Do the deed
  94.  
  95. When this returns, AX will be the actual number of bytes read from the file.
  96. So what is this next piece of code doing?
  97.   cs:5170 3D9B00         cmp    ax,009B
  98.   cs:5173 7303           jnb    5178
  99.   cs:5175 E9D200         jmp    524A
  100. Its checking if it could read 9Bh bytes from the file, and if it could,
  101. continue.
  102.  
  103. As you should have noticed, if any of the previous tests have failed, they
  104. jump to location 524Ah. Keep this in mind when you are debugging the code.
  105.  
  106. Now you hit this big lump of code:
  107.   cs:5178 BEBD00         mov    si,00BD
  108.   cs:517B BF5521         mov    di,2155
  109.   cs:517E B99A00         mov    cx,009A
  110.   cs:5181 0E             push   cs
  111.   cs:5182 1F             pop    ds
  112.   cs:5183 0E             push   cs
  113.   cs:5184 07             pop    es
  114.   cs:5185 FC             cld
  115.   cs:5186 F3A6           rep cmpsb
  116.   cs:5188 7403           je     518D
  117.   cs:518A E9BD00         jmp    524A
  118. rep cmpsb....... hmmm, a byte-by-byte compare statement.
  119. how this is called is:
  120. cx = Number of bytes to compare
  121. DS:DI = First lot of bytes to compare
  122. ES:SI = Second lot of bytes to compare
  123. rep cmpsb       ; do the compare
  124. je continue     ; jump here it the same
  125. jmp error       ; jump here if not the same
  126.  
  127. So what should be at the start of the rego key?
  128. Whatever is at ES:DI.  The other location has what was in the rego key
  129. that you created.
  130.  
  131. Now you get to this:
  132.   cs:518D AC             lodsb
  133.   cs:518E 3CE0           cmp    al,E0
  134.   cs:5190 741B           je     51AD
  135. And a few more with different compares.  It is checking if one of these
  136. is equal to the byte it loaded from DS:DI (its there from after the 1st
  137. compare).
  138.  
  139. Could it be checking for the type of registration?  Lets continue and see.
  140.   cs:51AD 2EA28008       mov    cs:[0880],al
  141.   cs:51B1 B43F           mov    ah,3F
  142.   cs:51B3 2E8B1ED805     mov    bx,cs:[05D8]
  143.   cs:51B8 B92A00         mov    cx,002A
  144.   cs:51BB BABD00         mov    dx,00BD
  145.   cs:51BE CD21           int    21
  146.   cs:51C0 3D2A00         cmp    ax,002A
  147.   cs:51C3 7403           je     51C8
  148.   cs:51C5 E98200         jmp    524A
  149.  
  150. It saves the byte it just checked to cs:880h.
  151. Then it does what it did before with Int 21h, it reads 2Ah bytes from the
  152. file to ds:00BDh.  If it could read 2Ah bytes, it continues on, otherwise
  153. it quits.
  154.  
  155. Now would be a good time to get out of the debugger and make the key file.
  156. 9Bh + 2Ah bytes (add the two cx vaules from the file read Int 21h's) is
  157. equal to 197 bytes, so now would be a good time to get out, make a file of
  158. size 197 bytes, With the first lot of data it compared (that string of
  159. bytes), then either a E0h, E1h, E2h or E3h, which it looked for.  I will
  160. use a E0h.
  161.  
  162. You've got your registration key half done.  After making it, you
  163. should be able to pass all of the tests it performs to the point where we
  164. left off.  If you had problems, have a look at the key that I provided
  165. called XLOGIC.REG to get some hints.
  166.  
  167. Now you hit this:
  168.   cs:51C8 BEBD00         mov    si,00BD
  169.   cs:51CB 8BFE           mov    di,si
  170.   cs:51CD B92A00         mov    cx,002A
  171.   cs:51D0 2E8A1E8008     mov    bl,cs:[0880]
  172.   cs:51D5 AC             lodsb
  173.   cs:51D6 32C3           xor    al,bl
  174.   cs:51D8 AA             stosb
  175.   cs:51D9 80EB22         sub    bl,22
  176.   cs:51DC E2F7           loop   51D5
  177.  
  178. Now before i tell you, try and work out what this does.
  179.  
  180. Here is what it is doing:
  181. 1. si = 0BDh    ;the location to start from
  182. 2. di = si      ;set the second location to start from
  183. 3. cx = 2Ah     ;how many times to loop
  184. 4. bl = cs:880h ;get that byte that it checked for earlier
  185. 5. lodsb        ;load a byte from ES:SI into al, increment si by 1
  186. 6. xor al,bl    ;xor al by bl
  187. 7. stosb        ;store al to DS:DI, increment di by 1
  188. 8. sub bl,22    ;decrement bl by 22h
  189. 9. loop 5       ;loop cx times.
  190.  
  191. Now, step through this, watching what this does.
  192. What does it do?
  193. It decripts the data after the 0E0h, in the keyfile, using the above process.
  194.  
  195. If you can't understand this, just keep watching it and debugging it,
  196. because if you can't understand this, you won't be able to write a keygen.
  197.  
  198. Now it has tried to decrypt your name, and what we're about to look at.
  199.  
  200. Check this code out:
  201.   cs:51DE BEBD00         mov    si,00BD
  202.   cs:51E1 8BFE           mov    di,si
  203.   cs:51E3 B92800         mov    cx,0028
  204.   cs:51E6 2E8A1E8008     mov    bl,cs:[0880]
  205.   cs:51EB 33D2           xor    dx,dx
  206.   cs:51ED 33C0           xor    ax,ax
  207.   cs:51EF AC             lodsb
  208.   cs:51F0 03D0           add    dx,ax
  209.   cs:51F2 E2FB           loop   51EF
  210.   cs:51F4 2E3B14         cmp    dx,cs:[si]
  211.   cs:51F7 7551           jne    524A
  212.  
  213. Whats it doing?
  214. You should understand the first 7 lines, actually, you should understand
  215. the whole thing if you have a good grasp of Assembly.
  216.  
  217. It adds all the bytes together of what "Should" be you name, into dx.
  218. Then it compares dx to the number stored at cs:si.  This is what is called
  219. a CRC check.  This is only a simple one, and all it does is check if any
  220. of the bytes in the string have changed.
  221.  
  222. If it is the same, it is ok, and continues, otherwise it quits.
  223.  
  224. Now it sets cs:2220 to 01h, to tell the program it is registered.
  225.   cs:51FC 2EC606202201   mov    cs:byte ptr [2220]
  226. Then it checks the 0E0h byte.  This is where we find out what it does.
  227.   cs:5202 2E803E8008E0   cmp    cs:byte ptr [0880]
  228.   cs:5208 7424           je     522E
  229. So we let it jump:
  230.   cs:522E BA9B22         mov    dx,229B
  231.   cs:5231 E81D00         call   5251
  232.   cs:5234 C3             ret
  233. And it prints on the screen "REGISTERED VERSION".
  234. So what do the other "0E?h" values do?
  235. Go back and try the others to find out for yourself.
  236.  
  237. IMPORTANT.
  238. If you don't understand all of the above, go over and over it until you do.
  239.  
  240.  
  241. 2. Writing The KeyGen.
  242.  
  243. Now I am going to get lazy.  I will tell you what the steps are,
  244. give you my commented source file, and leave you go from there.
  245.  
  246. Here is what it is doing:
  247. 1. Open the Rego File.
  248. 2. Read the Header.
  249. 3. Check it.
  250. 4. Read the Rego Name and CRC.
  251. 5. Decrypt them.
  252. 6. Calculate the CRC.
  253. 7. Check the CRC.
  254. 8. Display the Rego type.
  255. 9. Continue on with the program.
  256.  
  257. Here is what you have to do:
  258. 1. Read the Rego Name.
  259. 2. Calculate the CRC.
  260. 3. Encript the Rego name and CRC.
  261. 3. Store the Rego type.
  262. 4. Write the whole block (including the header) to the Rego file.
  263.  
  264. Now for the assembly file:
  265. -------------------------------------------------------------------------------
  266. .386p
  267. seg_a        segment    byte public use16
  268.         assume    cs:seg_a, ds:seg_a
  269.  
  270.         org    100h
  271.  
  272. xtract_keygen   Proc Far
  273. start:
  274.                 mov     dx,offset title_text       ;load the startup banner
  275.                 call    print_text                 ;print it on the screen
  276.                 mov     dx,offset max_ent_length   ;load the text entry offset
  277.                 mov     ah,0Ah                     ;function=get text string
  278.                 int     21h                        ;get the text
  279.                 cmp     byte ptr entry_length,01h  ;check if mor than 1
  280.                                                    ;character was entered
  281.                 jae     short reg_type_sel         ;jump if 1 or more
  282.                 mov     dx,offset no_entry         ;not enough was entered
  283.                 jmp     short exit                 ;jump to exit
  284.  
  285. reg_type_sel:
  286.                 mov     dx,offset reg_type_text    ;load rego type selection
  287.                 call    print_text                 ;display it
  288.                 xor     ax,ax                      ;clear ax
  289.                 int     16h                        ;get a char from the keybd 
  290.                 int     29h                        ;display it
  291.                 cmp     al,31h                     ;check if its 1
  292.                 jl      reg_type_sel               ;jmp if lower than
  293.                 cmp     al,34h                     ;check if its 4
  294.                 ja      reg_type_sel               ;jmp if above 
  295. continue:
  296.                 add     al,0AFh                    ;add 0AFh to input, to get
  297.                                                    ;"E" value.
  298.                 mov     reg_type,al                ;store it in the rego type
  299.                 mov     dl,0Ah                     ;1 These lines store
  300.                 mov     dh,al                      ;2 the rego type
  301.                 mov     bx,offset max_ent_length   ;3
  302.                 mov     [bx],dx                    ;4
  303.                 call    make_key                   ;make the key
  304.                 mov     dx,offset done_text        ;load done text
  305. exit:
  306.                 call    print_text                 ;display the output result
  307.                 retn                               ;exit to dos/windoze
  308. xtract_keygen   endp
  309.  
  310. print_text      proc    near                       ;put text up on the
  311.                 mov     ah,9                       ;screen
  312.                 int     21h
  313.                 retn
  314. print_text      endp
  315.  
  316. make_key        proc    near                       
  317.                 mov     si,offset name_input       ;this should look
  318.                 mov     dx,si                      ;familiar :)
  319.                 mov     cx,28h                     ;
  320.                 mov     bl,reg_type                ;
  321.                 xor     dx,dx                      ;
  322.                 xor     ax,ax                      ;
  323. crc_loop:                                          ;
  324.                 lodsb                              ;
  325.                 add     dx,ax                      ;
  326.                 loop    crc_loop                   ;
  327.                 mov     bx,offset checksum_dat     ;
  328.                 mov     [bx],dx                    ;store the crc
  329.  
  330.                 mov     si,offset name_input       ;this should also look
  331.                 mov     di,si                      ;familiar :)
  332.                 mov     cx,2Ah                     ;
  333.                 mov     bl,reg_type                ;
  334. encription_loop:                                   ;
  335.                 lodsb                              ;
  336.                 xor     al,bl                      ;
  337.                 stosb                              ;
  338.                 sub     bl,22h                     ;
  339.                 loop    encription_loop            ;
  340.  
  341.                 mov     ah,3Ch                     ;open the file to write
  342.                 mov     dx,offset key_name         ;
  343.                 int     21h                        ;
  344.                 xchg    bx,ax                      ;put filehand in bx
  345.                 mov     ah,40h                     ;write the key to disk
  346.                 mov     dx,offset key_data         ;
  347.                 mov     cx,0C5h                    ;
  348.                 int     21h                        ;
  349.                 mov     ah,3Eh                     ;close the file handle
  350.                 int     21h                        ;
  351.                 retn
  352. make_key        endp
  353.  
  354. title_text      db 'X-Tract 1.51 Key File Generator by XLogic', 0Dh, 0Ah
  355. name_prompt     db 'Enter your name: $'
  356. reg_type_text   db 0Dh,0Ah,'Please Choose Registration Type:',0Dh,0Ah
  357.                 db '1. Registered Version',0Dh,0Ah
  358.                 db '2. Beta-Test Version',0Dh,0Ah
  359.                 db '3. Distro-Site Version',0Dh,0Ah
  360.                 db '4. Special Version',0Dh,0Ah
  361.                 db 'Enter the number corresponding to the type: $'
  362. no_entry        db 0Dh,0Ah,'You must enter a name.$'
  363. done_text       db 0Dh,0Ah,'Key file X-TRACT.KEY created.$'
  364. key_name        db 'X-TRACT.KEY',0
  365. reg_type        db 0
  366. key_data        dd 073696854h,020736920h,072756F79h,067657220h,072747369h,06F697461h,0656B206Eh,06F662079h
  367.                 dd 02D582072h,043415254h,050202E54h,07361656Ch,064202C65h,06F6E206Fh,069642074h,069727473h
  368.                 dd 065747562h,021746920h,063280A0Dh,039312029h,062203439h,06F572079h,02C79646Fh,065754220h
  369.                 dd 020736F6Eh,065726941h,041202C73h,04E454752h,0414E4954h,06150202Eh,0206F6C62h,06576694Ch
  370.                 dd 06F532073h,06877656Dh,020657265h,054206E49h,054206568h,02E656D69h
  371.                 db 0Dh 
  372. max_ent_length  db 26h
  373. entry_length    db 0
  374. name_input      db 40 dup ('$')
  375. checksum_dat    db 2 dup (0)
  376. seg_a        ends
  377.         end    start
  378. -------------------------------------------------------------------------------
  379.  
  380. Ok, there it is in all its glory.  I hope you've learned something from this,
  381. and if you did, let me know.  If you didn't, good for you.  Tell me how to
  382. improve this tutorial.
  383.  
  384. I can be contacted in #PC97 or #cracking on EFNET.
  385.  
  386. Cya Round.
  387.  
  388. XLogic.
  389.  
  390.