home *** CD-ROM | disk | FTP | other *** search
/ KeyGen Studio 2002 / KeyGen_Studio_2002.iso / Tutorials / Eternal bliss / EB_TUT16.TXT < prev    next >
Encoding:
Text File  |  1999-08-27  |  7.1 KB  |  215 lines
  1.             Tutorial Number 16
  2.  
  3. Written by Etenal Bliss
  4. Email: Eternal_Bliss@hotmail.com
  5. Website: http://crackmes.cjb.net
  6.          http://surf.to/crackmes
  7. Date written: 28th Mar 1999
  8.  
  9. Program Details:
  10. Name: CrackMe 1
  11. Author: Nitrus
  12.  
  13. Tools Used:
  14. SoftIce
  15.  
  16. Cracking Method:
  17. Code sniffing
  18.  
  19. Viewing Method:
  20. Use Notepad with Word Wrap switched on
  21. Screen Area set to 800 X 600 pixels (Optional)
  22.  
  23. __________________________________________________________________________
  24.  
  25.  
  26.                         About this protection system
  27.  
  28. No disabled function. A 10 char serial protection
  29.  
  30. __________________________________________________________________________
  31.  
  32.  
  33.                                  The Essay
  34.  
  35. In this essay, when I write type "d edx" or similar commands in Softice,
  36. I mean it without the quotes.
  37.  
  38. __________________________________________________________________________
  39.  
  40.                 SoftIce
  41.  
  42. Since this is a VB crackme, we might as well try using the few common 
  43. breakpoints:
  44. 1) bpx msvbvm60!__vbavartsteq
  45. 2) bpx msvbvm60!__vbastrcomp
  46.  
  47. **I add in msvbvm60! because it is written in VB6.
  48.  
  49. Run the crackme, type in "12345678" and then set your breakpoints.
  50.  
  51. When you hit Enter, you will break in MSVBVM60!__vbaVarTstEq
  52.  
  53. Break due to BPX MSVBVM60!__vbaVarTstEq  (ET=792.07 milliseconds)
  54. MSVBVM60!__vbaVarTstEq
  55. :004021F4  8D4D9C              LEA     ECX,[EBP-64]
  56.  
  57. Press F12 to get out of this function. This is because I didn't find 
  58. anything useful in it. You can trace it if you want. 8)
  59.  
  60. You will land below:
  61.  
  62. :004021F7  668BF8              MOV     DI,AX
  63. :004021FA  FF150C104000        CALL    [MSVBVM60!__vbaFreeVar]
  64. :00402200  663BFE              CMP     DI,SI
  65. :00402203  0F8472050000        JZ      0040277B                  (NO JUMP)
  66. :00402209  8B4B34              MOV     ECX,[EBX+34]
  67. :0040220C  51                  PUSH    ECX
  68. :0040220D  FF1510104000        CALL    [MSVBVM60!__vbaLenBstr]
  69. :00402213  83F80A              CMP     EAX,0A
  70.  
  71. The function at :0040220D (MSVBVM60!__vbaLenBstr) is to get the length
  72. of the serial we entered. Note the compare after it.
  73.  
  74. EAX is the length of the serial we entered. It is compared to 0A.
  75.  
  76. 0A is the hex value for 10
  77.  
  78. So, our serial must be 10 characters.
  79.  
  80. F5 to return to the crackme.
  81.  
  82. Now, type in "1234567890" for our serial.
  83.  
  84. opps. forgot to tell you to disable your breakpoints first. 8)
  85. Disable your breakpoints or you will keep breaking every time you type
  86. something.
  87.  
  88. Now, reset your 2 breakpoints.
  89.  
  90. When you break at MSVBVM60!__vbaVarTstEq, press F5 to return to the crackme.
  91. But since it is of the correct length, you will break into MSVBVM60!__vbaStrComp.
  92.  
  93. Break due to BPX MSVBVM60!__vbaStrComp  (ET=2.78 seconds)
  94. MSVBVM60!__vbaStrComp
  95. :66060A85  0F8499F00200        JZ      6608FB24                  (NO JUMP)
  96. :66060A8B  6801000300          PUSH    00030001
  97. :66060A90  FF742408            PUSH    DWORD PTR [ESP+08]
  98. :66060A94  FF742410            PUSH    DWORD PTR [ESP+10]
  99. :66060A98  FF742418            PUSH    DWORD PTR [ESP+18]
  100. :66060A9C  FF1510001166        CALL    [OLEAUT32!VarBstrCmp]
  101. **Go into this call using F8
  102.  
  103. ==========================================================================
  104. OLEAUT32!VarBstrCmp
  105. :653C0227  8BEC                MOV     EBP,ESP
  106. :653C0229  51                  PUSH    ECX
  107. :653C022A  53                  PUSH    EBX
  108. :653C022B  56                  PUSH    ESI
  109. :653C022C  8B7508              MOV     ESI,[EBP+08]
  110. :            __________Snip___________
  111. :
  112. :653C025C  8B7D0C              MOV     EDI,[EBP+0C]
  113. :653C025F  8B7508              MOV     ESI,[EBP+08]
  114. :653C0262  8B4D10              MOV     ECX,[EBP+10]    <--set bp here
  115.  
  116. When you go into :653C0227 (OLEAUT32!VarBstrCmp), just keep pressing F10
  117. to trace along the code. Whenever any register changes, type "d register"
  118. to see what is the new value.
  119. **register in "d register" is eax, ebx, ecx, edx, edi, esi
  120.   so don't email me saying that you get an error from Softice when you type
  121.   "d register"
  122.  
  123. I am only showing the interesting codes.
  124.  
  125. After :653C025C, you will see edi having a new value. type "d edi"
  126. You should see
  127. :00510FE4 2D 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  -...............
  128.  
  129. After :653C025F, you will see esi having a new value. type "d esi"
  130. You should see
  131. :00510F9C 34 00 00 00 33 00 34 00-35 00 36 00 37 00 38 00  4...3.4.5.6.7.8.
  132.  
  133. Now, where would "-" or "4" come from? Let's presume that 4 is part of the
  134. serial we typed (1234567890). So, "-" would be the correct serial in that 
  135. location!
  136.  
  137. So, part of the correct serial would be 123-567890
  138.  
  139. After tracing again and again, I find that I always come to this part of 
  140. the code. So, you can just type "bpx xxxx::653C0262" and disable the rest of
  141. your bp. xxxx will depend on your computer when you are inside 
  142. OLEAUT32!VarBstrCmp
  143.  
  144. **bpx here will let edi and esi get the new values. So, when you break, you
  145.   just need to type "d edi" and "d esi" to see the values.
  146.  
  147.  
  148. So, press F5. You will break again
  149.  
  150. Break due to BPX #0177:653C0262  (ET=78.66 microseconds)
  151. 0177:653C0262  8B4D10              MOV     ECX,[EBP+10]
  152. 017F:00510FE4 2D 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  -...............
  153.  
  154. 017F:00510F9C 39 00 00 00 33 00 34 00-35 00 36 00 37 00 38 00  9...3.4.5.6.7.8.
  155.  
  156. Part of the correct serial would be 123-5678-0
  157.  
  158. **If you don't know why, look at the explanation above.
  159.  
  160.  
  161. Press F5 again. You will break
  162.  
  163. Break due to BPX #0177:653C0262  (ET=168.52 microseconds)
  164. 0177:653C0262  8B4D10              MOV     ECX,[EBP+10]
  165. 017F:00510F88 30 00 35 00 33 00 00 00-80 0F 51 00 24 00 00 A0  0.5.3.....Q.$...
  166.  
  167. 017F:00510F9C 31 00 32 00 33 00 00 00-35 00 36 00 37 00 38 00  1.2.3...5.6.7.8.
  168.  
  169. Part of the correct serial would be 053-5678-0
  170.  
  171.  
  172. Press F5 again. You will break
  173.  
  174. Break due to BPX #0177:653C0262  (ET=208.70 microseconds)
  175. 0177:653C0262  8B4D10              MOV     ECX,[EBP+10]
  176. 017F:004100C8 33 00 33 00 38 00 37 00-00 00 DB DB 15 02 00 A0  3.3.8.7.........
  177.  
  178. 017F:00510FE4 35 00 36 00 00 00 00 00-00 00 00 00 00 00 00 00  5.6.............
  179.  
  180. Part of the correct serial would be 053-33xx-0
  181. **xx can be of any values.
  182.  
  183. Press F5 again. You will break
  184.  
  185. Break due to BPX #0177:653C0262  (ET=199.57 microseconds)
  186. 0177:653C0262  8B4D10              MOV     ECX,[EBP+10]
  187. 017F:004100A0 37 00 00 00 00 00 00 00-42 01 00 00 3D 02 00 A0  7.......B...=...
  188.  
  189. 017F:00510FE4 30 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  0...............
  190.  
  191. Note, our last digit is "0" and is compared to "7"
  192.  
  193. So, the final correct code is 053-33xx-7
  194.  
  195. You can place any values in xx and you will get the title of the crackme
  196. to change from "crackme..." to "cracked"
  197.  
  198. CrackMe Cracked!
  199.  
  200. __________________________________________________________________________
  201.  
  202.  
  203.                              Final Notes
  204.  
  205. This tutorial is dedicated to all the newbies like me.
  206.  
  207. And because I'm a newbie myself, I may have explained certain things wrongly
  208. So, if that is the case, please forgive me. Email me if there is anything 
  209. you are not clear about.
  210.  
  211.  
  212. My thanks and gratitude goes to:-
  213.  
  214. The Sandman
  215. All the writers of Cracks tutorials and CrackMes