home *** CD-ROM | disk | FTP | other *** search
/ KeyGen Studio 2002 / KeyGen_Studio_2002.iso / Tutorials / Eternal bliss / EB_TUT25.TXT < prev    next >
Encoding:
Text File  |  1999-08-27  |  6.7 KB  |  187 lines
  1.             Tutorial Number 25
  2.  
  3. Written by Etenal Bliss
  4. Email: Eternal_Bliss@hotmail.com
  5. Website: http://crackmes.cjb.net
  6.          http://surf.to/crackmes
  7. Date written: 11th Jun 1999
  8.  
  9. Program Details:
  10. Name: Cyber-Info WebMail Notify version 2.6
  11. URL: http://www.cyber-info.com
  12.  
  13. Tools Used:
  14. SoftIce
  15. Hexeditor
  16.  
  17. Cracking Method:
  18. Serial Sniffing
  19. Code analysis
  20.  
  21. Viewing Method:
  22. Use Notepad with Word Wrap switched on
  23. Screen Area set to 800 X 600 pixels (Optional)
  24.  
  25. __________________________________________________________________________
  26.  
  27.  
  28.                         About this protection system
  29.  
  30. This program requires a Name/Serial to register. Before registration, the
  31. number of times you use is written to hotreg2.set in windows system
  32. directory. Upon successful registration, the Name and Serial is also written
  33. to the same file.
  34.  
  35. _________________________________________________________________________
  36.  
  37.  
  38.                         About this tutorial
  39.  
  40. Since this is my 25th tutorial, I will presume that you have read the 
  41. previous ones. So, my description on how to use the tools will be reduced
  42. unless there are new methods.
  43.  
  44. _________________________________________________________________________
  45.  
  46.  
  47.                 Softice
  48.  
  49. First, run the program. Get to the registration box. Type in any Name you
  50. want and any serial.
  51.  
  52. Set the hmemcpy breakpoint in Softice by typing "bpx hmemcpy". Exit Softice.
  53.  
  54. Click on the OK button to register. Softice will pop. Disable the bp by
  55. typing "bd *".
  56.  
  57. Now, keep pressing F12 until you get to the program's code and not windows'.
  58.  
  59. Once you are at the program's code, just trace using F10 to avoid going into
  60. any calls. Whenever you see a mov or lea code, type "d" and the register
  61. which is involved. 
  62.  
  63. Eg. mov eax, dword ptr [0052AAC8]
  64. You will type "d eax" after stepping pass the line using F10.
  65.  
  66. At a certain point, you will come to this piece of code...
  67.  
  68. NOTE: Location shown here might not be the same as yours...
  69.  
  70. :004D7118 E817730000              call 004DE434            << to calculate the serial
  71. :004D711D 8B55F4                  mov edx, [ebp-0C]        << edx = serial
  72. :004D7120 58                      pop eax            << eax = what you entered
  73. :004D7121 E87EC9F2FF              call 00403AA4            << comparing
  74. :004D7126 0F94C0                  sete al
  75. :004D7129 84C0                    test al, al
  76. :004D712B 0F84A5000000            je 004D71D6            << jump to wrong message
  77.  
  78. I've commented on the above piece of code... If your aim is to leech
  79. and not to learn reversing, this is where you stop. Just type "d edx" after
  80. :004D711D and you will see the correct codes.
  81.  
  82. If you want to learn something more, carry on...
  83.  
  84.  
  85. Glad you are still here. 8)
  86.  
  87. Well, let's take a look at the "wrong message"
  88. This is where you will go if you enter the wrong serial:
  89.  
  90. NOTE: Location shown here might not be the same as yours...
  91.  
  92. :004D71D6 833DC8AA520003          cmp dword ptr [0052AAC8], 00000003
  93. :004D71DD 7521                    jne 004D7200
  94. :004D71DF 6A00                    push 00000000
  95. :004D71E1 668B0D5C724D00          mov cx, word ptr [004D725C]
  96. :004D71E8 B201                    mov dl, 01
  97.  
  98. * Possible StringData Ref from Code Obj ->"Registration failed"
  99.                                   |
  100. :004D71EA B814734D00              mov eax, 004D7314
  101. :004D71EF E86CDCF5FF              call 00434E60
  102. :004D71F4 C7832801000002000000    mov dword ptr [ebx+00000128], 00000002
  103. :004D71FE EB20                    jmp 004D7220
  104.  
  105. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  106. |:004D71DD(C)
  107. |
  108. :004D7200 6A00                    push 00000000
  109. :004D7202 668B0D5C724D00          mov cx, word ptr [004D725C]
  110. :004D7209 B201                    mov dl, 01
  111.  
  112. * Possible StringData Ref from Code Obj ->"Invalid name and/or password"
  113.                                   |
  114. :004D720B B830734D00              mov eax, 004D7330
  115. :004D7210 E84BDCF5FF              call 00434E60
  116. :004D7215 8B83B8010000            mov eax, dword ptr [ebx+000001B8]
  117. :004D721B 8B10                    mov edx, dword ptr [eax]
  118. :004D721D FF5278                  call [edx+78]
  119.  
  120. If you trace this piece in Softice, you will see that at :004D71EA,
  121. eax contains the location 004D7314 which points to "Registration failed"
  122. words that you will see in a messagebox.
  123.  
  124. The line :004D71D6 compares the number of tries you make during registration.
  125. If it is your 3rd error, the program will open up a browser and takes you to
  126. register online. If you look at :004D720B, it looks similar to :004D71EA
  127. and you will get a messagebox saying "Invalid name and/or password"
  128.  
  129. Fine... why am I going through all that?? What is there to learn?
  130.  
  131. Well, let's say if we can "make" the program tell us the correct serial
  132. for a Name in the messagebox instead of that stupid message, wouldn't it
  133. be nice? 8)
  134.  
  135. If you look back at the previous piece of code, you will see that
  136. mov edx, [ebp-0C]
  137. will "move" the correct serial into edx.
  138.  
  139. Suppose we "move" the same info into eax at :004D71EA and :004D720B,
  140. will we get the correct serial shown to us? Let's try.
  141.  
  142. In Softice, when you are the program's code, type this:
  143. "a 004D71EA"
  144. This will make softice allow us to change the codes in realtime...
  145. **Before doing this, make sure you know how many bytes are required.
  146.  
  147. type in mov eax, [ebp-0C] and press Enter
  148. This will convert it to 8B45F4. But we need to replace 5 bytes and we have
  149. only 3 bytes now... So, type in NOP and Enter and do it again. Then press "Esc"
  150. to return to the instructions. You will notice that the codes are now changed.
  151. ** NOP is 1 byte (90) therefore, you must have 2 NOP
  152.  
  153. Do the same for :004D720B
  154.  
  155. Summary:
  156. "a 004D71EA" or "a 4D720B"    << allows you to change the codes in the data window
  157. "mov eax, [ebp-0C]"        << move the correct serial into eax
  158. "nop"                << to fill up remaining byte
  159. "nop"                << to fill up remaining byte
  160. Press "Esc"
  161.  
  162. To permanently replace the bytes mentioned, search for the required bytes:
  163. 1) B814734D00
  164. 2) B830734D00
  165.  
  166. For the above two byte combination, there is only one for each... So,
  167. just use a hexeditor, search for it and replace it with the bytes you got
  168. in Softice when you did the "a" thing.
  169.  
  170. Program cracked!! And you have "made" yourself a keygen... 8P
  171.  
  172. __________________________________________________________________________
  173.  
  174.  
  175.                              Final Notes
  176.  
  177. This tutorial is dedicated to all the newbies like me.
  178.  
  179. And because I'm a newbie myself, I may have explained certain things wrongly
  180. So, if that is the case, please forgive me. Email me if there is anything 
  181. you are not clear about.
  182.  
  183.  
  184. My thanks and gratitude goes to:-
  185.  
  186. All the writers of Cracks tutorials and CrackMes
  187. and also to all the crackers that have been supporting my site and project forum.