Blog literacki, portal erotyczny - seks i humor nie z tej ziemi
___________________________________________________________________________________
_________\ | __________
/ \ __-+- __ | /\
/___________/ /'( |_ )`\ |________/ \
| \ / / . \/^\/ . \ / /
\ \ / _)_`-'_(_ \ / /
\ \ /.-~ ).( ~-.\ / /
\ \ /' /\_/\ `\ / /
\ / __ ___ " __" __ _ _ \/ /
\/ / _)( ,) ( ) / _)( ) ) \__/_
( (_ ) \ /()\( (_ ) \
\__)(_)\_)(_)(_)\__)(_)\_)
___ __
( ,\o l a n d ( )
) _/ cRACKING )(__
(_) gROUP (____)
____ /\
/ \ / \
/\ \ / /
\ \ / /
\___\___/
_______________________________________________________________________________________
CrackPl presents
Pajaczek 2000 PRO cracking tutorial
_______________________________________________________________________________________
Cel: Pajaczek 2000 PRO
Skad: ENTER 5/99
Czym: SI
Efekt: Serial
Witam, w kolejnym odcinku naszej powiesci. Dzis na warszta-
cie prog, ktory wzbudzil wiele kontrowersji i sporow.
Znany jest juz serial do P2000PRO, i sposob na jego
wydobycie(Sezam's tut)
Jednak teraz wydobedziemy serial uzywajac SI.
Uruchamiamy proga i...
Laduje sie powoli, i pokazuje sie opcja rejestracji(odblokowania) programu.
Uruchamiamy ja i nic. Program konczy dzialanie.
Najprawdopodnie jest przeczulony na punkcie SI.
Fakt, po usunieciu z debugera z pamieci wszystko chodzi jak trza.
Dobra, no to zastanowmy sie jak P2000PRO wykrywa SI.
Uruchommy regmona i zastartujmy program. Hm, nie szuka wpisow
typowych dla SI. So sprobujmy innego sposobu.
Kolejnym sposobem na wykrycie SI jest uzycie w progu nazw
zarejestrowanych juz dla debuggera w pamieci i sprawdze
nie wyniku operacji. Sposob ten opisany jest gdzies na
site'ach CrackPL. Sprowadza sie on do tego, ze prog usiluje
stworzyc plik o nazwach driverow SI (SICE i NTICE), so
jesli sa juz one w pamieci to te operacje zakoncza
sie niepowodzeniem(funkcja API zwroci w rejestrze EAX -1)
Jak ominac to zabezpieczenie. To proste - uruchamiamy jakie
gos hexedita i zamieniamy wszystkie powyzsze stringi w
pliku winice.exe na jakies inne np:SICF, NTICF itp.
So jak juz to zrobilismy sprawdzamy czy wsio dziala.
Ok formularz rejestracyjny pokazuje sie nam na ekranie.
Wpisujemy nasze 'dane' np. Ptasiek i 112223333 i wchodzi-
my do SI. Ustawiamy breakpointy na standardowe funkcje
textowe(getwindowtexta,getdlgitemtexta itp.). Naciskamy OK
i jestesmy spowrotem w SI. Sprawdzamy rejestr EAX:
-------------------------
Funkcja GetWindowTextA i GetdlgitemTextA zwracaja dlugosc
odczytanego textu w rejestrze EAX
-------------------------
Hm, dziwne naszych stringow raczej to nie przypomina.
Podejdzmy wie cdo problemy bardziej intelligencko:
Kasujemy wsie breakpointy i ustawiamy nowy na funkcje
hmemcpy - juz widze te zalamane postacie.
Po kolejnym OK maraton w naciskaniu F12 i jestesmy w kodzie
P2000PRO. Szukamy teraz naszych stringow:
s ds:0 l ffffff 'Ptasiek'
s ds:0 l ffffff '112223333'
I-y SI znajduje ale drugiego niestety nie. So przejdzmy
sie nieco po kodzie(F10) i pare razy szukajmy naszego
wpisanego seriala.
Znajdujemy go wpisanego trzy razy - na kazdy adres zastawia
my breakpoint(bpm wystarczy):
bpm adres_w_pamieci RW
OK. I jedziemy dalej. Co chwila SI zatrzymuje wykonywanie
instrukcji kodu na jednym breakpoincie - sprawdzmy czy
zawartosc adresu sie nie zmienila - oczywiscie teraz sa
tam jakies smieci. Sprawdzmy czy nasz wpisany serial nie
zostal jeszcze gdzies zapisany w pamieci:
s ds:0 l ffffff '112223333'
Okazuje sie, ze nie so kasujemy pulapke na tym adresie
i idziemy dalej F5 pozostawiajac dwa pozostale.
Adresy te to:
F23164
F23FB4
F29560
W koncu dochodzimy do 40404f, gdzie nastepuje porownanie
fragmentu naszego seriala pobranego wczesniej z jednego
z ww. adresow z czyms fajnym. Po przeanalizowaniu faktow
okazuje sie, ze nasz bledny serial jest w [ESI] , a
prawdziwy w [EDI]. Spisujemy go rejestrujemy i all is OK.
Jesli komus bedzie sie chcialo przesledzic program
setp by step(F10) to natknie sie na shitliste, gdzie
takie nicki jak GustawKit czy Emotion13 sa wyrzucone
poza margines legalnych uzytkownikow tego programu.
To tyle na dzis. Jezeli ktos bedzie sie wsciekal o ten
tut to jego sprawa. W koncu powolaniem crackerow jest
dzialac pro publico bono jednak skoro idea CrackPL jest
niepublikowanie seriali w tutorach so ja sie podporzadkowy
wuje.
IMHO - gdyby P2000PRO byl mi do czegos potrzebny z checia
fundnalbym autorowi registration fee. No ale gdybac to sobie
mozna.
Koniec(na razie)
Ptasiek
dreadpl@polbox.com
ptasiek1@friko.internet.pl
Someone was seeking for me. So I came.