The Italian CRaCKiNG Encyclopedia  vol. 5
                       -------------------------------
                          -------------------------
                            CRaCKiNG VB5 Programs
                               ---------------
                                  ---------
                                     ---

                                  Scritto da 

                              ---==: ALoR :==--- 
                 ---==>  Proud member of NEURO ZONE 2  <==---

                                 Gennaio 1999



                                 Target = **

   (*=Lamer, **=Novizio, ***=Apprendista, ****=Esperto, *****=CrackMaster)


==============================================================================

Table of context :

1.0  Disclaimer.
2.0  I tools necessari.
3.0  Il linguaggio VB.
4.0  Stringhe in VB5.
5.0  Pre-SmartCheck era.
6.0  Ora c'e' SmartCheck.
7.0  Conclusioni

==============================================================================


-----------------
 1.0  DISCLAIMER
-----------------

Every reference to facts, things or persons (virtual, real or esoteric) are 
purely casual and involuntary. Any trademark nominated here is registered or 
copyright of their respective owners. The author of this manual does not 
assume any responsability on the content or the use of informations retriven 
from here; he makes no guarantee of correctness, accuracy, reliability, safety
or performance. This manual is provided "AS IS" without warranty of any kind.
You alone are fully responsible for determining if this page is safe for use 
in your environment and for everything you are doing with it! 


Solita palla lo so....



------------------------
 2.0  I TOOLS NECESSARI
------------------------

Per crackare un programma scritto in VB5 sono necessari:

     * SmartCheck 5.0 or higher

     * Soft-Ice 3.2 or higher (opzionale)

tutto qui...
Vedremo in seguito come i maghi della Numega siano riusciti a fare un prg. che
rende la vita di noi crackers assai facile.
     

-----------------------
 3.0  IL LINGUAGGIO VB
-----------------------

Per cominciare diamo una rapida occhiata a come e' strutturato un VB5 prg.
Visual Basic produce eseguibili interpretati e non veri e propri compilati 
come as esempio Visual C++.
Un linguaggio interpretato quindi non puo' essere distribuito senza le apposite
DLL di runtime (circa 3 Mb per la ver 5) che servono appunto ad interpretare 
le richieste del programma e a passarle al sistema operativo.
Il vero lavoro e' dunque compiuto dalle DLL di runtime e non dal prg.
Infatti decompilando un prg fatto in VB non si cava un ragno dal buco !!! 
Ci ritroveremo di fronte a migliaia di chiamate a DLL che non ci dicono nulla 
di interessante (comparazione d stringhe... ecc...) su quello che avviene all
interno del programma.
Le DLL principalmente interessate sono:

    vbrun300.dll - VB3 (16-bit)
    vb40016.dll  - VB4 (16-bit) 
    vb40032.dll  - VB4 (32-bit)
    msvbvm50.dll - VB5 (32-bit) 

Quindi se volessimo usare Soft-ice (ma perche' ??? ora c'e' SmartCheck !!) con
un prg scritto in VB dovremo aggiungere al file winice.dat le dll sopracitate
come export per i simboli. Cosi' potremmo piazzare breakpoint sulle funzioni 
di Visual Basic.


----------------------
 4.0  STRINGHE IN VB5
----------------------

Piazzare un breakpoint su Hmemcpy in un VB5prg e' da suicidio !!! 
Istantaneamente ci ritroveremo a navigare in quell'inferno che il nostro amico
Bill Gate$ ha soprannominato simpaticamente: msvbvm50.dll. Perdendo cosi' di 
vista il nostro obbiettivo: il confronto tra stringhe.
Dobbiamo poi tenere conto che VB5 salva le stringhe in formato Wide, cioe' con
uno spazio (0x20) tra una lettera e l'altra.

Stringa ordinaria: ALOR (0x41 0x4C 0x4F 0x52).
Wide Character Format: A L O R (0x41 0x20 0x4C 0x20 0x4F 0x20 0x52). 

In questo caso puo' essere utile il breakpoint su MultiByteToWideChar. 
Mettendo questo BP in Soft-ice ci ritroveremo nel solito msvbvm50.dll e nei 
registri EAX e EBX possiamo notare la lunghezza della stringa inserita. Se non
e' quella corretta provare con Ctrl+D... fino alla lunghezza corretta.
A questo con un po' di fortuna ci ritroveremo nel data segment la nostra 
stringa e li intorno da qualche parte quella giusta.


-------------------------
 5.0  PRE-SMARTCHECK ERA
-------------------------

Prima della venuta di nel nostro salvatore... (smartcheck) si viveva in un 
epoca oscura... dove i programmi VB erano come fumo negli occhi per i "reverse
engineers"...
ok. basta stronzate...
Come accennato prima i programmi VB sono interpretati e quindi il loro lavoro 
e' svolto dalle DLL di runtime. Quindi e' inutile arrovellarsi il cervello per
cercare di trovare la procedura di check all'interno del programma.
Cerchiamola direttamente nelle DLL !! E siccome non credo che quelli che hanno
codato VB si siano divertiti a fare 150 funzioni diverse per comparare le 
stringhe... non sara' poi cosi' difficile trovarla, visto che tutti i prg 
usano la STESSA funzione.
Stessa funzione vuol dire stesso indirizzo (o al massimo due) per ogni prg.
Quindi crackare questo tipo di prg vorra' dire piazzare il solito breakpoint 
nel solito posto OGNI volta.


*** VB4 checking (WideChar) routine ***

* Referenced by a CALL at Address:
|:0F73CD83   
|
:0F79B348 56          push esi
:0F79B349 57          push edi
:0F79B34A 8B7C2410    mov edi, dword ptr [esp+10]
:0F79B34E 8B74240C    mov esi, dword ptr [esp+0C]
:0F79B352 8B4C2414    mov ecx, dword ptr [esp+14]
:0F79B356 33C0        xor eax, eax
:0F79B358 F3          repz                        <--- qui compara le
:0F79B359 66A7        cmpsw                       <--- stringhe WideChar
:0F79B35B 7405        je 0F79B362
:0F79B35D 1BC0        sbb eax, eax
:0F79B35F 83D8FF      sbb eax, FFFFFFFF

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0F79B35B(C)
|
:0F79B362 5F          pop edi
:0F79B363 5E          pop esi
:0F79B364 C20C00      ret 000C


*** VB5 checking (WideChar) routine ***

* Referenced by a CALL at Address:
|:0F0035A6   
|
:0F00D9EA 56         push esi
:0F00D9EB 57         push edi
:0F00D9EC 8B7C2410   mov edi, dword ptr [esp+10]
:0F00D9F0 8B74240C   mov esi, dword ptr [esp+0C]
:0F00D9F4 8B4C2414   mov ecx, dword ptr [esp+14]
:0F00D9F8 33C0       xor eax, eax
:0F00D9FA F3         repz                        <--- qui compara le   
:0F00D9FB 66A7       cmpsw                       <--- stringhe WideChar
:0F00D9FD 7405       je 0F00DA04
:0F00D9FF 1BC0       sbb eax, eax
:0F00DA01 83D8FF     sbb eax, FFFFFFFF

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0F00D9FD(C)
|
:0F00DA04 5F         pop edi
:0F00DA05 5E         pop esi
:0F00DA06 C20C00     ret 000C


Ma guarda un po'... sembrano uguali... anzi SONO UGUALI !!! 
Quindi non solo una procedura per tutti i VB5 ma anche per i VB4 !!!

Per ulteriori informazioni vi rimando alla guida "How to crack all visual 
basic programs" di razzia della +HCU.


--------------------------
 6.0  ORA C'E' SMARTCHECK
--------------------------

Trovare la giusta stringa non sembrava tanto difficile... fino a quando e'
arrivato SmartCheck. Ora e' addirittura una cazzata !!!
Come dicono fravia+ e +HCU "Like watching a movie!" :)
Analizziamo allora il nostro nuovo "strumento" di reverse enjeneering.

SmartCheck e' un debugger run-time per Visual Basic che permette di avere info
su errori del programma, parametri passati alle funzioni e un dettagliato 
elenco degli eventi del programma.
Siccome quelli della Numega non hanno confezionato un programma esplicitamente
per i cracker, innanzitutto dovremo settarlo a dovere. 
Quindi una volta caricato l'eseguibile, andiamo sul menu Program | Settings...
checkare tutte la caselle in "Reporting" tranne quella del MouseMove, in 
"Error Detecrion" | Advanced, report error even if... e NON suppress system... 
Salvate queste impostazioni come di default e chiudete la finestra di dialogo.
And now watch at the movie!!! :)))

Eseguendo un programma con SmartCheck potremo notare sulla parte sinistra 
tutti (e dico TUTTI) gli eventi del programma. Dal form.load ai text.keypress
ai label.caption alle funzioni di formattazione (lenght(), trim(), hex(), ecc)
alle funzioni di calcolo, insomma quando dico tutto... intendo anche il numero
di scarpe del programmatore... :)))
Sulla parte destra della schermata si possono invece controllare i valori dei
parametri passati alle funzioni e quelli ritornati.
Per di piu' sempre nello stesso pannello ci dice anche l'indirizzo in cui e' 
chiamata la funzione in esame.

Cosa possiamo chiedere di piu' ?? Sappiamo dove e cosa sta facendo il nostro
prg da "analizzare"... Io direi che in questa maniera il cracking dei VB5 prg 
e' davvero fin troppo facile e senza quell'ingrediente che spinge un cracker a
portare a termine il suo lavoro: LA SFIDA !!

Il primo prg che ho crackato con SmartCheck e' stato cosi gentile da dirmi lui 
il codice giusto.... e' bastato guardare i valori passati dall'elemento 
cod.text (che fantasia...) e cioe' il mio codice e quello giusto... e il gioco
era fatto.... :))



------------------
 7.0  CONCLUSIONI
------------------

Il prossimo numero probabilmente trattera' le istruzioni assembler. Tanto ne
abbiamo parlato in questi volumi, a volte dandole per scontate, ma non le
abbiamo mai analizzate in profondita'. Da qui nascera' il sesto volume.
Se avete suggerimenti per eventuali vol successivi, contattatemi pure via 
mail all'indirizzo: ALoR@thepentagon.com


              "If you give a man a crack he'll be hungry again
               tomorrow, but if you teach him how to crack, he'll
               never be hungry again"
                                                 +ORC


       .-.                                                         .-.
      /   \           .-.                           .-.           /   \
     /     \         /   \       .-.     .-.       /   \         /     \
 ---/-------\-------/-----\-----/---\---/---\-----/-----\-------/-------\---
   /         \     /       \   /     `-'     \   /       \     /         \
  /           \   /         `-'               `-'         \   /           \
 /             `-'                                         `-'             \

Greetings to:   LordKasKo  (my cracking teacher...)


                The other NEURO ZONE 2 members (10t8or, DK2DEnd, LordKasKo,
                                                MaPHas, Ob1, XXXX, ZenGa)

                All the Cracker on the NET from whom I have learned something.

==============================================================================

               .________   ._ 
              /  .__    ) /  /      .________   ._____  
             /  (___)  / /  /      /  .__    ) /  ._  ) ..: .    .   .      .
            /  .___   / /  /      /  /   )  / /  / /_/ .. : : .         . 
           /  /   /  / /  /____  /  /___/  / /  /    :: .:: . . .    .  
          (__/   (__/ (________)(_________/ (__/   .:. : . :  .   .    .
 
            --==> ALoR <==---------------------- -  -   - 
                                  ICQ: 10666678    In IRC: WhiteFly

          e-mail: ALoR@thepentagon.com     www: http://ALoR.home.ml.org
                                                http://ALoR.cjb.net

==============================================================================