home *** CD-ROM | disk | FTP | other *** search

---

/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / +Sandman / mushy1.txt

< prev

next >

Wrap

Text File  |  2000-05-25  |  29KB  |  599 lines

---

1. Essay : Cracking 99% of all Time Trials - Written by Mushy.
2.  
3. The Call Flow Approach :-
4.  
5. What is a call flow ?
6. *********************
7. When a program is run or executed, it runs through a series of
8. functions, procedures and instructions (both procedures
9. and functions are collections of instructions that are
10. grouped together to save space and time). A call flow
11. is a listing or diagram of the path a program takes
12. when it executes. This path can be different depending
13. on the circumstances when the program was run. Imagine
14. six procedures as follows :
15.  
16. 1.) GetSystemTime. (Checks the system time).
17. 2.) Installed. (Checks when you installed the program).
18. 3.) Expired. (Displays an expired message).
19. 4.) DaysLeft. (Displays the message 'you have % days left').
20. 5.) Halt. (Quits the program).
21. 6.) Main. (The main program).
22.  
23. Using the procedures, the psuedo asm code of a Time Trial 
24. protection would be something like this :
25.  
26. 00000001 :Call GetSystemTime.
27. 00000002 :Call Installed.
28. 00000003 :if (GetSystemTime - Installed) is greater than 30 days then
29. 00000004 :   Call Expired,
30. 00000005 :   Jmp Halt.
31. 00000006 :otherwise
32. 00000007 :   Call DaysLeft,
33. 00000008 :   Jmp Main.
34.  
35. This would look something like this in real terms :
36.  
37. Call 041829B0 (GetSystemTime)
38. Call 0492832C (Installed)
39. Cmp  Ax,Bx    (if statement)
40. JL   04927435 (Jump or No Jump, depending on values ax and bx)
41. Call 04348234 (Expired)
42. Jmp  0432833C (Halt)
43. ---JL Address---
44. Call 04583BC0 (DaysLeft Message)
45. Jmp  042392BC (Main Program) 
46.  
47.  
48. If you look at the above code you will see that the way the
49. program runs depends on the values of ax and bx before the JL
50. command. The problem is that in a large disassembly of code it
51. is often difficult to find the right place to patch because there
52. are so many cmp/jl or cmp/jne occurances. So how do we go about
53. finding the correct location ?
54.  
55.  
56. Finding the right location.
57. ***************************
58.  
59. Using the above code we can generate two possible program flows.
60. When you are still in the 30 day trial period, the call flow 
61. would look like this :
62.  
63. GetSystemTime
64. Installed
65. Cmp ax,bx
66. JL (Jump)
67. DaysLeft
68. Main.
69.  
70. When the trial period has expired the call flow would look like
71. this :
72.  
73. GetSystemTime
74. Installed
75. Cmp ax,bx
76. JL ( No Jump )
77. Expired
78. Halt.
79.  
80. Using these two listings we can see that up until the JL command,
81. everything is the same, except that the first listing Jumps and
82. the second listing doesn`t. The JL command is dependant on the
83. value of ax and bx. To crack a time trial, all we have to do
84. is to either change the value of ax and bx (The correct way) so 
85. that you will always have a trial period (Or) change the JL to a
86. Jmp and force the program to use the path of the first call flow.
87.  
88.  
89. Ok,I understand the principle. Now show me how to do it ?
90. *********************************************************
91.  
92. The tools we need :
93.  
94. SoftIce v3.23 installed with the Symbol Loader.
95. A hex editor.
96. (No disassembler is needed)
97.  
98. Firstly, load up the symbol loader that is installed with softice.
99. You can find it in the folder on the taskbar. Go to the file
100. menu in the symbol loader and click on 'open module'. Then find and
101. click on the Executable file / Program that you wish to crack. 
102. Once this has been done, go to the Module menu and click on Load 
103. Module. Normally, this will greet you with an error message telling 
104. you that an error has occured during sysmbol translation. Just click 
105. on 'Yes' to continue loading the exe file. Softice will now break due
106. to symbol loader which can be confirmed by looking in the information
107. window. You will also see a lot of lines in the code window that will
108. look like this :
109.  
110. FFFF INVALID
111. FFFF INVALID
112. FFFF INVALID
113. FFFF INVALID
114. FFFF INVALID
115.  
116. etc,.......
117.  
118.  
119. Ignore this,.... it is not an error. It is just displaying an area in
120. memory that softice can`t determine yet. At this moment we are just
121. going to set up softice so that it displays what we want in the
122. command window. (Remember that everything in the command window
123. is logged). 
124.  
125.  
126. Step 1 : Close the code window.
127. *******************************
128. Start by typing 'wc' in softice. This command toggles
129. the code window. We DONT want the code window to display, so make
130. sure that this window is closed. You can also close this window by
131. using the mouse. You can so this by clicking on the top edge of the
132. window that you want to close and drag it upwards as far as it will
133. go. This will make the window disappear.
134.  
135.  
136. Step 2 : Set a breakpoint on GetSystemTime.
137. *******************************************
138. We now need to set a breakpoint on GetSystemTime (One of the many
139. used api functions to return the current Date and Time). You can
140. set the breakpoint by typing 'BPX GetSystemTime' in the command
141. window now. By the way,... GetSystemTime is just the address of
142. the function. If you knew what the address of the function was,
143. you could also of typed 'BPX 004283CD' etc,..... This means that
144. you can also add an offset to a BPX for example 'BPX GetSystemTime + 4'.
145. This will break at an offset of 4 from the start of the function.
146.  
147.  
148. Step 3 : Continue loading the program.
149. **************************************
150. Now that you have set the breakpoint in softice (BPX GetSystemTime), it
151. is time to let the program continue to load and run. All you have to do 
152. is to press CTRL and D together. As the program continues to load and
153. run, eventually it will execute the Function 'GetSystemTime'. When 
154. this happens, softice will pop up and pause the program at the beginning
155. of the Function. You will see the text 'BPX due to KERNEL32!GetSystemTime'
156. appear in the command window. We are now in the correct place to start 
157. logging.
158.  
159.  
160. Step 4 : Step out of the Function.
161. **********************************
162. Now that you are placed at beginning of the function 'GetSystemTime'.
163. We need to step past it, so that we are at the next asm command
164. directly after the whole function has executed. (Note: The function
165. 'GetSystemTime' is part of the Kernel32.dll found in the windows
166. system directory). This function will always run the same set of
167. commands regardless of the computers state, therefore we do not need 
168. to log the commands of this function. To step to the very next asm
169. instruction after the function, all you need to do is press F11
170. (Function key 11) once. It is at this point that things start to get
171. interesting. 
172.  
173.  
174. Step 5 : Log all commands, up until the nag screen.
175. ***************************************************
176. It`s now time to log everything. All you have to do is step through
177. the code by pressing F10 (Function key 10) until the nag screen
178. that display`s 'You have % day`s left' appear. You can hold down
179. F10 until the screen pops up. You will notice that all the lines
180. of executed code are displayed in the command window. All of this
181. information is being logged in the softice Buffer.
182.  
183.  
184. Step 6 : Save the log file.
185. ***************************
186. When the nag screen appears, it is time to save the first log file.
187. You do this by clicking on the softice symbol loader that should
188. still be loaded. It may be minimised at the bottom of your screen. If
189. so, then just maximise it and go to the File Menu and click on
190. 'Save softice history as,...'. Save this file as Log1.txt . If you
191. load this file into a text editor like wordpad or notepad, you will
192. see that it has logged the command windows activity from softice. This
193. is our 'First Call Flow' file. Get the idea :-).....
194.  
195.  
196. Step 7 : Set the date forward and do it all again.
197. **************************************************
198. What you need to do now is to create a second call log file, but
199. this time you need to set the date of your system forwards so that
200. the time trial will show the expired message. :-). This will force
201. the flow of the program to take a different path sometime after the
202. 'GetSystemTime' Function, but before the nag screen appears.
203.  
204.  
205. Step 8 : Compare the two log files.
206. ***********************************
207. After you have completed all the steps again and saved a second log
208. file, you need to compare them. Below, I have included two sample
209. log files from a new Micro$oft drawing package that supposedly is
210. well protected. :
211.  
212. LOG FILE 1. ( You have % days left )
213. ***********
214. Break due to BPX KERNEL32!GetSystemTime  (ET=33.15 milliseconds)
215. Break due to G (ET=383.02 microseconds)
216. 015F:78026B90  663B0512870378      CMP     AX,[78038712]
217. 015F:78026B97  756B                JNZ     78026C04                  (JUMP )
218. 015F:78026C04  8D8534FFFFFF        LEA     EAX,[EBP-00CC]
219. 015F:78026C0A  50                  PUSH    EAX
220. 015F:78026C0B  FF1540D10278        CALL    [KERNEL32!GetTimeZoneInformation]
221. 015F:78026C11  83F8FF              CMP     EAX,-01
222. 015F:78026C14  7430                JZ      78026C46                  (NO JUMP)
223. 015F:78026C16  83F802              CMP     EAX,02
224. 015F:78026C19  7527                JNZ     78026C42                  (NO JUMP)
225. 015F:78026C1B  66837DCE00          CMP     WORD PTR [EBP-32],00
226. 015F:78026C20  7420                JZ      78026C42                  (NO JUMP)
227. 015F:78026C22  837DDC00            CMP     DWORD PTR [EBP-24],00
228. 015F:78026C26  741A                JZ      78026C42                  (NO JUMP)
229. 015F:78026C28  6A01                PUSH    01
230. 015F:78026C2A  58                  POP     EAX
231. 015F:78026C2B  56                  PUSH    ESI
232. 015F:78026C2C  57                  PUSH    EDI
233. 015F:78026C2D  8D75E0              LEA     ESI,[EBP-20]
234. 015F:78026C30  BF08870378          MOV     EDI,78038708
235. 015F:78026C35  A5                  MOVSD
236. 015F:78026C36  A5                  MOVSD
237. 015F:78026C37  A5                  MOVSD
238. 015F:78026C38  A5                  MOVSD
239. 015F:78026C39  5F                  POP     EDI
240. 015F:78026C3A  A300870378          MOV     [78038700],EAX
241. 015F:78026C3F  5E                  POP     ESI
242. 015F:78026C40  EB90                JMP     78026CD2                  (JUMP )
243. 015F:78026BD2  50                  PUSH    EAX
244. 015F:78026BD3  0FB745FC            MOVZX   EAX,WORD PTR [EBP-04]
245. 015F:78026BD7  50                  PUSH    EAX
246. 015F:78026BD8  0FB745FA            MOVZX   EAX,WORD PTR [EBP-06]
247. 015F:78026BDC  50                  PUSH    EAX
248. 015F:78026BDD  0FB745F8            MOVZX   EAX,WORD PTR [EBP-08]
249. 015F:78026BE1  50                  PUSH    EAX
250. 015F:78026BE2  0FB745F6            MOVZX   EAX,WORD PTR [EBP-0A]
251. 015F:78026BE6  50                  PUSH    EAX
252. 015F:78026BE7  0FB745F2            MOVZX   EAX,WORD PTR [EBP-0E]
253. 015F:78026BEB  50                  PUSH    EAX
254. 015F:78026BEC  0FB745F0            MOVZX   EAX,WORD PTR [EBP-10]
255. 015F:78026BF0  50                  PUSH    EAX
256. 015F:78026BF1  E8EE000000          CALL    78026CE4
257. 015F:78026BF6  8B4D08              MOV     ECX,[EBP+08]
258. 015F:78026BF9  83C41C              ADD     ESP,1C
259. 015F:78026BFC  85C9                TEST    ECX,ECX
260. 015F:78026BFE  7402                JZ      78026C02                  (NO JUMP)
261. 015F:78026C00  8901                MOV     [ECX],EAX
262. 015F:78026C02  C9                  LEAVE
263. 015F:78026C03  C3                  RET
264. 015F:300D2072  83C404              ADD     ESP,04
265. 015F:300D2075  8D4C2410            LEA     ECX,[ESP+10]
266. 015F:300D2079  51                  PUSH    ECX
267. 015F:300D207A  FF15B4841030        CALL    [301084B4]
268. 015F:300D2080  83C404              ADD     ESP,04
269. 015F:300D2083  8BF0                MOV     ESI,EAX
270. 015F:300D2085  8D54243C            LEA     EDX,[ESP+3C]
271. 015F:300D2089  B909000000          MOV     ECX,00000009
272. 015F:300D208E  8D7C2418            LEA     EDI,[ESP+18]
273. 015F:300D2092  8D442418            LEA     EAX,[ESP+18]
274. 015F:300D2096  52                  PUSH    EDX
275. 015F:300D2097  50                  PUSH    EAX
276. 015F:300D2098  F3A5                REPZ MOVSD
277. 015F:300D209A  E8E1FDFFFF          CALL    300D1E80
278. 015F:300D209F  83C408              ADD     ESP,08
279. 015F:300D20A2  85C0                TEST    EAX,EAX
280. 015F:300D20A4  7E19                JLE     300D20BF                  (JUMP )
281. 015F:300D20BF  8D442460            LEA     EAX,[ESP+60]
282. 015F:300D20C3  8D4C2418            LEA     ECX,[ESP+18]
283. 015F:300D20C7  50                  PUSH    EAX
284. 015F:300D20C8  51                  PUSH    ECX
285. 015F:300D20C9  E8B2FDFFFF          CALL    300D1E80
286. 015F:300D20CE  83C408              ADD     ESP,08
287. 015F:300D20D1  85C0                TEST    EAX,EAX
288. 015F:300D20D3  7E33                JLE     300D2108                  (JUMP )
289. 015F:300D2108  6820D91630          PUSH    3016D920
290. 015F:300D210D  E83EFCFFFF          CALL    300D1D50
291. 015F:300D2112  83C404              ADD     ESP,04
292. 015F:300D2115  85C0                TEST    EAX,EAX
293. 015F:300D2117  7410                JZ      300D2129                  (JUMP )
294. 015F:300D2129  391D20D91630        CMP     [3016D920],EBX
295. 015F:300D212F  0F85D6010000        JNZ     300D230B                  (JUMP )
296. 015F:300D230B  6A4C                PUSH    4C
297. 015F:300D230D  6824D91630          PUSH    3016D924
298. 015F:300D2312  E8E9F9FFFF          CALL    300D1D00
299. 015F:300D2317  8B0D20D91630        MOV     ECX,[3016D920]
300. 015F:300D231D  83C408              ADD     ESP,08
301. 015F:300D2320  3BC1                CMP     EAX,ECX
302. 015F:300D2322  0F841DFEFFFF        JZ      300D2145                  (JUMP )
303. 015F:300D2145  8D542418            LEA     EDX,[ESP+18]
304. 015F:300D2149  6848D91630          PUSH    3016D948
305. 015F:300D214E  52                  PUSH    EDX
306. 015F:300D214F  E82CFDFFFF          CALL    300D1E80
307. 015F:300D2154  83C408              ADD     ESP,08
308. 015F:300D2157  85C0                TEST    EAX,EAX
309. 015F:300D2159  7D26                JGE     300D2181                  (JUMP )
310. 015F:300D2181  803DA480163003      CMP     BYTE PTR [301680A4],03
311. 015F:300D2188  0F876D010000        JA      300D22FB                  (NO JUMP)
312. 015F:300D218E  8BAC24D0000000      MOV     EBP,[ESP+000000D0]
313. 015F:300D2195  C745009F860100      MOV     DWORD PTR [EBP+00],0001869F
314. 015F:300D219C  A0A4801630          MOV     AL,[301680A4]
315. 015F:300D21A1  A801                TEST    AL,01
316. 015F:300D21A3  744B                JZ      300D21F0                  (NO JUMP)
317. 015F:300D21A5  33C0                XOR     EAX,EAX
318. 015F:300D21A7  8D4C2418            LEA     ECX,[ESP+18]
319. 015F:300D21AB  A0A5801630          MOV     AL,[301680A5]
320. 015F:300D21B0  51                  PUSH    ECX
321. 015F:300D21B1  6824D91630          PUSH    3016D924
322. 015F:300D21B6  8D3440              LEA     ESI,[EAX*2+EAX]
323. 015F:300D21B9  C1E603              SHL     ESI,03
324. 015F:300D21BC  E85FFDFFFF          CALL    300D1F20
325. 015F:300D21C1  83C408              ADD     ESP,08
326. 015F:300D21C4  3BC3                CMP     EAX,EBX
327. 015F:300D21C6  0F8C2F010000        JL      300D22FB                  (NO JUMP)
328. 015F:300D21CC  3BC6                CMP     EAX,ESI
329. 015F:300D21CE  7C0A                JL      300D21DA                  (NO JUMP)
330. 015F:300D21D0  BB04000000          MOV     EBX,00000004
331. 015F:300D21D5  E9E6000000          JMP     300D22C0                  (JUMP )
332. 015F:300D22C0  8B4500              MOV     EAX,[EBP+00]
333. 015F:300D22C3  33C9                XOR     ECX,ECX
334. 015F:300D22C5  8A0DA9801630        MOV     CL,[301680A9]
335. 015F:300D22CB  3BC1                CMP     EAX,ECX
336. 015F:300D22CD  7F05                JG      300D22D4                  (JUMP )
337. 015F:300D22D4  6A4C                PUSH    4C
338. 015F:300D22D6  6824D91630          PUSH    3016D924
339. 015F:300D22DB  E820FAFFFF          CALL    300D1D00
340. 015F:300D22E0  83C408              ADD     ESP,08
341. 015F:300D22E3  A320D91630          MOV     [3016D920],EAX
342. 015F:300D22E8  6820D91630          PUSH    3016D920
343. 015F:300D22ED  E80EFBFFFF          CALL    300D1E00
344. 015F:300D22F2  83C404              ADD     ESP,04
345. 015F:300D22F5  85C0                TEST    EAX,EAX
346. 015F:300D22F7  8BC3                MOV     EAX,EBX
347. 015F:300D22F9  7505                JNZ     300D2300                  (JUMP )
348. 015F:300D2300  5F                  POP     EDI
349. 015F:300D2301  5E                  POP     ESI
350. 015F:300D2302  5D                  POP     EBP
351. 015F:300D2303  5B                  POP     EBX
352. 015F:300D2304  81C4BC000000        ADD     ESP,000000BC
353. 015F:300D230A  C3                  RET
354. 015F:3000ADB6  8BF0                MOV     ESI,EAX
355. 015F:3000ADB8  83C404              ADD     ESP,04
356. 015F:3000ADBB  8D46FF              LEA     EAX,[ESI-01]
357. 015F:3000ADBE  83F805              CMP     EAX,05
358. 015F:3000ADC1  773D                JA      3000AE00                  (NO JUMP)
359.  
360.  
361.  
362. LOG FILE 2. ( The demo has expired )
363. ***********
364. KERNEL32!GetSystemTime
365. Break due to G (ET=380.57 microseconds)
366. 015F:78026B8C  668B45EA            MOV     AX,[EBP-16]
367. 015F:78026B90  663B0512870378      CMP     AX,[78038712]
368. 015F:78026B97  756B                JNZ     78026C04                  (JUMP )
369. 015F:78026C04  8D8534FFFFFF        LEA     EAX,[EBP-00CC]
370. 015F:78026C0A  50                  PUSH    EAX
371. 015F:78026C0B  FF1540D10278        CALL    [KERNEL32!GetTimeZoneInformation]
372. 015F:78026C11  83F8FF              CMP     EAX,-01
373. 015F:78026C14  7430                JZ      78026C46                  (NO JUMP)
374. 015F:78026C16  83F802              CMP     EAX,02
375. 015F:78026C19  7527                JNZ     78026C42                  (NO JUMP)
376. 015F:78026C1B  66837DCE00          CMP     WORD PTR [EBP-32],00
377. 015F:78026C20  7420                JZ      78026C42                  (NO JUMP)
378. 015F:78026C22  837DDC00            CMP     DWORD PTR [EBP-24],00
379. 015F:78026C26  741A                JZ      78026C42                  (NO JUMP)
380. 015F:78026C28  6A01                PUSH    01
381. 015F:78026C2A  58                  POP     EAX
382. 015F:78026C2B  56                  PUSH    ESI
383. 015F:78026C2C  57                  PUSH    EDI
384. 015F:78026C2D  8D75E0              LEA     ESI,[EBP-20]
385. 015F:78026C30  BF08870378          MOV     EDI,78038708
386. 015F:78026C35  A5                  MOVSD
387. 015F:78026C36  A5                  MOVSD
388. 015F:78026C37  A5                  MOVSD
389. 015F:78026C38  A5                  MOVSD
390. 015F:78026C39  5F                  POP     EDI
391. 015F:78026C3A  A300870378          MOV     [78038700],EAX
392. 015F:78026C3F  5E                  POP     ESI
393. 015F:78026C40  EB90                JMP     78026CD2                  (JUMP )
394. 015F:78026BD2  50                  PUSH    EAX
395. 015F:78026BD3  0FB745FC            MOVZX   EAX,WORD PTR [EBP-04]
396. 015F:78026BD7  50                  PUSH    EAX
397. 015F:78026BD8  0FB745FA            MOVZX   EAX,WORD PTR [EBP-06]
398. 015F:78026BDC  50                  PUSH    EAX
399. 015F:78026BDD  0FB745F8            MOVZX   EAX,WORD PTR [EBP-08]
400. 015F:78026BE1  50                  PUSH    EAX
401. 015F:78026BE2  0FB745F6            MOVZX   EAX,WORD PTR [EBP-0A]
402. 015F:78026BE6  50                  PUSH    EAX
403. 015F:78026BE7  0FB745F2            MOVZX   EAX,WORD PTR [EBP-0E]
404. 015F:78026BEB  50                  PUSH    EAX
405. 015F:78026BEC  0FB745F0            MOVZX   EAX,WORD PTR [EBP-10]
406. 015F:78026BF0  50                  PUSH    EAX
407. 015F:78026BF1  E8EE000000          CALL    78026CE4
408. 015F:78026BF6  8B4D08              MOV     ECX,[EBP+08]
409. 015F:78026BF9  83C41C              ADD     ESP,1C
410. 015F:78026BFC  85C9                TEST    ECX,ECX
411. 015F:78026BFE  7402                JZ      78026C02                  (NO JUMP)
412. 015F:78026C00  8901                MOV     [ECX],EAX
413. 015F:78026C02  C9                  LEAVE
414. 015F:78026C03  C3                  RET
415. 015F:300D2072  83C404              ADD     ESP,04
416. 015F:300D2075  8D4C2410            LEA     ECX,[ESP+10]
417. 015F:300D2079  51                  PUSH    ECX
418. 015F:300D207A  FF15B4841030        CALL    [301084B4]
419. 015F:300D2080  83C404              ADD     ESP,04
420. 015F:300D2083  8BF0                MOV     ESI,EAX
421. 015F:300D2085  8D54243C            LEA     EDX,[ESP+3C]
422. 015F:300D2089  B909000000          MOV     ECX,00000009
423. 015F:300D208E  8D7C2418            LEA     EDI,[ESP+18]
424. 015F:300D2092  8D442418            LEA     EAX,[ESP+18]
425. 015F:300D2096  52                  PUSH    EDX
426. 015F:300D2097  50                  PUSH    EAX
427. 015F:300D2098  F3A5                REPZ MOVSD
428. 015F:300D209A  E8E1FDFFFF          CALL    300D1E80
429. 015F:300D209F  83C408              ADD     ESP,08
430. 015F:300D20A2  85C0                TEST    EAX,EAX
431. 015F:300D20A4  7E19                JLE     300D20BF                  (JUMP )
432. 015F:300D20BF  8D442460            LEA     EAX,[ESP+60]
433. 015F:300D20C3  8D4C2418            LEA     ECX,[ESP+18]
434. 015F:300D20C7  50                  PUSH    EAX
435. 015F:300D20C8  51                  PUSH    ECX
436. 015F:300D20C9  E8B2FDFFFF          CALL    300D1E80
437. 015F:300D20CE  83C408              ADD     ESP,08
438. 015F:300D20D1  85C0                TEST    EAX,EAX
439. 015F:300D20D3  7E33                JLE     300D2108                  (JUMP )
440. 015F:300D2108  6820D91630          PUSH    3016D920
441. 015F:300D210D  E83EFCFFFF          CALL    300D1D50
442. 015F:300D2112  83C404              ADD     ESP,04
443. 015F:300D2115  85C0                TEST    EAX,EAX
444. 015F:300D2117  7410                JZ      300D2129                  (JUMP )
445. 015F:300D2129  391D20D91630        CMP     [3016D920],EBX
446. 015F:300D212F  0F85D6010000        JNZ     300D230B                  (JUMP )
447. 015F:300D230B  6A4C                PUSH    4C
448. 015F:300D230D  6824D91630          PUSH    3016D924
449. 015F:300D2312  E8E9F9FFFF          CALL    300D1D00
450. 015F:300D2317  8B0D20D91630        MOV     ECX,[3016D920]
451. 015F:300D231D  83C408              ADD     ESP,08
452. 015F:300D2320  3BC1                CMP     EAX,ECX
453. 015F:300D2322  0F841DFEFFFF        JZ      300D2145                  (JUMP )
454. 015F:300D2145  8D542418            LEA     EDX,[ESP+18]
455. 015F:300D2149  6848D91630          PUSH    3016D948
456. 015F:300D214E  52                  PUSH    EDX
457. 015F:300D214F  E82CFDFFFF          CALL    300D1E80
458. 015F:300D2154  83C408              ADD     ESP,08
459. 015F:300D2157  85C0                TEST    EAX,EAX
460. 015F:300D2159  7D26                JGE     300D2181                  (JUMP )
461. 015F:300D2181  803DA480163003      CMP     BYTE PTR [301680A4],03
462. 015F:300D2188  0F876D010000        JA      300D22FB                  (NO JUMP)
463. 015F:300D218E  8BAC24D0000000      MOV     EBP,[ESP+000000D0]
464. 015F:300D2195  C745009F860100      MOV     DWORD PTR [EBP+00],0001869F
465. 015F:300D219C  A0A4801630          MOV     AL,[301680A4]
466. 015F:300D21A1  A801                TEST    AL,01
467. 015F:300D21A3  744B                JZ      300D21F0                  (NO JUMP)
468. 015F:300D21A5  33C0                XOR     EAX,EAX
469. 015F:300D21A7  8D4C2418            LEA     ECX,[ESP+18]
470. 015F:300D21AB  A0A5801630          MOV     AL,[301680A5]
471. 015F:300D21B0  51                  PUSH    ECX
472. 015F:300D21B1  6824D91630          PUSH    3016D924
473. 015F:300D21B6  8D3440              LEA     ESI,[EAX*2+EAX]
474. 015F:300D21B9  C1E603              SHL     ESI,03
475. 015F:300D21BC  E85FFDFFFF          CALL    300D1F20
476. 015F:300D21C1  83C408              ADD     ESP,08
477. 015F:300D21C4  3BC3                CMP     EAX,EBX
478. 015F:300D21C6  0F8C2F010000        JL      300D22FB                  (NO JUMP)
479. 015F:300D21CC  3BC6                CMP     EAX,ESI
480. 015F:300D21CE  7C0A                JL      300D21DA                  (JUMP )
481. 015F:300D21DA  2BF0                SUB     ESI,EAX
482. 015F:300D21DC  B8ABAAAA2A          MOV     EAX,2AAAAAAB
483. 015F:300D21E1  F7EE                IMUL    ESI
484. 015F:300D21E3  C1FA02              SAR     EDX,02
485. 015F:300D21E6  8BC2                MOV     EAX,EDX
486. 015F:300D21E8  C1E81F              SHR     EAX,1F
487. 015F:300D21EB  03D0                ADD     EDX,EAX
488. 015F:300D21ED  895500              MOV     [EBP+00],EDX
489. 015F:300D21F0  F605A480163002      TEST    BYTE PTR [301680A4],02
490. 015F:300D21F7  0F84B3000000        JZ      300D22B0                  (JUMP )
491. 015F:300D22B0  B909000000          MOV     ECX,00000009
492. 015F:300D22B5  8D742418            LEA     ESI,[ESP+18]
493. 015F:300D22B9  BF48D91630          MOV     EDI,3016D948
494. 015F:300D22BE  F3A5                REPZ MOVSD
495. 015F:300D22C0  8B4500              MOV     EAX,[EBP+00]
496. 015F:300D22C3  33C9                XOR     ECX,ECX
497. 015F:300D22C5  8A0DA9801630        MOV     CL,[301680A9]
498. 015F:300D22CB  3BC1                CMP     EAX,ECX
499. 015F:300D22CD  7F05                JG      300D22D4                  (JUMP )
500. 015F:300D22D4  6A4C                PUSH    4C
501. 015F:300D22D6  6824D91630          PUSH    3016D924
502. 015F:300D22DB  E820FAFFFF          CALL    300D1D00
503. 015F:300D22E0  83C408              ADD     ESP,08
504. 015F:300D22E3  A320D91630          MOV     [3016D920],EAX
505. 015F:300D22E8  6820D91630          PUSH    3016D920
506. 015F:300D22ED  E80EFBFFFF          CALL    300D1E00
507. 015F:300D22F2  83C404              ADD     ESP,04
508. 015F:300D22F5  85C0                TEST    EAX,EAX
509. 015F:300D22F7  8BC3                MOV     EAX,EBX
510. 015F:300D22F9  7505                JNZ     300D2300                  (JUMP )
511. 015F:300D2300  5F                  POP     EDI
512. 015F:300D2301  5E                  POP     ESI
513. 015F:300D2302  5D                  POP     EBP
514. 015F:300D2303  5B                  POP     EBX
515. 015F:300D2304  81C4BC000000        ADD     ESP,000000BC
516. 015F:300D230A  C3                  RET
517. 015F:3000ADB6  8BF0                MOV     ESI,EAX
518. 015F:3000ADB8  83C404              ADD     ESP,04
519. 015F:3000ADBB  8D46FF              LEA     EAX,[ESI-01]
520. 015F:3000ADBE  83F805              CMP     EAX,05
521. 015F:3000ADC1  773D                JA      3000AE00                  (JUMP )
522.  
523.  
524. Step 9 : Find the first point where the two log files differ.
525. *************************************************************
526. You may have noticed that the two log files are identical until the address 015F:3000ADC1.
527. In the first log file, the command at this address doesn`t jump, but in the second log file,
528. the very same command Jumps. This is because the value of EAX at that point in time are
529. different in the two logs.
530. Have a look at the three lines of code :
531. LEA   EAX,[ESI-01]     This looks at the byte at the address ESI-01 and puts the value in EAX.
532. CMP   EAX,05           This looks to see if the value in EAX is equal to 5.
533. JA    3000AE00         Jump if Above to address 300AE00.
534.  
535.  
536. Step 10 : What do I do now ?
537. ****************************
538. We need to change the file so that the JA command does NOT jump. You can do this several ways.
539. The cheap`n`nasty way is to nop(No Operation) the 'JA 3000AE00' command by changing the two
540. values '77 3D' at address 015F:3000ADC1 to '90 90'. Although this will do the job most of the
541. time, the correct way is to lie to the rest of the program by changing the 'LEA EAX,[ESI-01]' 
542. which is 3 bytes long ,the 'CMP EAX,05' which is also 3 bytes and the 'JA' command (2 bytes)
543. , (8 bytes in total for the three asm commands) with the command 'MOV EAX,00000005' 
544. (5 bytes long) and 3 'NOP' commands (1 byte each). This ensures that the EAX register has the
545. correct value and you are replacing the same ammount of bytes in the program.
546.  
547.  
548. Step 11 : Pathcing the program.
549. *******************************
550. All that remains now is to load your program into your favourite Hex editor and search for
551. the pattern of bytes found in the log file for the LEA,CMP and JA commands and patch it.
552. For this example,....
553. Replace '8D46FF83F805773D' with 'B805000000909090'.
554.  
555. B805000000 = MOV EAX,05
556. 90         = NOP
557.  
558.  
559. Note : You may need to narrow down your search for these bytes by adding the two lines of 
560. bytes found above the asm code you are looking for into your search query.
561.  
562.  
563. Ending Note.
564. ************
565. This way of cracking which I call the 'Call Flow Method' has many other possibilities where
566. there are two states of execution.
567. For instance,.... 
568. Cracking CRC checking routines (Program modified/Not modified), 
569. Dongle protection (Dongle plugged in/Not plugged in), 
570. Three tries and your out password protection, 
571. Programs that only let you use a feature a certain number of times. 
572.  
573. I hope this tuorial will help people not only to speed up the cracking process, but also help
574. to understand HOW a program works and aid in the cracking of the more difficult targets.
575. I`m now off to drink loads of caffine and give my head a rest before starting my next
576. tut. 
577.  
578. L8R Mushy :-)
579.  
580.  
581.  
582. Greetz go to :
583. **************
584.  
585. The TCS Crew. (Best in the land ;-)
586. KM. (Only 1 more year to go : Freedom!!!!)
587. The Magician (Keep those degrees rolling and don`t let the fedz win.)
588. VnC (See ya at the show. Phone Me!!)
589. Everyone at +fravia`s msgbd.
590. Jeff (Great cracking board. Like the TIP of the day)
591.  
592.  
593.  
594.  
595.  
596.  
597.  
598.  
599.