home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / LiuTaoTao / crchk116.txt < prev    next >
Text File  |  2000-05-25  |  2KB  |  80 lines
  1. ╒Γ┤╬╬╥├╟╥¬╞╞╡─╚φ╝■╩╟ú║
  2. The software is
  3.  
  4.     ChkEXE v1.16    FreeWare from Hann0 Boeck <hanno@gmx.de>
  5.  
  6. ╘┌╦ⁿ╡─╦╡├≈╩Θ╓╨ú¼─π┐╔╥╘┐┤╡╜TR┐╔╥╘╞╞CHKEXE V1.14║═V1.15íú╨╗╨╗Hann0╢╘TR
  7. ╡─╠ß├√úíTR╥╗╢¿▓╗╗ß╚├Hann0╧╚╔·╩º═√ú¼╝ß╛÷░╤V1.16╥▓╞╞╡⌠úí╚├╬╥├╟┐┤┐┤╦ⁿ╙╨
  8. ╩▓├┤╨┬╦╝┬╖íú
  9. In its 'chkexe.doc' you can realize that TR can crack ChkEXE V1.15
  10. and V1.14. Now it is V1.16, whats new ?
  11.     --------------------------------------
  12. 1. ╩╫╧╚╗╣╩╟╚├╬╥├╟╙├TR v1.92╧╚╩╘╥╗╧┬ú¼
  13.    First, Lets try it with TR v1.92,
  14.  
  15.     TR chkexe.exe
  16.         g    ;just go and see what happen
  17.  
  18.   After a while, TR stops at
  19.  
  20.     cs:03f8    int 20    ;cd 20
  21.  
  22.   TR╘┌INT 20┤ª═ú╫íú¼▒¿╕µí░│╠╨≥╜ß╩°í▒íú┐╔╩╟╬╥╓¬╡└╒µ╒²╡─│╠╨≥╗╣├╗╘╦╨╨─╪ú¼
  23.   ╩▓├┤╡╪╖╜┤φ┴╦┬≡ú┐╚╦╚τ╞Σ╚φ╝■íúCHKEXE▓╗╓╗║²╫í┴╦TRú¼╥▓║²╫í┴╦╬╥íú╬╥╖╤┴╦
  24.   ╩«╢α╖╓╓╙╩▒╝Σ▓Θ╒╥TR╘┌┤╦╓«╟░│÷┴╦╩▓├┤▓ε┤φíú╫ε║≤╓╒╙┌├≈░╫TR├╗╙╨┤φú¼╓╗╩╟
  25.   ╒Γ╗╣├╗╙╨╜ß╩°ú¼┐╔╥╘╩╘╩╘ú║
  26.   and message "Program Terminate" appear.
  27.   Program terminated, whats wrong ? It took me more than 10 minutes
  28.   before I realize that TR made no mistake. ONly that this 'int 20'
  29.   will not terminate the program, you can test it:
  30.         
  31.         GG    ;even if 'int 20', run anyway
  32.  
  33.   CHKEXE╗╣╩╟╒²│ú╘╦╨╨┴╦úí
  34.   you can see chkexe do correctly.
  35.  
  36.   ┐┤╞≡└┤TR╨Φ╥¬╫≈╡─╕─╜°╛═╩╟╚τ║╬╓¬╡└╒Γ▓╗╩╟│╠╨≥╜ß╩°íú
  37.   What I should do to improve TR is let TR know this is not the end.
  38.  
  39.   ╚τ╣√╥╗╕÷│╠╨≥╨▐╕─┴╦INT 20╡─╓╨╢╧╧≥┴┐╚╗║≤INT 20ú¼TR╓¬╡└╒Γ▓╗╩╟│╠╨≥╜ß╩°
  40.   ▓ó╟╥╗ß╕·╡╜╙├╗º╓╨╢╧┤ª└φ│╠╨≥╓╨╚Ñíú╡½CHKEXE▓╗╩╟╒Γ╤∙╕╔ú¼╦ⁿ▓╗╕─╓╨╢╧╧≥┴┐ú¼
  41.   ╢°╩╟╓▒╜╙░╤╘¡└┤INT20╡─╓╨╢╧│╠╨≥╡┌╥╗╫╓╜┌╕─╬¬IRETú¿CFú⌐íúTR 1.92▓╗─▄└φ
  42.   ╜Γ╒Γ╡πíú
  43.   If program changed int 20 vector and run 'int 20', TR can understand
  44.   this and trace into user's vector routine. But what chkexe do this
  45.   time is , do not change vector, only change the first byte of vector
  46.   routine to IRET(cf). TR 1.92 do not understand this.
  47.  
  48.   ╦∙╥╘ú¼╧╓╘┌╙╨┴╦TR v1.93! 
  49.   So, This is TR v1.93! 
  50.  
  51. 2. Lets unpack Chkexe 1.16 with TR v1.93
  52.  
  53.     TR chkexe.exe
  54.         getknl
  55.     mkexe
  56.  
  57.    ╒Γ╗ß╔·│╔╬─╝■MEM.EXEú¿▓╗╥¬╘╦╨╨╦ⁿú⌐íú╙├╘¡└┤╡─CHKEXE╝∞▓Θ╦ⁿ╥╤╛¡═╤╡⌠┴╦╡┌
  58.    ╥╗▓π┐╟ú║CrackStop 1.0(b)ú¼╗╣╩ú╧┬╡┌╢■▓πú║XPACK 1.67m. ╝╠╨°ú║
  59.    This will make file 'MEM.EXE'(do not run it). You can run origin 
  60.    chkexe.exe to check it. MEM.exe is out of the first shell: CrackStop
  61.    1.0(b). The next shell is: XPACK 1.67m.
  62.  
  63.     TR mem.exe
  64.         exe1
  65.         reload
  66.         goxb b1 cf eb fd    ;this is xpack normal end
  67.         T
  68.         T
  69.         wexe1
  70.         exe2
  71.         reload
  72.         goxb b1 cf eb fd
  73.         T
  74.         T
  75.         wexe2
  76.         q
  77.     mkexe chkexe.exe    ;must simulate origin file
  78.  
  79.     You can try new MEM.EXE !
  80.