home *** CD-ROM | disk | FTP | other *** search

---

/ Eagles Nest BBS 6 / Eagles_Nest_Mac_Collection_Disc_6.TOAST / Other Macintosh Text / HowToCrackAt / How_to_Crack

Wrap

Text File  |  1990-10-02  |  23KB  |  427 lines

---

1. ====== Mac Cracking- A series on deprotection methods on the Macintosh =======
2. ====== Written by The Atom / Spring 1986
3.  
4.  
5. Here it is.. First in the series of the Infamous Atom's mac crack series..
6.  
7. Some of you may have macs, others just wonder how you crack on the mac..
8. In this series I'll attempt to show you the basics of cracking on a mac
9. and hopefully give you an idea of the difficultly and difference between
10. apple and mac cracking.
11.  
12. 1) Things that make mac cracking easier than apple:
13.  
14.   A) All code segments must be stored on the disk in normal format. No
15.      abnormal headers or anything that cannot be read with the normal
16.      ROM read routine.(data can be stored otherwise though)
17.   B) Protection on the mac has used fairly simple techniques since the
18.      programmers don't know all the tricks that they do on the II
19.   C) All disk I/O has to pass through the IWM chip and thus you can't have
20.      half and spiral tracking. 
21.   
22. 2) Things that make mac cracking harder than apple:
23.  
24.   A) No debugger(or monitor) in ROM.. Macsbug is a software debugger only and
25.      therefore can be destroyed by some nasty programs(EA does it on all
26.      of theirs)
27.   B) Programs have much more memory to play with. Instead of 0-$C000, you have
28.      $0-$400000 (  of course most of the top is ROM.)
29.   C) Virtually no documentation on non-standard read routines. Basically have
30.      to figure it out yourself.
31.   
32. The first thing you need to do before attempt a crack on the mac is learn
33. 68000 assembly(duuh..).. WELL!! don't just look at it and assume you know
34. it!! You must really understand the addressing modes and especially how
35. the stack is handled. EVERYTHING on the mac uses the stack. The code you
36. are following is constantly calculating addresses and placing them on the
37. stack to RTS to.  Also, pick up a copy of Inside Mac.. So you can get a 
38. basic Idea of the rom traps(there are over 300)
39.  
40. If you want to look for books, I suggest 68000 assembly by Leventhal. 
41. And the Inside Mac phonebook or vol.1-3 from Apple
42.  
43. Next time I'll start showing you some traps, and a little 68000, then we'll
44. jump right in to the debugger and cracking a ware- Wizardry!
45.  
46. ---------------------------------------------------------------------------
47.  
48. Welcome to part 2 of The Atom's guide to Mac cracking-
49.  
50. Today's Topic- 68000 assembly and Mac Traps
51.  
52. By now, I assume you have looked at the 68000 assembly language 
53. somewhat and can at least understand small sections of code.
54. Just to clarify things, and teach you some machine-dependent ideas
55. (for the mac that is), I'll devote this part of the cracking series
56. to the 68000 and traps/interrupts.
57.  
58. First of all, the 68000 is a two instruction machine, unlike the
59. 6502. This means that most commands have 2 arguments rather than
60. one(as the 6502 has).. IE> MOVE D0,#$1000 instead of STA #$1000.
61. This makes life much easier, especially with the use of multiple registers.
62. (68000 has 17, compared to the 4 on the 6502).
63. These registers are labelled D0-7, A0-7, and the processor status reg.
64. The registers starting with D are data registers which are 32 bits long.
65. You can store any kind of 32 bit number in them. The address registers,
66. (denoted by A), are also 32 bits long but can only refer to even numbered
67. addresses and are not valid for all modes.(Don't worry if it doesn't make
68. much sense, you'll get the hang of it)
69.  
70. Sooo.. Now we know about registers. How about operands? Unlike the 6502,
71. which has a different command for each register, the 68000 has a standard
72. set of commands which can work with all the regs. Instead of:
73. STA #$1000, STY #$1000, you would have MOVE D0,#$1000, MOVE D1,#$1000,
74. etc. The move (MOVE) command is the basic operand to move  data from
75. one place to another. Be it from reg to reg (mov d0,d1) or memory to memory
76. (mov #$1000,#$2000), or whatever. 
77.  
78. Most of the other commands are similar to 6502, and work pretty much the
79. same(JSR,RTS,CMP,BEQ,BNE,etc.). There is one other addition to the syntax
80. you should know- the .b, .w, and .l suffixes.  These refer to byte, word, and
81. long word commands. By adding any of these to the end of an operand, you limit 
82. the command to only that size of data. For instance, a MOVE.B D0,D1
83. would move the first 8 bits of D0 into the first 8 bits of D1. The word
84. command uses 16 bits, and long word uses 32. These can be added to most
85. commands that manipulate data, like CMP,CLR,MOV,ROL, etc. If you ignore the 
86. syntax, it defaults to .w.
87.  
88. Now we get to Addressing modes: On the 6502, you had different syntax for
89. addressing, and its about the same on the 68000. An indirect 
90. jump (JMP ($1000)) would become JMP ($1000)... really hard huh? or you can
91. use inderict in mov commands also- MOVE (A0),D1. This would move the 
92. contents of whatever address was in A0 into D1.(IF $1000 was in A0, then 
93. the contents of $1000 would go to D1). One note, the indirect mode can only 
94. be used with the address registers, not the data registers.
95.  
96. Finally, there are the auto-increment and auto-decrement indirect modes.
97. If you did a MOVE (A0)+,D1, it would the contents of $1000 into d1, and then
98. automatically increment A0 so it now points to $1002.(It increments by 2 
99. since it moved a word(16 bits) and each address points to a byte( in affect,
100. its now pointing to the next WORD)).  Auto-decrement works basically the
101. same way, a MOVE -(A0),D1, would decrement the address in A0 by 2, then
102. move the contents of $FFE into D1. The placement of the - or + is the way
103. its set up, so you can't do a MOV +(A0),D1 or MOV (A0)-,D1.
104.  
105. And a couple more sytnax things- there are no stack commands(PHA,etc.),they
106. use the auto-inc and auto-dec modes to implement a stack with the A7 
107. register.  Its kind of complicated exactly how it works, so I won't go into it
108. here, but just assume that MOVE D0,-(A7) pushes D0 onto the stack and 
109. MOVE (A7)+,D0 pops the value off the stack into D0. (the A7 is sometimes
110. replaced by SP as in MOVE D0,-(SP)).
111.  
112. So now we know everything there is to know about 68000 assembly, right?
113. Wrong... But we know enough to crack something!
114.  
115.  
116. But before I start talking about the debugger, I'll mention something about
117. the traps on the 68000. Since all ROM routines are called through these,
118. it pays to know what they are.
119.  
120. First of all, when the 68000 finds an opcode it doesnt know (some code that
121. doesnt translate into an executable instruction), it will look in a trap 
122. table to see if there is a replacement code for it. This way, you can 
123. implement your own 68000 commands by putting the address of your routine
124. into the trap table and simply issuing the command. On the mac, the trap
125. tables are in low memory and point to ROM routines.  Since the routines are
126. always in the same place with the same ROMS, the debugger keeps a table of
127. these traps and will actually name them for you in the code.. So while listing
128. a section of memory you may see something like this:
129.  
130.         _InitGraf
131.         _InitFonts
132.         _InitWindows
133.         Mov #14,D0
134.         Mov D0,-(SP)
135.         _Read
136.  
137. What it is doing is calling three rom routines to initialize different
138. sections of the window management, executing a couple of 68000 instructions 
139. and then calling the Read ROM routine to read from the disk.  Fairly simple,
140. right? It does make cracking quite a bit easier, as long as you know what 
141. most of the traps do. So be sure and have a copy of Inside Mac at hand when
142. you  start to debug/crack something.(and lots of paper)
143.  
144. Well, next time, we'll look at the debugger and start trying to crack
145. a few warez...
146.  
147. --------------------------------------------------------------------
148.  
149. Here we are again, with the 3rd installment of "Mac Cracking- man or myth?"
150. (or something like that).
151.  
152. The topic of discussion in this section will be the DEBUGGER.. Otherwise
153. known as MACSBUG.  If you end up doing much cracking at all, you'll begin
154. to love(and hate) some of macsbugs commands, and you should get fairly 
155. familiar with reading other people's  68000 code.(or compiler code).
156.  
157. First, a couple notes about macsbug: To run it, you must have the macsbug
158. file on the disk you are booting up, and it must be named MACSBUG.. exactly,
159. (well, case doesnt matter, but otherwise, exactly like that ^^^).
160. If you are using the HFS system, it must be in the system folder along with
161. the system and finder files.  Also, don't forget to install the little 
162. programmers switch in the side of your mac.. If you don't have it in, you
163. can't even start up macsbug!
164.  
165. Ok, well, I'll start by talking about how macsbug is loaded in, set up,
166. and then list some commands and show you some examples.
167.  
168. Booting up-  When the mac boots up, it reads a bunch of system related stuff
169. from the boot disks, initializes the font,quickdraw, resource and other
170. managers, and then throws up a Dialog saying "Welcome to Macintosh". It
171. then looks for a file name MACSBUG on the disk, and if it finds it, it
172. allocates some extra memory for it and then loads it in and sets it all up.
173. Macsbug takes up about 40k, so for large programs, running on a 128k, you
174. may not be able to load it.(get a 512k!)
175.   
176. Basically what macsbug does when it sets up is change a few pointers in
177. low ram that used to point to error routines to point to it. Like the
178. error when you hit the interrupt button on the side of the computer(plus
179. a few more). So now, when you hit the interrupt button, instead of getting
180. a bomb dialog, a new window will pop up, covering most of the screen, with
181. a dump of all the registers(d0-d7 and a0-a7 as well as the PC and some
182. other info).  You are now in Macsbug! You have stolen control of the 68000
183. from the executing program and can now debug(or crack) to your hearts 
184. content.  But first, you need to know the macsbug commands!
185.  
186. Commands
187. --------
188.  
189. Macsbug has a lot of commands. At least 40. It basically works the same as
190. the monitor on a II, but with different syntax, and a bunch of nice tracing
191. functions. They are set up in a general format of a one or two word command,
192. followed by a few numeric parameters. 
193.  
194.  What follows is a partial list of the basic commands we will be
195. using to crack Wizardry, and some explanation for each. To get a list of all
196. the commands, look in your Inside Mac manual under the section called 
197. "INSIDE MACSBUG"(only in newer versions.)
198.  
199. Oh yea, forgot to mention, I'm using Macsbug V5.1. These commands work with
200. all versions 5.0 and higher.(you can check your version of macsbug by typing
201. DV <cr> at the prompt)
202.  
203. (aaaa = address, nnnn = number)
204.  
205. Memory Commands:
206.  
207.   DM aaaa nnnn          Display memory- gives you hex dump of the bytes 
208.                         starting at aaaa and going up to address aaaa+nnnn
209.   ex. DM 0f00 10        Would dump out hex from $f00 to $f10
210.                         If you leave out the nnnn, it lists the next 16 bytes.
211.                         If you leave out aaaa, it starts at the current address.
212.  
213.   SM aaaa nn,nn1,nn2..  Set memory- changes value in address aaaa to nn, then
214.                         address aaaa+1 to nn1, etc.
215.  
216.   TD                    Total Display- dumps out all the registers, PC and
217.                         disassembles the current line
218.                 
219. Break Commands:
220.  
221.   BR aaaa               Sets a break point at address aaaa. When the program
222.                         executes the line at aaaa, it will be interrupted and
223.                         the macsbug window will pop up.
224.  
225.   G aaaa                Just like the apple, starts execution at aaaa. If you
226.                         leave off aaaa, it starts where the PC last was.
227.  
228.   GT aaaa               Very nice command, starts executing at the PC, and then
229.                         stops and returns to macsbug when it gets to address
230.                         aaaa. (easier than setting breakpoints)
231.  
232.   T                     Trace, executes one instruction, then dumps out the
233.                         registers and disassembles the next line
234.  
235.   MR                    Magic return. If you are tracing along, and suddenly
236.                         encounter a JSR, you can type MR and it will execute
237.                         the subroutine and then return you to trace mode 
238.                         right after it gets a RTS.
239.  
240. A Trap commands:
241.  
242. (these are probably the most important, be sure you understand them)
243.  
244.   AB TRAPNAME           Causes the computer to halt to return to macsbug when
245.                         it sees a TRAP command that is referred to by
246.                         TRAPNAME
247. ex. AB READ             This would stop the next time the program does a
248.                         READ call.
249.  
250.   AT TRAPNAME           Traces and displays the address of each call to the
251.                         trap TRAPNAME. Doesnt halt though.
252. ex. AT EJECT            Would show the address of each line that the program
253.                         executed that called the EJECT trap, and then continue
254.                         executing the program
255.  
256.   AX                    Clear all trap commands.(so it won't stop everytime it
257.                         does a READ anymore)
258.  
259. Disassembler commands:
260.  
261.   IL aaaa nnnn          List out disassembled code starting at address aaaa
262.                         and going until address aaaa+nnnn.. Just like the
263.                         L command on the II.
264.                         If you just enter IL <CR> it will list out the
265.                         next 10 or so instructions.
266.  
267. So those are all the commands you need to know! there are a bunch more, but
268. they aren't as powerful or easy to understand as these, so you can learn them
269. on your own.
270.  
271.  
272. Just to give you and example of using the debugger, I'll show the steps you
273. might use to find the starting address of a program:
274.  
275. 1) put macsbug on the disk with the program you are trying to find the 
276.    starting address for(Well call it PROGRAM)
277. 2) Boot up the disk, and go to the desktop.
278. 3) Press the interrupt button- you should see a big window pop up with a 
279.    dump of the registers in it.
280. 4) Type AB INITGRAF
281.    This tells macsbug to stop the next time it encounters an INITGRAF call.
282.    (initgraf is usually one of the first instructions applications run, so
283.     it will close to the starting address)
284. 5) Hit G to start the finder running again.
285. 6) Double click on PROGRAM and hope for the best!
286. 7) If all goes ok, macsbug should pop up in a little while, displaying the
287.    address of the instruction that call INITGRAF.  
288. 8) Type IL aaaa, where aaaa is the address that macsbug said the initgraf
289.    instruction was at. 
290. 9) Thats it! the beginning of the code for our application! from there,
291.    we could trace on using the T command and watch the execution of the
292.    program. Or hit G to give the program back full control of the 68000.
293.  
294. Don't forget to do an AX command when you are done, otherwise you will be
295. jumping into macsbug everytime you run an application that calls INITGRAF.
296.  
297. Finally, I'd like to say something about macsbug alternatives:
298. I know of one great debugger called MCBUG. it works a lot like macsbug,
299. but has a few extra features that help a lot, like a built in mini-assembler,
300. some nice launch funtions, and a few other helpful commands. Its a shareware/
301. public domain program, so if you look around you should be able to find
302. a copy of it on compuserve or from a user group. It comes with docs, and 
303. installs just like macsbug; simply rename it and boot!
304.  
305. ---------------------------------------------------------------
306.  
307. Welcome to Part 4 of Mac Cracking- your guide to fame.
308.  
309. In this, the fourth, and hopefully final part, we will look at Wizardry and
310. actually remove its protection. Of course, as we all know, this is only for
311. backup purposes, right?
312.  
313. So first we need to set up a copy of the disk to work on. Wizardry is a
314. unusual protection, in that you can copy all the files off the disk, but
315. it asks you to put the master disk back in upon boot, and then reads some
316. bad blocks off of the master disk. The nice thing about this method is that
317. it does not crash the machine if it can't find the master, it simply 
318. continues with a semi-demo game of Wiz. This saves a lot of time when you
319. are constantly backtracking and reloading the files to find the protection.
320.  
321. Here we go!
322.  
323. First, sector copy (or finder copy) the files from the wizardry disk onto
324. a blank. Then trash the Imagewriter file (we need more space for macsbug).
325. Copy macsbug onto the Wizardry disk, and then select the Wizardry file,
326. and install a minifinder with only Wizardry in the selection. This way, when
327. the disk boots up, we can set up some breakpoints while the minifinder is
328. running, and then execute Wizardry. If we let it boot straight into Wizardry,
329. we would have to guess when to hit the interrupt switch and hope that we
330. didn't miss something.
331.  
332. Now we have a disk to crack. Boot up the disk, and when you see the minifinder,
333. hit the interrupt switch. Macsbug should come up. Type AB INITGRAF <cr>.
334. This will find the starting address of the program by halting when it starts
335. initializing the managers. Now type G . You are back in the minifinder, so
336. double click on the wizardry file and wait for macsbug to regain control.
337.  
338. At this point, macsbug should appear saying it halted on a Initgraf call
339. at location F200 (this address will be different depending on your memory
340. size. F200 is on a 512 or plus). You can now type IL F200 to start listing
341. the code. As we look at the code (hit return to see another 20 lines after
342. you are done with a section) we see that the program contains no branching
343. until address F222. The protection check is going to involve reading a sector
344. from the disk and then branching on a result. So all we have to look for
345. is a branch after some disk access.
346.  
347. Type GT F222. Wizardry loads in some resources and sets up its menus and 
348. windows. If you booted up your copy of wizardry normally, this is right before
349. it puts up a dialog and asks for the key disk. Now we have to narrow down
350. the search to a specific JSR. If you try GT F322, you see that it goes through
351. the check and comes back with a message that you did not insert the master
352. disk. This means that the JSR to the protection routine is somewhere between
353. F222 and F322. So now we look some more!
354.  
355. (If you did try the GT F322, you can type EA to exit to the application,
356. re-running Wizardry. It will abort again at the Initgraf, and then you
357. can type GT F222 to get back to where you belong)
358.  
359. By continuing this process(trying locations closer and closer to F222 in
360. the GT command) you will eventually find that the JSR to the protection
361. is at F31E. The program does not throw up a dialog saying you inserted the
362. wrong disk before this JSR, but does draw a dialog at F322, the next
363. statement. So we have tracked it down to a single JSR.. Now we can have fun.
364.  
365. If we trace, using the T command at this subroutine, we find that it
366. immediately executes a Loadseg trap. And then for some mysterious reason,
367. macsbug never regains control. This is the tricky part- After the JSR to
368. EFB7A (the loadseg), the program loads the protection routine from disk
369. AND loads code into EFB7A. Since the T command replaces the code at the
370. next instruction with a break command in order to regain control after 
371. one step, this code is loaded on top of the break command, replacing it. 
372. This is why your macsbug never comes back. There is not a break point to
373. interrupt the program any more! 
374.  
375. What we can do though, is interrupt with the interrupt switch after it
376. brings up a dialog saying we inserted the wrong disk, and disassemble the
377. code that was loaded into EFB7A. When we look there, we see it did a
378. JMP to 13828. The code at 13828 was also loaded in with this loadseg trap,
379. so we didnt see it before. This is the main protection routine.
380.  
381. But now we have a problem- how do we stop the execution of the program at
382. 13828 so we can trace the protection and find the correct branch? We can't
383. set a breakpoint at 13828 with GT, since it would get replaced with the
384. code during the Loadseg. And we can't stop it after the Loadseg since it
385. replaces itself and any breakpoints we set after it! What do we do??
386. Alas, macsbug comes through with yet another amazing command. ST .
387. This works like the GT, but does not set a breakpoint to stop the program.
388. (I'm not sure what it does to do this, but it uses the 68000 step flag)
389.  
390. So we get back to F31E (using the EA command as before, then the GT).
391. And type ST 13828. The reason we don't issue a ST right after F200 is
392. that the S commands slow execution of the program noticeably. You will have
393. to wait a couple of minutes for the ST 13828 to return to macsbug. (The
394. drive will make some strange noises, but don't worry.. just be patient)
395.  
396. After this hard work, we are now in trace mode at 13828. Hurrah! Almost
397. there. Be repeating the method we used to find the first JSR, and by
398. reading the code, you find that the last branch that seperates a key disk
399. dialog from the bad disk dialog is at 139D0. The BEQ +90 is executed if 
400. the protection check comes out bad. If you search the code, you see that
401. the good code continues 3 instructions from the address the BEQ branches
402. to. So now we simply replace the BEQ with BRA +98, and no matter what the
403. protection check returns, everything continues fine.
404.  
405. Now to test a be sure our patch works. Boot the disk from scratch and get
406. to the trace mode at 13828 using the commands we used before. Now type
407. SM 139D0 60 00 00 98 . This is the code for a BRA +98, which we are replacing
408. at 139D0. Hit G, and there it is! Your copy should continue to load, and
409. no matter what disk you put in for the master, it will thank you for inserting
410. your "master" and continue along its merry way. 
411.  
412. But we don't want to have to use macsbug to does this EVERY time we boot
413. up, so we'll change the program on the disk. First, dump the memory from
414. the instructions before and after the BEQ +90 and write them down. Then
415. run Fedit (its a sector editor program) and open the file Wizardry on your
416. cracking disk. Do a hex search for the values-
417. 0A 00 00 01 67 00 00 90 30 2E FF F2
418. (These are the bytes surrounding the instruction that you wrote down earlier.
419.  By searching for the whole string, we are sure we have the correct 
420.  Beq +92 in the program, in case there is more than one).
421. Go in to hex edit mode and replace the 67 00 00 90 with 60 00 00 98. And
422. write the sector back out. 
423.  
424. Congratulations, you have successfully cracked Wizardry. You can copy the 
425. Wizardry file you patched onto your master disk, or make the patch to a
426. sector copy of the original to get the disk back looking like it normally
427. did.(Auto boot into wizardry, no macsbug or minifi