home *** CD-ROM | disk | FTP | other *** search
/ Hackers Matrix / Hacker's Matrix (nCite Software) (2003).iso / Tutorials / hTut_0285.txt < prev   
Text File  |  2002-12-13  |  16KB  |  356 lines

  1. ----------------------
  2. REVERSE CODING
  3. ----------------------
  4.  
  5.  
  6. # Released by Cybnet Security Group
  7. # legalz: modify and use at will, if you make any changes, improvements, updates or use the code
  8. # in another project, please send us what you did and give credit 
  9. # if you have any questions, post them at forum.hackerthreads.net
  10. # be sure to check out hackerthreads.org for updates and new tutorials/downloads       
  11.  
  12. Copyrights reserved to k33t, 2002 from CYBNET Security Group
  13. ----------------------------------------------------------------------------------------------------
  14.  
  15. Index:
  16. -------
  17. 1.Introduction
  18. 2.Disclaimer
  19. 3.Hexadecimal
  20. 4.RAM and ROM
  21. 5.ASM
  22. 6.Needed programs
  23. 7.Cracking
  24. 8.Conclusion
  25. ---------------------------
  26. ---Introduction----------
  27.  
  28. Welcome to my Reverse Coding tutorial! In this paper, you will 
  29. learn how to crack and modify your own software. I'll try to get
  30. into as much detail as possible, yet also dumb it down a bit. =)
  31. ------------------------------------------------------------------------------------------------------
  32. ---Disclaimer------------
  33.  
  34. All information is purely for educational purposes only! The author
  35. cannot be held responsible for any (ab)use of this information.
  36. USE AT YOUR OWN RISK!!!
  37. ------------------------------------------------------------------------------------------------------
  38. ---Hexadecimal----------
  39.  
  40. To begin, I'm going to teach you about hexadecimal, so if you already
  41. know it, then move on. Even if you do already know it, I suggest
  42. sticking around for a refreshment of your memory.=)
  43.  
  44. Hexadecimal, or hex as it's more commonly known, is a base 16
  45. numbering system. Base 16 meaning that it consists of 16 numbers:
  46. 0-9 and A-F. Each of these numbers (A-F=10-16) have a value of 4 bits 
  47. and are also called nibbles. In representing a hexadecimal number, one
  48. would write an "0x" before the actual bit set. 0x is simply a tag put
  49. before a hex number to let programmers know that it is in fact, hex.
  50. When writing hex, you will not need to use this prefix. 
  51.  
  52. If you haven't already noticed, the 0x prefix looks similar to that of exponential
  53. notation. Actually this is where 0x has been derived, seeing as how 
  54. hex is simply a number that has been raised to a power of 16.
  55. This means 10 in hexadecimal represents the value 16+0, or 16. So check 
  56. out this example:
  57.  
  58. 0xB3 (hex)= 2*16(squared)+11*16(to the 1st power)+3*16(to the power of 0 )
  59. =2*256+11*16+3=691 (decimal)
  60.  
  61. Yeah, you could do all of that, or you could be lazy and use an automated
  62. program that does it all for you. Why do you need to know hex? Because
  63. it's used by every piece of software and hardware. How? Memory based address
  64. allocation. Here's an example:
  65.  
  66. When you clicked on your browsers icon to launch it, the click triggered a "call"
  67. (an asm function that will be discussed more in depth in later chapters.) which 
  68. went back to the programs memory with the "click in it's hand." It finds the 
  69. address where the code is that makes the program launch and executes it. The 
  70. address is written in, you guessed it, hex. An example of an address would be 
  71. something like this:
  72.  
  73. 101c5018
  74.  
  75. 5108 would be the actual specific address and 101c would be the sector 
  76. of RAM were the address is located. Those are the basics of Hexadecimal
  77. You should probley read this chapter againbecause getting a firm grasp on hex
  78. is essential to cracking and moding programs.
  79. ----------------------------------------------------------------------------------------------------------
  80. ---RAM and ROM--------
  81.  
  82. In this section we are gonna learn about RAM and ROM. Many people kno about 
  83. the hardware part of RAM and ROM and that's gonna be very useful to you......
  84. just not in this tutorial. =) We are about to learn about the "software" side. I use the 
  85. term software loosly in that software tends to have a GUI (Graphical User Interface)
  86. and this does not. BUT, there are ways to access and modify the behavior of it that
  87. I will talk about in this chapter, as well as in the next. To start off, I'll answer some 
  88. common questions:
  89.  
  90. What is RAM?
  91.  
  92. RAM (Random Access Memory) is basically memory and the process of accessing it.
  93. The term "Random Access Memory" was approprietly given to this memory unit because
  94. when executing a command, the CPU doesn't have to scroll through all the memory on 
  95. your PC until it finds the right address. It "randomly" whips out the addy from it's back 
  96. pocket and serves it up.This process is both quick and efficient. Learning this process
  97. will help you understand the ASM functions in the next chapter. 
  98.  
  99. How does RAM work?
  100.  
  101. When a command is issued and the memory is pulled from file, it must first go through
  102. what is called a "vector". A vector is a "gateway" or a "sector" of RAM where the address
  103. of the function is stored with others of it's own kind. An example of a vector would be 
  104. something like this:
  105.  
  106. 8c0000b4-8c00ffff
  107.  
  108. This means that all "addressii" (hehe) that are between those values are stored in that 
  109. sector of RAM. A vector acts as a gateway in that, first, pass through a vector to get to 
  110. address. Your average program probley has about 30 to 40 main vectors, sectioning
  111. off from boot until exit. Knowing the vector of an addy or a function will greatly reduce 
  112. your headache when you start searching for it. 
  113.  
  114. ROM. ROM is a part of memory that doesn't change. (Although we can change it.=) )
  115. Boot ROM for instance, follows the same plan of action it is called upon. ROM also has 
  116. vectors, just like RAM. ROM is not that important when it comes to cracking to we will 
  117. leave it alone for now. 
  118.  
  119. Back to RAM. Believe it or not, but addressii (there I go again, I'm such a g33k.) 
  120. actually follow certain formats or syntax's for certain functions. Take hot keys for
  121. example: In the under ground, we call them "Joker commands". By pressing a certain
  122. combonation of keys, a program will run, close, be stupid, whatever. The syntax for a
  123. Joker command is as follows:
  124.  
  125. 0d-aaaaaf
  126. 000zvvvv
  127.  
  128. Let's examine this format a little closer.
  129.  
  130. 0d= The proclemation of a specifyed format
  131.  
  132. aaaaa= The address of the function
  133.  
  134. f= The float or remainder; "Floating point number" ; decimal
  135.  
  136. 000= "NOP" No operation
  137.  
  138. z= The "Booleon" as we the C++ programmers call it. A booleon is an "IF, THEN" statement.
  139. "IF this is true, THEN do this." Value 0= equal; 1= different; 2=less than; 3=greater than.
  140.  
  141. vvvv= The combonation of hex values (The values of the keys pressed) used to execute the "CALL"
  142.  
  143. Say the "A" key had a vlaue of fffb and the "B" key has a vlaue of fffd. You would then add both 
  144. values using a hex calculator and get fff9 as the sum. The output on you calculator would 
  145. show 1fff8. Add the first value and the last value to find the fourth byte segment. So say 
  146. we've found the address of the Joker function (usually in the boot ROM sector) commonly 
  147. called the "Maple address" and we are ready to program in some hex code. Our code may
  148. look like this:
  149.  
  150. 0d7ae671
  151. 0000fff9
  152.  
  153. This means that IF the value of fff9 (A and B) is equal (0) to the address (aaaaf) of the function,
  154. THEN execute it. See? Easy isn't it? You'll need to know things like this when modding programs
  155. as a use of executing of your arbitrary code in certain parts of your program at a certain time.
  156. Joker commands are also reversable in that if you enter the same code except with a 1,2, or 3, 
  157. in the z slot and by changing the button combonations. Reversable meaning terminating the 
  158. function or other functions that were started. A good use for this is for firewalls and babysitting
  159. programs. Are you on a college machine and can't download stuff because of that pesky firewall?
  160. Crack it open and program in some Joker commands so you can turn it on and off at will
  161. WITHOUT the administrator's password!
  162. --------------------------------------------------------------------------------------------------------------
  163. ---ASM-----------------------
  164.  
  165. To start off with our small and to the point ASM section, I'll warn you in advance, after reading this,
  166. you'll need to go take a shower cause this is disgusting! Here we go! 
  167.  
  168. To begin, I'm gonna define for you some functions that you'll be seeing alot of, and be using. Here they are:
  169.  
  170. .:Hex:.        .:ASM:.      .:MEANING:.
  171.  
  172. 75,0f85    jne    jump if not equal    
  173. 74,0f84    je    jump is equal
  174. eb    jmp    jump directly to    
  175. 90    nop     no operation
  176. 77,0f87    ja    jump if above
  177. 0f86    jna    jump if not above
  178. 0f83    jae    jump if above or equal to
  179. 0f82    jnae    jump if not above or equal
  180. 0f82    jb    jump if below
  181. 0f83    jnb    jump is not below    
  182. of86    jbe    jump if below or equal
  183. 0f87    jnbe    jump if not below or equal
  184. 0f8f    jg    jump if greater
  185. 0f8e    jng    jump if not greater
  186. 0f8d    jge    jump if greater or equal
  187. 0f8c    jnge    jump if not greater or equal
  188. 0f8c    jl    jump if less
  189. 0f8d    jnl    jump if not less
  190. 0f8e    jle    jump if less or equal
  191. 0f8f    jnle    jump if not less or equal
  192.  
  193. The easy thing about most of the functions in ASM are that they sound like what they mean.
  194. Jump, means of coarse, to Jump from one thing to another. Example:
  195.  
  196. "jmp 00401744" would mean to jump directly to the address 00401744 once the code
  197. hits the function. 
  198.  
  199. Let's look at "CALL". Call is a function that is used to "call" a certain task, string, address, whatever.
  200. Take a look at this example:
  201.  
  202. "Call 0040ccc2" this would of coarse call the address 0040ccc2 and use it. Those are the functions 
  203. you'll be using. 
  204.  
  205. The reason why I'm not going into loads of detail in this chapter is because when 
  206. cracking software, not an extensive amount of knowledge of ASM is needed. If you want
  207. to know more or need help with something, e-mail me at the address provided at the end of 
  208. this tutorial. This chapter wasn't so nasty was it? Nah, it was easy =)
  209. ------------------------------------------------------------------------------------------------------------------------
  210. ---Needed Programs----------------
  211.  
  212. The programs you will need are as follows:
  213.  
  214. WDasm 8.9 or Higher
  215. Hiew 6.1
  216. Softice for win9x v3.24
  217. SubmitWolf(demo)v4.01 (http://www.trellian.com/swolf)
  218. Programming Language (C,C++,Pascal,ASM whatever you would like) Prefably C for this tutorial!
  219. And a brain (no seriously)
  220. --------------------------------------------------------------------------------------------------------------------------
  221. ---Cracking-----------------------------
  222.  
  223.  
  224. Ok, here we go! The first thing you need to do is to open up SoftIce and then swolf32.exe  which is the name given to our 
  225. target program. Go to the help menu and select register. Here's where your brain will come in, start to look 
  226. for how the protection is running by entering some random crap into the blank space. Don't press the OK button yet though.
  227. Instead, press CTRL-D to bring up SoftIce. What we are gonna try to do is define a breakpoint, using BPX hmemcpy.
  228. Hit CTRL-D again and it will bring you back to the program. Click OK on the box and SoftIce will again pop up. Now press F12 
  229. and it will bring you to the target program code. Scroll down a few lines and find:
  230.  
  231. :004167D9 8D4C2410             lea ecx, dword ptr {esp+10}--;ecx=the random crap you typed in.
  232. :004167DD 8D94290000000    lea edx, dword ptr {esp+00000090}-;edx=name
  233. :004167E4 51                         push ecx
  234. :004167E5 52                         push edx
  235. :004167E6 E8B5450100          call 0042ADA0----;this is the call which calculates the serial   
  236. :004167EB 83C410                 add esp, 00000010--;
  237. :004167EE 85C0                     test eax, eax----;and return eax=1 if true (booleon =) )
  238. :004167F0 0F8596000000       jne 0041688C----;jump to registered
  239. :004167F6 8D442408              lea eax, dword ptr {esp+08}
  240. :004167FA 8D8C2488000000   lea ecx, dword ptr {esp+00000088}
  241. :00416801 50                         push eax
  242. :00416802 51                         push ecx
  243. :00416803 E868470100           call 0042AF70----;this call tests our serial
  244. :00416808 83C408                 add esp, 00000008---;
  245. :0041680B 85C0                     test eax, eax----;for v3.XX one.
  246. :0041680D 7433                     je 00416842;jump is equal
  247.  
  248. The call that we want to focas on is at 004167E6. This call tests wether our serial is for the correct version or not.
  249. Let's trace the call 004ADA0:
  250.  
  251. *Referenced by a CALL at address:
  252. :0042ABFC
  253. :0042ADA 83EC30                 sub esp, 00000030
  254. :0042ADA3 55                       push ebp
  255. :0042ASA4 56                       push esi
  256. :004ADA5  57                        push edi
  257. :0042ADA6 8B7C24444          mov edi, dword ptr {esp+44}--;edi=our fake serial
  258. :004ADAA 85FF                     test edi, edi
  259. :004ADAC 0F4A7010000        je 0042AF59----;die if empty
  260. :004ADB2 8B6C2440             mov ebp, dword ptr {esp+40}--ebp=our name
  261. :0042ADB6 85ED                   test ebp, ebp
  262. :004ADB8 0F849B010000       je 0042AF59---;die if empty
  263. :004ADBE 8A07                     mov al, byte ptr {edi}--;compare 1st byte of serial with 'p', die
  264. :0042ADC0 3C50                   cmp al, 50----;
  265. :0042ADC2 0F8587010000     jne 0042AF4F----;if not equal
  266. :0042ADC8 807F0134            cmp byte ptr {edi+01}, 34--:compare byte of serial with '4'
  267. :004ADCC 750C                     jne 0042ADDA----;
  268. :0042ADCE C70500C8430000000000  mov dword ptr {0043C800}, 00000000
  269. :0042ADD8 EB1C                   jmp 0042ADF6
  270.  
  271. As we can see by the above, the code tells us that the first value of our serial will
  272. be 'p' and a cycle of a four byte algorythm. I could go on and on about all of the internals 
  273. of all this stuff but that would be going beyond the scope of this tutorial. The idea was to show 
  274. how to crack this pro, and thats what I'm going to do. Based on the information I've given you, and the
  275. information that you can deduce from reading the code, I've written a small key generator in C.
  276. If you know C, then you'll be able to tell where i got the algorythms to write it. So here it is:
  277.  
  278. #include<stdio.h>
  279. #include<conio.h>
  280.  
  281. int main(void)
  282. {
  283. long code=555583,count1,count2;
  284. char name[25],cod[5],type='0';
  285. clrscr();
  286. textcolor(14);
  287. printf("This is a simple key-generator written by k33t of CYBNET Security Group");
  288. printf("=================================================");
  289. text color(10);
  290. printf("SubmitWolf(demo)ver4.1 cracked by k33t");
  291. textcolor(14);
  292. printf("%c%c%c",0x10,0x10,0x10");
  293. textcolor(12);
  294. printf("Yup")
  295. prinf("-November 2002");
  296. prinf("'\n\nSelect Edition PRO(0) or Enterprise(1) (0/1)=");
  297. scanf("%c",&type);
  298. if(type=='1')code=557283;
  299. getchar();
  300. prinf("Enter Registration Name=");
  301. scanf("%[^\n]",name);
  302. for(count1=0;count1<=3;count1++
  303. cod[count1]=name[count1];
  304. for(count=1;count1=3;count1++){
  305. for(count2=0;count2<=3;count2++)
  306. cod[count2]=cod[count2]*(code%100);
  307. code=code/100;
  308. }
  309. for(count1=0;name[count1]>0;count1++);
  310. for(count2=0;count2<=3;count2++)
  311. cod[count2]=cod[count2]^(name[count1]+3);
  312. for=(count1-3;count1>=0;count1--){
  313. code=code+(cod[count1]&0xFF);
  314. if(count1>0)
  315. code=code*0x100;
  316. }
  317. if(code<0)code=-code;
  318. for(;code<10000;) code=code*10;
  319. for(;code>999999;) code=code/10;
  320. printf(Your Serial Number=P%c4-%ld",(type=='1')? 'E':'4'code);
  321. return ;
  322. }
  323.  
  324. Ok! So! An overall conclusion of this code is:
  325.  
  326. 1.First two characters of the serial must be either 'PE' or 'P4'.
  327. 2.Multiply every first four characters or our name with every byte of our serial before '-'
  328. 3.XOR every four byte with every byte of our name.
  329. 4.Convert to positive number if<0.
  330. 5.Convert to number between 10000 and 1000000.
  331.  
  332. Forgive me if this code is buggy as I wrote it very quickly in the little spare time I had.
  333.  
  334. -----------------------------------------------------------------------------------------------------------
  335. ---Conclusion-------
  336.  
  337. Well how was your first cracking expierience? Not bad eh? Ok well if you have any questions, 
  338. problems,comments,.....criticsms.......you can e-mail them to me at:
  339.  
  340. k33t@hushmail.com
  341. -----------------------------------------------------------------------------------------------------------------
  342. Greets to: Weazy and Chieftan
  343. -----------------------------------------------------------------------------------------------------------------
  344. My regards, 
  345.  
  346. k33t
  347.  
  348.  
  349.  
  350.  
  351.  
  352.  
  353.  
  354.  
  355.  
  356.