ESTUDIO COLECTIVO DE DESPROTECCIONES

INTRODUCCION

En este tutorial vamos a examinar como alterar la rutina que comprueba que los datos entrados para registrar el programa y conseguir registrarlo con cualquier nombre y serie.

Para este menester solo vamos a usar W32Dasm89 y UltraEdit, no vamos a necesitar nada más. Este tipo de desprotección es tán simple que no nos vamos a encontrar satisfechos a la hora de romperlo. :(

AL ATAQUE

Bueno, bueno...Comencemos cargando nuestras armas...W32Dasm cargado...TechFacts98 cargado....¿Qué es lo primero que vamos a buscar para empezar a atacar, niños?: INFORMACION, para ello pulsamos el botoncito Strn Ref de WD32 (pa no escibir tánto lo pongo asín, ok?). Encontramos información valiosísima ahí:

Registration Key accepted! < ---- Suena de algo?

Registration Key Failed! <------- Igualmente ?

Pues clickeamos ahi para que WD32 nos lleve de la mano hasta las rutinas donde se encuentran estos mensajes, ok? y aparecemos justamente aki:

* Possible StringData Ref from Code Obj ->"Registration Key accepted!"
|
:00479983 B8E49A4700 mov eax, 00479AE4
:00479988 E8378EFCFF call 004427C4
:0047998D A194074E00 mov eax, dword ptr [004E0794]
:00479992 C60000 mov byte ptr [eax], 00
:00479995 EB11 jmp 004799A8

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00479886(C) ---------- Vayaaaaa que suerteeeee!!!!!
|
:00479997 6A30 push 00000030

* Reference To: user32.MessageBeep, Ord:0000h <--- Aki nos tocan el pito :)
|
:00479999 E8E6D6F8FF Call 00407084

* Possible StringData Ref from Code Obj ->"Registration Key Failed!"
|
:0047999E B8089B4700 mov eax, 00479B08
:004799A3 E81C8EFCFF call 004427C4

Estudiemos!. La rutinita en azul clarito que es rutinica por defec- to.... Qué dices? Muy sencillo porque el programa espera la entrada del numero de serie bueno. ¿Donde se dá el salto incondicional? Cuando el número de serie entrado es erróneo se produce un salto hacia 00479997, desde donde?, desde 00479886, que lo vereis arriba en amarillito, oki?. El ordenata nos pita diciendo: La hás cagado, tio, y acto seguido nos sale el mensajito: Registration Key failed!. Pero de donde está el policia?, hehehehehe!

Akin:

osease, que nos dirigimos hacia la rutina donde nos indica que se dá el error:

:0047987B 8B45F8 mov eax, dword ptr [ebp-08]
:0047987E 8B55EC mov edx, dword ptr [ebp-14]
:00479881 E832A8F8FF call 004040B8
:00479886 0F850B010000 jne 00479997 <- salta si no es igual. Pero para saber más no hemos de meter dentro de 004040b8, cosa que de momento no nos importa..... Que pasaría si cambiamos JNE por JE ???? Pos que si entramos el serial bueno nos daría error! hehehehe. Vamos a patchear, ok?

Dentro de WD32 cambiamos JNE x JE 00479997 y lanzamos el programa y nos vamos a la ventana de registro. Entramos nuestros datos perso- nales y le damos al OK!.....Tchás...REGISTRADO!

Buenos, salismos de WD32 y solo por curiosidad, lanzamos TechFacts98 y que ocurre? que continúa registrado! Bueno eso es que ha escrito en el Registro de Windows los datos correctos, mejor!

Pero hemos de hacer el Patch pa publicarlo, no? Yo no lo he hecho porque ya estaba publicado por Mr.WhiTe :)

En realidad el motivo de este crack fue una conversación con Karli- toxZ en el canal #wkt :) Se estaba rompiendo el cacumen por un puto serial o algo asi, no recuerdo bien. Bueno al patch!

Cargamos UltraEdit y buscamos las cadenas hexadecimales a retocar:

E832A8F8FF0F850B010000 cambiamos por E832A8F8FF0F840B010000

Bueno, pos una vez retocado el programa por dentro, lo grabamos en formato EXE con cualquier nombre, Crack.exe, vale?

Ahora tomamos cualquier generador de patches y lo creamos :)

Y ya está todo hecho Newbies ;-). AstalaVista

  
*±±========-*-*-*-* P E R S O N A L   G R E E T Z *-*-*-*-========±±*
    A todos los Crackers del pasado, del presente y del futuro.

(En ezpecial a loz kabroneZ de WkT!)

[ Entrada | Documentos Genéricos | WkT! Web Site ]

[ Todo el ECD | x Tipo de Protección | x Fecha de Publicación | x Orden Alfabético ]