
                            the right way to go!
                    
                      
                       
                      
                     
                        
                      
                      
                      

                      GERMAN CRACKING FORCE / PC -
                                   

Laxity Cracking Tutorial #5 by pCsK8R [LXT]

Programm: Desktop Themes 1.80
URL: http://www.lss.com.au
Toolz needed: W32Dasm 8.9 und Hiew 8.51+
Level: 1-1.5 ;)

jo jo jo leute, jetzt schreib ich auch mal einen tutor =)
Ich werde euch in diesem Tutor zeigen, wie man den RegCheck eines Programms
abfngt und das Programm denkt es sei registiert.

1.Schritt:
2 Backups von der desktop themes.exe machen eine .w32 (zum disassemblen) 
und eine .bak (oder was immer ihr wollt).
Jetzt die Desktop Themes.w32 in W32Dasm laden und sich die String References 
angucken. Am besten jetzt mal nach irgendwas mit "Reg" gucken.
Mal sehen....

"Pointers and icons (*.cur,*.ico,*.ani)"
"Progman"
"Program Manager"
"PS failed error %ld"
"QSUVW"
"RandomFlags"
"rb"
"RealFilename"
"Really uninstall the '"
"RegCode"    <---- da! erwischt ;)
"RegName"    <---- da auch ;)
"RHooD"      <---- Robin Hood? das ist doch auch ein cracker, was macht der hier?
"RndTheme"
"romeo"      <---- romeo? (rest siehe RHood =)) (btw. StarDoGG [PC] und fACTOR '98 gibts auch hier. blo warum?)
"Screen Savers (*.scr,*.exe)"
"Screens could not be restored!"
"ScreenSaveActive"

also clicken wir mal auf regcode.
hmm wenn man beim ersten ein bichen herumscrollt, findet man
"* Possible StringData Ref from Data Obj - > "Your copy of Desktop Themes is now unlocked"
hmm, da ist ja nicht was wir wollen.
also weiter suchen.
Beim nchsten mal finden wir direkt "nebenan" "romeo" und "StarDoGG [PC]" etc.
Hmm. gucken wir hier doch mal ein bichen.

* Possible StringData Ref from Data Obj ->"RegCode"
                                  |
:00404A76 68B4774200              push 004277B4
:00404A7B E8E9EBFFFF              call 00403669
:00404A80 85C0                    test eax, eax
:00404A82 0F849D000000            je 00404B25
:00404A88 8D45D0                  lea eax, dword ptr [ebp-30]
[...] (hier passiert nicht viel)
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00404B03(C)
|
:00404B07 8D45BC                  lea eax, dword ptr [ebp-44]
:00404B0A 50                      push eax
:00404B0B E830500100              call 00419B40			; kalkulierung der Serien-Nummer?
:00404B10 3BF8                    cmp edi, eax			;Serien-Nummer abfrage?
:00404B12 59                      pop ecx
:00404B13 7510                    jne 00404B25 <----meldet falsch und bleibt shareware
:00404B15 8D45D0                  lea eax, dword ptr [ebp-30]	;Hier 
:00404B18 50                      push eax			;wird	
:00404B19 56                      push esi			;es
								;zur
* Reference To: KERNEL32.lstrcpyA, Ord:029Bh			;Voll-
                                  |				;version
:00404B1A FF1578414200            Call dword ptr [00424178]	;"gemacht"
								;immer noch
* Possible Reference to Dialog: DialogID_0001 			;immer noch
                                  |				;immer noch
:00404B20 6A01                    push 00000001			
:00404B22 58                      pop eax			
:00404B23 EB02                    jmp 00404B27			; -> sprung zu programmstart

Also, der jne bei :00404b13 mu weg.
Also Hiew laden,F4,F3,F5,3F13 [ENTER],F3,9090,F9,F10 und gecrackt!
Jetzt nur noch mit xCrk seiner Engine einen Patch machen und ihr knnt ihn verffentlichen.
Ob das beim jne ein Seriennummercheck war, wei ich nicht, da ich SoftIce im moment nicht hab.
Bei Fragen oder Unklarheiten frag mich in #laxity98 auf Efnet.
Bitte keine E-Mails schicken!!!!! 


Generelle Hinweise:
Auch zu crackz keine E-Mails schreiben sondern mich auf IRC fragen!!!
Bei Crackz immer zuerst die NFO lesen!
keine dateien an e-mails ranhngen. (Telekom)
Wir knnen eure Crackz "NICHT" posten.
geht zu irgendeiner seite die auf astalavista.box.sk verzeichnet ist und guckt, wo ih die posten knnt.
