Willkommen zu Gizmo's 1st Softice Tutorial...

iNtRo:
======
So, da ich am Anfang bei Softice nicht so ganz durchgeblickt hab', hab ich mich jetzt entschlossen, euch ein Tutorial zu schreiben, in dem Softice von Anfang an erklrt wird...
Ihr braucht keinerlei Vorkenntnisse fr dieses Tutorial, sondern nur ein kleines bisschen Verstand.
Also, dann schauen wir mal, was fr ein Programm sich da anbieten wrde ... ah, nehmen wir eCatch! Dieses Programm ist zum Downloaden von ganzen Internetseiten und sie dann offline zu betrachten... ich knnt es glaub' ich unter www.ecatch.com/index.htm downloaden! Also, besorgt euch das Programm und rippt eine Serial!

Softice konfigurieren:
======================
Wenn ihr Softice noch nie bentzt habt, dann besorgt es euch (zu finden auf fast allen Crack-Seiten), installiert es, und ndert die Winice.dat folgendermaen um... scrollt ganz runter, dort entfernt ihr vor allen EXP den Strichpunkt (;) und speichert sie wieder ab... dann startet ihr euren Rechner neu.

Los geht's:
===========
Jetzt seid ihr wieder zurck in Windows und startet mal eCatch... so, jetzt schauen wir mal, wo wir uns registrieren lassen knnen.
Also, wir klicken auf ?, dann auf Register. Da steht jetzt, da wir unseren Namen und unsere Registriernummer eingeben sollen, haben wir die? Nein, also geben wir als Namen z.B. 
Gizmo [QCG] <-- ACHTUNG: Der Name mu mindestens 8 Zeichen lang sein!!!
ein und als Serial 
123456789
Jetzt klicken wir aber nicht auf Validate, sondern drcken STRG+D und finden uns in Softice wieder. Jetzt geben wir "bpx hmemcpy" ein. Kurze Erklrung:
bpx steht fr Breakpoint, d.h. das Programm wird von Softice unterbrochen, sobald eine bestimmte Funktion (in unserem Fall hmemcpy) ausgefhrt wird. Was hmemcpy bedeutet, ist nicht weiter wichtig, es funktioniert aber bei ziemlich vielen Programmen. Also, nachdem wir den Breakpoint gesetzt haben, drcken wir wieder STRG+D und finden uns im Registrierfenster wieder (ACHTUNG: WER EIN GRAVIS GRLP HAT, DER MUSS ES DEAKTIVIEREN, DA ES AUCH HMEMCPY BENUTZT!!!).
Im Registrierfenster klicken wir nun auf Validate, und was passiert ... BOOM! wir sind wieder in Softice.
So, jetzt sehen wir an der rechten Seite des Bildschirms ziemlich in der Mitte PROT16 stehen, da sind wir aber falsch, also drcken wir F12 (zum nchsten Anhaltspunkt), wieder nichts, also drcken wir so lange F12, bis wir PROT32 finden (vom Anfang an 7 mal). Wenn wir das haben, dann knnen wir mit F10 jede Funktion der Reihe nach ausfhren. Das machen wir auch.
So, was ist fr uns jetzt berhaupt wichtig?
Also: Unsere Eingabe wird immer in einem bestimmten Wert (EAX, EDX, EBP usw.) gespeichert. Fr uns ist also alles wichtig, was diese Werte ndert ... jetzt sind ein wenig Assemblerkenntnisse gefragt. In diesem Fall ist fr uns der Befehl MOV wichtig. Also drcken wir so lange F10, bis der Befehl MOV ausgefhrt wird. Jetzt kommt es auf den Register (Wert) an, der gendert wird. Steht da z.B. MOV EAX [12354893], so wird der Wert EAX gendert. Wie knnen wir aber sehen, was in dem Wert drinsteht?
Ganz einfach, in der Befehlszeile (unten) geben wir einfach d EAX ein... (oder jedes andere Register, das gendert wird). Nach ein paar MOVs, finden wir nichts wichtiges (es msste nach der Eingabe von d ... im Fenster weiter oben eine gltige Serial stehen (einfach nach einer Zahlenfolge schauen). Doch je weiter wir machen, desto weniger glauben wir, hier noch Erfolg zu haben. Also enden wir schlielich wieder bei PROT16 (nach dem F10 gedrcke wird der Bildschirm kurz schwarz, dann finden wir uns in Softice wieder und da steht statt PROT32 einfach PROT16. Dann drcken wir halt wieder F12 (wieder 7 mal), bis wir uns wieder bei PROT32 finden. 
Kurze erklrung noch: Das, was wir bis jetzt gesehen haben, ist die berprfung und "Einlesung" des Namens. Es wird jetzt eine gltige Serial erstellt und abgespeichert. Doch wir wollen ja nicht den Namen sondern die Serial. Also machen wir nach den 7 mal F12 drcken wieder das gleiche wie vorher... wir drcken immer F10 und bei jedem MOV oder ADD (auch eine nderung des Registers) stoppen wir und schauen uns den Register an... Wir kommen schlielich zu diesen Zeilen:

E8CAB7FEFF	CALL 004ADB94
8B45F4		MOV EAX, [EBP-0C]
8B45F4		PUSH EAX

nachdem der Cursor auf PUSH EAX ist (nachdem wir bei MOV EAX auf F10 gedrckt haben), geben wir d EAX ein und sehen oben eine schne Nummer (6C755C34DC64E1B020718031). Dieses ist unsere gltige Seriennummer. Da wir jetzt haben, was wir wollen, geben wir "bd *" ein (das deaktiviert die Breakpoints - die brauchen wir jetzt nichtmehr) und drcken wieder STRG+D. In eCatch gehen wir dann wieder auf Register, geben als Namen Gizmo [QCG] ein und als Serial 6C755C34DC64E1B020718031. TATAA! Wir sind registriert und knnen die Vorteile der Vollversion nutzen...

oUtRo:
======
Ich hoffe, es hat euch gefallen. Wenn ihr etwas nicht verstanden habt, mir Kritik schreiben wollt oder Anregungen, dann tut dies [e-mailGIZMO@gmx.net].
Schaut mal auf unserer Homepage vorbei:
http://come.to/qcg

Greetz:
=======
All QCG Memberz
Prof X
Berserka
4110
EVC
und alle, die mir grad' nicht einfallen...

written by Gizmo from QCG 1999