Vanor - Tutorial: Registrierung von JPEG Wizard v1.11


Programm: 	JPEG Wizard v1.11
Beschreibung: 	Jpeg Image Manipulation Tool
Autor: 		(c)1998-1999 Pegasus Imaging Corporation
Gre: 		2.485.248 Bytes (Jwizard.exe)


Werkzeug: - W32DSM89


1. Zuerst mssen wir herausbekommen um welche Art von Schutz es sich handelt. 
   Dazu starten wir "JPEG Wizard" und gehen in das Menu "Help", dort ist auch schon
   eine Option "Registration" zu sehen. Wir klicken also auf "Registration" und es ffnet
   sich ein Fenster wo wir Name und Serial eingeben knnen.
   
   JPEG Wizard nutzt also eine Serial-Number als Schutz !

   Um nun einen Anhaltspunkt fr unsere Serial zu bekommen,trage nun
   irgendwelche Daten im Freischaltmen ein.
  
   Die auftauchende Fehlermeldung unbedingt merken !!!

2. Verlasse das Programm und Lade W32DSM89

3. Disassembliere nun die Jwizard.EXE (speichere sicherheitshalber den
   Quellcode ab) und starte das Programm ber den Debugger [Debug/Load
   Process].

4. Suche nun mittels [Refs/String Data References] nach der Fehlermeldung
   "Invalid Registration Information!". Durch Doppelklicks
   werden die entsprechenden Zeilen im Listing angezeigt. Diesmal finden wir
   nur eine Referenz an der Adresse :004BAEAF.


* Referenced by a (U)nconditional or (C)onditional Jump at Address:
:004BACFC(C)

:004BAE9D 6A00                    push 00000000

* Reference To: user32.MessageBeep, Ord:0000h
                                  |
:004BAE9F E824C3F4FF              Call 004071C8
:004BAEA4 6A00                    push 00000000
:004BAEA6 668B0D98AF4B00          mov cx, word ptr [004BAF98]
:004BAEAD B202                    mov dl, 02

* Possible StringData Ref from Code Obj ->"Invalid Registration Information!"
                                  |
:004BAEAF B8F0AF4B00              mov eax, 004BAFF0
:004BAEB4 E8BB66F8FF              call 00441574

SNIP


Aha ! Nun scrollen wir mal nach oben und schauen mal wo die Fehlermeldung aufgerufen wird bzw. wo sie umgangen wird.
Das ist bei 004BACFC. Gut suchen wir mal aufwrts nach 004BACFC.Wir landen im folgenden Bereich:

SNIP

:004BACF1 8B55F4                  mov edx, dword ptr [ebp-0C]
:004BACF4 8B45F8                  mov eax, dword ptr [ebp-08]
:004BACF7 E81893F4FF              call 00404014						; Checkroutine fr Serial
:004BACFC 0F859B010000            jne 004BAE9D						; Aufruf der Fehlermeldung
:004BAD02 C605CCD0520001          mov byte ptr [0052D0CC], 01
:004BAD09 BAF4FFFFFF              mov edx, FFFFFFF4
:004BAD0E 8B8324020000            mov eax, dword ptr [ebx+00000224]
:004BAD14 E8F77DF6FF              call 00422B10

SNIP
 
 Um zu sehen ob wir mit unserer Annahme richtig liegen gehen wir zu Punkt 5
 ber.
 
5. Wir setzen nun auf die entsprechende Zeile [004BACF7] einen Breakpoint [F2]
   und starten "JPEG Wizard". Als Namen nehmen wir "DOOM 1999" und als Serial
   "11223344556677889900".So nun auf [Register Now] klicken. Wow,das Programm
   stoppt. Nun schauen wir uns mal den Inhalt der Registeradressen [edx] und [eax] an,
   die mit Daten aus dem Register [ebp] gefllt werden.

 Inhalt von edx : 11223344556677889900 -> unsere falsche Serial 
 Inhalt von eax : 129521882 -> Richtige Serial ?
      
6. Um zu prfen ob JPEGWizard mit der gefundenen Serial freigeschaltet werden kann,
   deaktivieren wir alle Breakpoints und starten das Prog nochmal.
   Nun geben wir folgendes ein:


        Name  :  DOOM 1999
        Serial:  129521882


   Und siehe da, wir sind ein registrierter User von JPEG Wizard.
   Es kommt selten vor, da das so einfach geht mit dem Cracken. Aber man
   ist ja nicht Schuld daran, da die Shareware-Programmierer sich 
   anscheinend nicht so viel Mhe mit ihren Schutzmechanismen machen.
 

7. Hinweis :

   Nach erfolgreicher Registrierung trgt JPEG Wizard die Registrierdaten
   unverschlsselt in die Registry ein. Die Eintrge sind unter folgendem Schlssel
   zu finden.
	
	HKEY_CURRENT_USER/Software/PegasusImaging/Apps/The JPEG Wizard/


Viel Spa beim CRACKEN!
Vanor [DOOM]
13.04.1999


