Promax - Tutorial: Registrierung von Hexenkche


Programm: 	Hexenkche v3.0
Beschreibung: 	Sammlung von coolen Rezepten.
Autor: 		(c)1998/99 Software-Factory
Gre: 		958.976 Bytes (Hexe3.exe)


Werkzeug: - W32DSM89


1. Lade Hexenkche und anschlieend W32DSM89.

2. So nun mssen wir den Schutz herausbekommen.

   Hexenkche nuzt eine Serial-Number als Schutz.

3. Disassembliere nun Hexe3.EXE und starte den Debugger ber [Debug/Attach to an Active Process].

4. Suche nun mittels [Refs/String Data References] nach der Fehlermeldung
   "Falsches Passwort!". Durch Doppelklicks werden die entsprechenden 
   Zeilen im Listing angezeigt. Diesmal finden wir nur eine Referenz an
   Adresse :004A773D .

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004A76BB(C)
|
:004A7732 6A00                    push 00000000
:004A7734 668B0D90774A00          mov cx, word ptr [004A7790]
:004A773B B202                    mov dl, 02

* Possible StringData Ref from Code Obj ->"Falsches Passwort!"
                                  |
:004A773D B8EC774A00              mov eax, 004A77EC
:004A7742 E881BCFAFF              call 004533C8

 Aha ! Nun scrollen wir mal nach oben und schauen mal wo die Fehlermeldung aufgerufen wird.
 Das ist in 004A76BB.Gut suchen wir mal aufwrts nach 004A76BB.Wir landen jetzt bei

:004A76B9 3BF7                    cmp esi, edi                      ; -> Vergleich
:004A76BB 7575                    jne 004A7732                      ; -> BP setzen
 
 Hier wird nun die eingegebene Serial mit der Richtigen verglichen.
 Wenn beide nicht gleich -> springe zur Fehlermeldung [004A7732].

5. Setzen wir nun auf die entsprechende Zeile einen Breakpoint [F2] und starten
   "Hexenkche".Als Namen nehmen wir "Promax" und als Serial "1122334455".So nun
   [ENTER]. Wow,das Programm stoppt.Nun schauen wir uns mal den Inhalt der Registeradressen an.

   esi : 42E576F7 (h) -> 1122334455 (d) -> Falsches PWD 
   edi : 08BC6422 (h) -> 146564130  (d) -> Richtiges PWD

6. Hier ist nochaml der vollstndige Auszug der Vergleichsroutine. 

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004A7667(U)
|
:004A7689 8B45F8                  mov eax, dword ptr [ebp-08]
:004A768C E8EF15F6FF              call 00408C80
:004A7691 8D0480                  lea eax, dword ptr [eax+4*eax]
:004A7694 8945DC                  mov dword ptr [ebp-24], eax
:004A7697 DB45DC                  fild dword ptr [ebp-24]
:004A769A E86DB4F5FF              call 00402B0C
:004A769F 8BF8                    mov edi, eax
:004A76A1 8D55F4                  lea edx, dword ptr [ebp-0C]
:004A76A4 8B83DC020000            mov eax, dword ptr [ebx+000002DC]
:004A76AA E88596F8FF              call 00430D34
:004A76AF 8B45F4                  mov eax, dword ptr [ebp-0C]
:004A76B2 E8C915F6FF              call 00408C80
:004A76B7 8BF0                    mov esi, eax
:004A76B9 3BF7                    cmp esi, edi
:004A76BB 7575                    jne 004A7732                      ;Sprung zur Fehlermeldung
:004A76BD 8D55F4                  lea edx, dword ptr [ebp-0C]

:
: bla bla bla
:

:004A771D 668B0D90774A00          mov cx, word ptr [004A7790]
:004A7724 B202                    mov dl, 02

* Possible StringData Ref from Code Obj ->"Die Vollversion ist freigeschaltet, "
                                        ->"bitte starten Sie das Programm "
                                        ->"neu."
                                  |
:004A7726 B89C774A00              mov eax, 004A779C
:004A772B E898BCFAFF              call 004533C8
:004A7730 EB15                    jmp 004A7747

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004A76BB(C)
|
:004A7732 6A00                    push 00000000                      ;Fehlermeldung
:004A7734 668B0D90774A00          mov cx, word ptr [004A7790]
:004A773B B202                    mov dl, 02

* Possible StringData Ref from Code Obj ->"Falsches Passwort!"
                                  |
:004A773D B8EC774A00              mov eax, 004A77EC
:004A7742 E881BCFAFF              call 004533C8

7. Hexenkche kann nun mit dem gefundenen Code freigeschaltet werden.

   z.B. Name   : Promax
        Serial : 146564130

8. Hinweis :

   Nach erfolgreicher Registrierung schreibt Hexenkche die Registrierdaten
   verschlsselt in die Datei "Hexe.hid" im "Hexenkche"-Verzeichnis !


Viel Spa beim CRACKEN!
Promax [DOOM]
23.01.1999


