			Hiho und hallo,
         ich bin Blaster99 von der Digital Cracker Domain

das ist mein erstes Tutorial und ich werde versuchen Euch etwas ber Entpacken, Cracken, und Loader machen versuchen beizubringen. Bitte entschuldigt die vielleicht vielen Rechtschreibfehler, aber darauf kommt es ja hierdrin nicht an, oder ? :-) Also, unsere Zutaten fr diese kleine Fortbildung heissen:

-------------------------------------------------------------------------
-----------------------------VORBEREITUNG--------------------------------
-------------------------------------------------------------------------

1. ---->	W32dasm 8.93 oder auch lter *g*

2.----->	HVIEW 6.10 oder auch lter ;natrlich knnt ihr auch 			einen anderen nehmen, aber HVIEW ist einfach der Beste

3.----->	Procdump 1.50 (nur diese !)

4.----->	Risc's Process Patcher 1.2 ;der macht unsere kleinen 			loaderchen :o)

5.----->	CD BOX LABELER PRO 1.2 ;Unser Ziel

Die Cracking-Sachen bekommt ihr bei "http://protools.cjb.net" oder.
Unser Zielprogramm bei "http://www.gpsoftuk.com".

-------------------------------------------------------------------------
------------------------------ENTPACKEN----------------------------------
-------------------------------------------------------------------------

So, wir haben jetzt alles und knnen loslegen... Achnee, da ist noch etwas wichtiges (jaja, ich wei): Trinken und Essen holen, das braucht ihr mit sicherheit...Hier geht's los:

Als erstes starten wir mal unser Programm. Hmmm..., da kommt uns eine schne Messagebox entgegen. "Do you want to Register ?"...natrlich wollen wir das, aber jetzt noch nicht, also auf "NO" klicken. Was kommt denn nun noch ? Die Hilfedatei,mit Informationen ber die Vorteile des Registrierens. Auf Dauer ist das ziemlich nervig. OK, wir klicken im Men auf "Help", dann auf "About" und sehen sowas wie 
"Registered to: Unregistered User".
Das Prog prft also beim Start, ob wir registriert sind und entfernt gegebenenfalls die Startmeldung und ndert den Text zu 
"Registered to: DeinName". Das merken wir uns fr spter...

Nun ffnen wir die cdboxpro.exe mit unserem W32dasm. (jetzt knnt ihr etwas essen). Aber was ist das, warum sind da keine "Strng References" ? Hmmm..., wir schliessen das erstmal wieder und ffnen die Datei im Hex-Editor. Nanu, da steht ja ziemlich am Anfang der datei sowas wie "Compressed by Petite...". Aha, unsere Datei ist also gepackt, und zwar mit Petite. Wieder schliessen und Procdump starten, auf Unpack klicken, Petite 2.1 auswhlen und speichern lassen.

-------------------------------------------------------------------------
-------------------------------CRACKEN-----------------------------------
-------------------------------------------------------------------------

Jetzt von der entpackten Datei eine Kopie mit STRG+C und STRG+V machen.  Die Kopie disassemblieren wie jetzt (jetzt wieder was essen :o) ).
Bei "Strng References" nach "Unregistered User" suchen (du erinnerst dich, das solltest du dir merken). Doppelklick darauf uns es sieht so bei uns aus:


* Possible StringData Ref from Data Obj ->"-"
                                  |
:005120C6 6898215100              push 00512198
:005120CB 8D55E8                  lea edx, dword ptr [ebp-18]
:005120CE 8BC6                    mov eax, esi
:005120D0 E8CB55EFFF              call 004076A0
:005120D5 FF75E8                  push [ebp-18]
:005120D8 8D45F0                  lea eax, dword ptr [ebp-10]
:005120DB BA04000000              mov edx, 00000004
:005120E0 E8071EEFFF              call 00403EEC
:005120E5 8B45F4                  mov eax, dword ptr [ebp-0C]
:005120E8 8B55F0                  mov edx, dword ptr [ebp-10]
:005120EB E84C1EEFFF              call 00403F3C
:005120F0 7516                    jne 00512108 <---- Hier ist der Sprung
:005120F2 B82C5E5200              mov eax, 00525E2C
:005120F7 8B55FC                  mov edx, dword ptr [ebp-04]
:005120FA E8051BEFFF              call 00403C04
:005120FF C605305E520001          mov byte ptr [00525E30], 01
:00512106 EB37                    jmp 0051213F

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:005120F0(C)<----------------Von dort wird zu dieser Meldung gesprungen
|
:00512108 C605305E520000          mov byte ptr [00525E30], 00
:0051210F B82C5E5200              mov eax, 00525E2C

* Possible StringData Ref from Data Obj ->"Unregistered User"<--- Hier kommen wir hin
                                  |
:00512114 BAA4215100              mov edx, 005121A4
:00512119 E8E61AEFFF              call 00403C04
:0051211E 6A00                    push 00000000
:00512120 668B0DB8215100          mov cx, word ptr [005121B8]
:00512127 B203                    mov dl, 03

* Possible StringData Ref from Data Obj ->"Do you want to register?"
                                  |
:00512129 B8C4215100              mov eax, 005121C4
:0051212E E8EDBFF2FF              call 0043E120
:00512133 83F806                  cmp eax, 00000006
:00512136 7507                    jne 0051213F
:00512138 8BC7                    mov eax, edi
:0051213A E8A1000000              call 005121E0

Da wir nicht die Meldung "Do you want to register?" haben wollen und auch nicht "Unregistered User", machen wir einfach aus dem "jne 00512108" (Hex Code=7516) bei Adresse 005120F0 eine "No Operation" draus. Also ab in HVIEW, unsere Datei auswhlen (nicht die Kopie), 3x return, F5 und 1116F0 eingeben, return, F3, 2x 90, F9 und F10. Jetzt mal starten und sehen, was fr eine Meldung kommt. Gar keine ? Gut gemacht. Einmal auf "Info" und wir sehen, da da nun "Registered to" stehe. Also scheint es richtig registriert zu sein.

-------------------------------------------------------------------------
----------------------------LOADER ERSTELLEN-----------------------------
-------------------------------------------------------------------------

Natrlich macht man einen Crack, aber in diesem speziellen Fall ist es nicht mglich, da nicht jeder die Datei entpackt installiert hat. 
Die mehrere KB groe Datei zu verffentlichen kommt auch nicht in Frage, denn wer ldt sich schon gerne groe Dateien runter, wenn er nur ca 9 kb runterladen mte. Also kommen wir nicht drumherum einen Loader zu machen. Und das geht so:

Eine neue Textdatei im Verzeichnis von Risc's Process Patcher erstellen. Der Name ist ohne groe Bedeutung. In die Datei schreiben wir nun folgendes:


T=2000:                 ; Fr die Anzal der Versuche, die Bytes zu finden
                        ; bevor es einen Fehler gibt
F=cdboxpro.exe:         ; Die Datei zum Patchen
O=loader.exe:           ; Der Name des Loader
P=5120F0/75,16/90,90:   ; Ab Adresse/Suche nach/Ersetze mit
$			;Dies ist das Zeichen, das der Code zu Ende ist

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!ACHTUNG!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Bei der Adresse drfen keine Hex-Adressen eingebenen werden. Hier kommen nur die Adressen hin, die rechts bei W32dasm stehen. Werden 2 Bytes(7416) gesucht, so mssen auch 2 Bytes(9090) ersetzt werden.Der Loader muss sich immer im Verzeichnis der Zieldatei befinden, damit er funktioniert.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!ACHTUNG!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Die Datei speichern und rpp.exe starten. Die Textdatei auswhlen und kurz warten, bis unser Loader im gleichen Verzeichnis erstellt wurde. 
Jetzt knnt ihr den Loader zusammen mit einer kleinen NFO verbreitet werden.

-------------------------------------------------------------------------
---------------------------------ENDE------------------------------------
-------------------------------------------------------------------------

Sooooooo, das wre auch schon alles. Ich hoffe dieses Tutorial hat euch gefallen (oder auch nicht, wer wei). Kritik und so weiteres "nette" Sachen bitte an Blaster99@gmx.de oder teilt es mir bei #dcd im IRC/EFNET mit.

Bye
		Euer Blaster99 [DCD]

Greets fly out to:
Player, ^Loki^, _BLaDe, aDENOZiN, Storemaster,unsere Bots "Borki & friends", alle DCD Members und jeder, der mir im moment nicht einfllt.