Herzlich Willkommen zum 1. Tutorial von JTK '99!

Vorwort:

Na, ihr kleinen, stinkenden Newbies - ach, naja - Also ich soll (will) euch also heute das cracken beibringen! Gut keine Problem, fangen wir ganz einfach an! Für meine Rechtschreib- und gramatikalen Fehler will ich mich jetzt schon entschuldigen, sorry tut mir leid! Eine Bitte hab ich noch: Schreibt mir eine Mail wenn euch mein TUT gefallen hat, aber nicht so was: "Das ist scheisse wie du das machst und erklärst..." - dazu sage ich nur eins: Schnauze! - ich mach das wie ich will, DANkE!

Pragramm?:

Also ich hab mich für UltraEdit 6.20b german (www.ultraedit.com) entschieden. Das ist relativ einfach zu cracken und fordert ein bißchen den Umgang mit HexWorks.

Toolz you need:

W32Dasm v8.9

HexEditor (ich benutze HexWorkshop 3, www.bpsoft.com)

Alle Toolz bekommt ihr unter: http://protools.hpage.net

Let's do it!:

So installiert mal UltraEdit, ganz normal. Erstellt eine Copy die wir cracken (ich mache immer eine im selben Programmpfad ein Copy namens crk.exe)! So, jetzt gucken wir uns das Programm mal an, gleich beim Start seht ihr:

Hmm, schiess' NAG! Okay den patchen wir jetzt mal weg! Dazu öffnen wir unsere copy (crk.exe) mit HexWorks und gehen auf 'Edit' und dann 'Find'. So, jetzt Machen wir folgendes:

Wir stellen 'Text String' bei Type ein und unter Options: 'Either'. Als Value geben wir die ersten 2. Wörter des NAGs an 'Sie arbeiten'! Dann clicken wir auf 'OK' und sehen:

Aha, HexWorks hat unseren NAG gefunden! Und was sehen wir vor dem 'Sie arbeiten'? Ein FFFF FFFF 8200 - hmm das wir einfach! Wir machen also aus der 82 einfach 7E und speicher ab (Diskettensysmbol)! So der NAG sollt weg sein! Testen wir das Programm! Hmmm, scheisse - jetzt ist zwar der NAG weg aber dafür ein anderer da! Und zwar:

Okay, kein Problem wiederholen wir das ganz wie bei dem 1. NAG nur daß wir nicht nach 'Sie arbeiten' sondern nach 'Name des Anwenders:' suchen. Wir finden wieder ein FFFF FFFF 8200 davor und ändern die 82 in 7E - Okay das sollte euch keine Probleme mehr machen! Speichern nicht vergessen und testen, AAAARRG! Schon wieder so ein schiess' NAG - ich dreh durch!

Die lernen es auch nicht das wir kein Geld ausgeben wollen!!! Okay, Okay - ganz ruhig, rauchen wir eine Zigarette - ahhhh, schon besser! So wieder zu unserem NAG: Wenn ihr jetzt testet werdet ihr mitbekommen das vor dem,NAG kein FFFF FFFF 8200 steht - was sagt uns das? Genau, jetzt wird's komplizierter, Fangen wir mir W32dasm v8.9 an! Entzippt das Programm und startest es, ihr seht:

So, clickt jetzt auf 'Open File to Disassemble' und sucht euch Uedit32.exe, markieren und Öffnen clicken. Nehmt nicht crk.exe! Ihr müßt jetzt warten, warten, warten ... Naja, jetzt sollte das Programm fertig, ihr seht wahrscheinlich alles in Klingonisch oder so! Macht nichts geht auf 'Font' - 'Select Font' und sucht euch eine schöne Schriftart raus (ich nehme immer MS Sans Serif). Clickt OK.

Hmmm, W32dasm ist jetzt konfiguriert! Jetzt geht's los. Erinnert euch an unseren NAG (siehe oben) der begann mit: 'Um UltraEdit weiterhin zu' das wollen wir jetzt mal suchen. Also, clickt ihr jetzt auch das Symbol mit der Taschenschlampe (hihi) und gebt als Suchtext 'Um UltraEdit weiterhin zu' ein klickt auch Suchen. W32dasm sollte was gefunden haben! Das sieht dann so aus:

Ach du scheisse, werdet ihr jetzt denken! Macht nichts ich versuche alles zu erklären! So, wenn ihr jetzt mal über dem roten Text schaut seht ihr ein jne 0042b12c . Jne heißt soviel wie jump if not equal - hier wir also irgendwas verglichen und wenn es nicht übereinstimmt wir gesprungen. Wir wollen das gesprungen wird und somit nicht push 00000045 unser NAG ausgefürt wird! Wir wollen also das unbedingt gesprungen wird, also müssen wir aus jne ein jmp (einen normalen, unabänderlichen Jump) machen. Dazu braucht ihr folgendes:

Natürlich braucht ihr nicht alle, aber was man hat hat man. Lernt die auswendig wenn ihr gut werden wollt. Naja, wir sehen also das unser JNE (suchen) den HexWert 75 und unser JMP den wert EB hat, Gut, merken! Okay, jetzt brauen wir noch die HexOffset wo unser JNE steht, dazu muss sich der grüne Balken darauf befinden (wie im Bild oben - einfach Doppelklick drauf!). Jetzt lesen wir bis unten:

Wichtig für uns ist der Abschnitt @Offset, da steht 2B123 - merken. Jetzt gehen wir zurück zu Hexworks, auf 'Edit' und 'Goto...'. Wir sehen:

Wir markieren alles wie hier angezeigt und geben unsere Offset an - 'Go' clicken. HexWorks springt jetzt zur Offset, bei dem blinkenden Cursor sehen wir 75 07 ... (aha unser JNE). Wir ändern also die 75 in EB (JUMP) um - speichern und testen das Programm! Hmmm, irgenwas stimmt noch nicht - der Nag ist immernoch da! SCHEISSE!!! - Okay, Zigatette. (ah, uh, besser).

Also, scheinbar war das noch nicht unser NAG. Gehen wir zurück zu W32dasm und klicken erneut auf suchen. W32dasm findet auch prompt was. Diesmal sieht es so aus:

Hmm, da können wir jawohl nichts machen (steht schon ein JMP drüber). Okay suchen wir weiter! Wir finden:

Machen wir das gleiche noch mal wie bei 1. Also, Offset vom JNE, HexWorks in EB umändern und testen. Hmmmm, so ein Kiff - wieder nicht!!!

Also suchen wir weiter! Wir finden:

Diesmal steht der JNE nicht über dem 'Um UltraEdit Weiterhin ..' sondern über 'UltraEdit - Die 45 Tage...', hmmm sieht interessant aus! Grünen Balken auf den JNE - Offset (5A6E8) ablesen, in Hexworks gehen, zu dem Offset gehen und 75 in EB umwandel, speichern ... und testen!

Was sehen meine müden Augen? NEIN - doch es ist so: NAG WEG!!! Geil!

DONE

So das war nun also mein 1. Tut., ich hoffe ihr habt alles kapiert und hattet keine Probleme. Wenn es euch gefallen hat oder ihr Probleme hattet schreibt mir bitte eine Mail (JTK99@gmx.net) ! Bye, bis zum nächsten JTK '99 - Tutorial.