Moin Leutz!
Also hier mein erstes Tutorial

Toolz
-Softice 4.0   (gibts bei crackstore.com glaub ich)
-nen HexEditor (z.b. Hackers View 6.x auch bei crackstore.com)
-Princess Sandy 1.0 (bei crackstore.com)
  oder nen anderen Process Patcher
-Frogsice  (ist beigelgt oder www.thepentagon.com/frog_s_print)

und natrlich unser Opfer 
Advandced ZIP Password Recovery 3 Beta 4.0 (www.elcomsoft.com)

Lets GO!

OK.
Unser Opfer is also ein Prog mit dem das vergesse Passwort fr ZIP Dateien wiederkriegen
kann.
Toll, und warum schreib ich dann darber?
Erstmal weils es Shareware ist und zweitens weil es ein paar Besonderheiten hat.
Also wie starten azpr mit softice im hintergrund.
Was das?
"Debugger detected!"
Oooh, ein Anti-Softice Trick. Hmm, soll uns nicht weiter kmmern.
Also starten wir frogsice und nochmal azpr und was wrde Bobble jetzt sagen?
Ich bin drin, das is ja einfach!


Jetzt schauen wir uns ein bichen um.
Also das sind unsere Sharewareeinschrnkungen

-max. Passwortlnge ist 5
-berall ein paar Shareware Hinweise

Wir klicken also REGISTER (der Schlsselbutton) und sehen nur ein Eingabefeld.
Hmm, scheint wohl ne Serial zu sein, die an unserer Hardware oder so errechnet wird.
Damit fllt die Mglichkeit ne Serial fr die ffentlichkeit zu machen flach.
Also FakeSerial rein und ok drcken.
Jetzt kriegt die Eingabebox erstmal nen epileptischen Anfall und dann sagt uns uns ne MessageBox das unsere Serial falsch ist (SCHADE).
Also Softice an (STRG-D) und bpx MessageBoxA
F5 drcken um Softice zu verlassen.
Also wieder Fake Serial rein OK und jetzt sollte Softice aufpoppen.
F11 drcken um wieder in den Programm Code zu kommen.
Vorher noch die MsgBox wegklicken.
So jetzt scrollen wir etwas nach oben (F6) und sehen bei

00412D8E     jz 00412DB0

ist das vielleicht der jump der entscheidet ob unsere Serial falsch oder richtig ist?
Mal sehen. Also bpx drauf (bpx und die Adresse die vom dem Befehl steht)
Aus Softice raus. Fake Serial rein, OK, Softice poppt auf.
Wir stehen jetzt auf dem JUMP und Softice sagt uns das wir hier springen werden.
Wollen aber nicht.
Also schreiben wir
a [Enter]
jnz 00412DB0 [Enter]
[ESC]

Jetzt mte Softice uns sagen das wir nicht springen.
Also aus Softice raus und JUHUU unsere Serial war richtig.
Jetzt gucken wir bei Length mal nach ob unsere Patch erfolgreich war.
Aber was ist das???
Immernoch nur 5 Buchstaben maximal.
Da haben wir wohl nur die MessageBox gepatcht.
Das Programm mu also noch woanders die Serial berprfen.
Also nochmal FakeSerial,OK Softice sollte aufpoppen. (Wenn die den BPX auf dem jz habt)
Wir scrollen nochmal hher (F6) und sehen

CALL 004128FD    ;die Vergleichsroutinen
TEST EAX,EAX     ;berprfe das Ergebnis dieser Routine
JZ   .......     ;falls '0' Falsche Serial


Vielleicht ruft das Programm diese Vergleichsroutine ja auch noch woanders im CODE auf?
Das jetzt alles zu berprfen ware viel zu aufwendig.
Also BPX auf den CALL
Raus aus SICE. Fake Serial und so weiter. Jetzt gehen wir in den Call (F8) und scrollen
etwas weiter nach unten (F10).
Wie suchen nach einem Befehl der EAX mit 0 vollstopft.
Das wre z.b. xor eax,eax
Haltet also mal Ausschau nach diesem Befehl.
etwas scrollen und dann mtet ihr 

...
00412914   XOR EAX,EAX     ; EAX = 0   in wre der Befehl 31C0
00412916   JMP 00412A23    ; springe zum Ende der Routine
...

sehen.
OK. Wir mssen also verhindern das EAX den Wert 0 bekommt!
Das machen wir so
a    
nop     ; mache nichts HEX 90
inc eax ; erhhe EAX um 1  HEX 40
[ESC]

Jetzt zur erklrung
Der Befehl der unser EAX leermacht is genau 2 Bytes lang
Also wrde es nicht ausreichen nur 
a
inc eax

zu schreiben, da dann das C0 mit dem nachfolgenden JMP vermischt wird und das gibt dann
Code Mll. Also schreiben wir das NOP (du kannst auch was anderes schreiben aber NOP ist am Besten da es immer 1 Byte gro ist) und INC EAX und unser JMP hat nix abbekommen.
Also aus Softice raus.
Unsere Serial ist richtig. Sehr schn. Und die Passwort Lnge?
JUHUUU. Man kann sie grer als 5 machen. 
 
Jetzt mssen wir die nderungen die wir in Softice gemacht haben nur noch in die Datei bringen, denn die nderungnen sind nur im Speicher vorhanden.
Also Hiew an und an unsere Adresse gehen.
Wat dat?
Nicht gefunden????
Ich erspare euch das berlegen. Unsere Datei ist gepackt!
Wir knnen da also nicht so einfach unsere Stelle mit nen HexEditor verndern.
Hmm. Was nun sprach Zeus.
OK. Wir knnten jetzt derherkommen und die Datei patchen. Das ist aber nicht ganz so einfach und auerdem hab ichs auch nicht gepatched gekriegt. Also startet mal Princess Sandy und erstellt nen Loader fr AZPR.
Wie das geht?
Also 
ADD ITEM
Als Adresse die vom XOR EAX,EAX eintragen (00412914)
Als Original 31C0 und als Patched 9040 
BUILD
Fertig
Jetzt startet mal den loader und unsere AZPR ist gereggt.
Der Loader macht die nderungen die wir in Sice gemacht haben automatisch.
Cool!!
So das tutorial is hiermit beendet.
Ich entschuldige mit nicht fr eventuelle Rechtschreibfehler.
Wems nicht gefllt der solls nicht lesen. Basta!


Fragen?
Schick mir ne mail
StaRik@gmx.net






 

