Es ist mal wieder so weit...

Willkommen zum 3. JTK '99 - Tutorial!

Schreibt eine E-Mail wenn euch mein Tut. gefällt.

Los geht's:

Installiert ACDSee und schaut es euch in Ruhe an (Sharewareeinschränkungen und so ...). Hmm, nach der Testphase seht ihr folgendes:

Wir können ACDSee nicht mehr starten. Patchen wir den „Bug“ weg ...

Wenn wir uns 'ACDSee.exe' in HexWork anschauen erkennen wir, daß es gepackt ist, mit ASPack (sieht man an 'aspack' im Kopf).

---------------

Kurze Erklärung: Wie es Packer für Dateien gibt (z. B. WinZip, WinRAR), gibt es diese auch für .exe's. Wenn wir nun ein Programm programmieren und compilern erhalten wir meist eine sehr große ausführbare Datei. Diese können wir mit einem Packer komprimieren! Der Packer packt also das Programm und fügt einen Entpacker intern hinzu. Klicken wir darauf wird die original Datei (ungepackt) in den Speicher dekomprimiert und ausgeführt. Der springende Punkt ist der, das komprimierte Dateien nicht direkt gepatcht werden können. Entweder entpacken wir diese und patchen dann, oder wir erstellen einen Memory-Patcher, der das Ganze im Speicher patcht. Gute .exe-Packer sind: UPX und ASPack ...

---------------

Entpacken wir ACDSee nun mit UnAspack. Also: UnAspack starten und 'ACDSee.exe' laden und einfach auf 'Unpack' klicken - fertig (easy way)! Wenn alles geklappt hat sollte eure .exe nun etwas größer sein (bei mir: 1.393.152 Byte) und einwandfrei starten ...

Disassemblern wir nun 'acdsee.exe' mit W32dasm. Hmm, fuck, geht nicht.

Naja, kein Problem - jetzt brauchen wir ProcDump ... Startet ProcDump, klickt am rechten Rand auf 'PE Editor' (1) und ladet 'acdsee.exe' (schliesst vorher noch alle Programm die auf die .exe zugreifen könnten, z. B. W32dasm od. HexWorks). Dann klickt ihr auf 'Sections' (2) und markiert '.text' in der Liste. Darauf klickt Ihr nun mit der rechten Maustaste und wählt 'Edit section' (3) aus. Jetzt öffnet sich ein kleines Fenster in dem Ihr rechts unten, unter 'Section Characteristics' 'C0000040' stehen seht (hoffentlich). Ändert 'C0000040' in 'E0000080' um und klickt auf 'OK' (3 mal). Schießt ProcDump, nun solltet ihr 'acdsee.exe' disassemblern können.

Probieren wir es, bei mir geht's! ...

Zurück zum NAG:

Wie fangen wir den NAG nun ab? Ich hab mich für BMSG (Breakpoint on Windows Message) entschieden, weil sehr wenige (mir bekannte) Cracker diesen Befehl kennen bzw. benutzen, dieser aber dennoch sehr nützlich ist. Dazu benötigen wir das Tool 'Mouse Hook Demo' (oder kurz: MHOOK). Starten wir es und sehen:

Wenn wir auf 'Hook' klicken und ein bißchen mit der Maus über irgendwelche Fester fahren, sehen wir, daß sich die Werte ändern. Geil. :) Uns interessiert 'Handle'. Wir gehen folgendermaßen vor: Startet ACDSee, ihr seht den NAG fahrt mit dem Cursor auf ihn und lest den Handle ab. Bei mir ist er 'c6c', bei euch sicher anders. Merken! Schließt MHOOK aber um Gotteswillen nicht den NAG !

Jetzt geht ihr in SoftICE (mit Strg+D) und gebt folgendes ein: 'bmsg *dein Handle* wm_destroy' (also bei mir: 'bmsg c6c wm_destroy') und drückt 'Enter'.

---------------

Nur zur Erklärung, dies' nicht interessiert überspringen das einfach!

Kurz: SoftICE hält an, wenn Windows eine Nachricht an unseren NAG schickt, daß dieser sich schließen soll.

---------------

So, wir waren bei 'Enter' drücken. Nun geht Ihr mit F5 aus SI raus und schließt den NAG (das Kreuzchen rechts-oben benutzen). SI sollte breaken. Ihr seit irgedwo in user32, drückt nun so lange F12 (SI verarbeitet den aktuellen call fertig) bis Ihr in ACDSee seit. Bei mir war das 12 mal, dann solltest ihr unter einem user32!DialogBoxParamA - call raus kommen. Ok? Drückt danach noch einmal F12 und ihr kommt unter irgendeinen call heraus. Scrollt hoch, ihr seht:

EAX wird nach unserer Testphase immer (-5) sein (in SI steht links-oben EAX=FFFFFFFB, das heißt (-05) - einfach mal '?eax' eingeben, dann kann man das auch sehen), dann wird nicht gesprungen und unser call und damit der NAG ausgeführt.

Ok, probieren wir also aus dem JNZ ein JMP zu machen , das machen wir erstenmal als Test nur in SI. Wir löschen alle brakepoints mir 'bc*' und setzen einen neuen auf unser CMP, also 'bpx 43cd52' eingeben. F5 drücken und ACDSee erneut ausführen. SI breakt , wir geben 'd 43cd55' ein und sehen unseren Hexcode im Editier-Fenster. Aus der 75 machen wir ein EB (für JUMP) und drücken F5 damit ACDSee weiter läuft.

Hmm, fuck es startet nicht ... Ok, dann stimmt irgendwas an unseren Registerwerten nicht! Ist es EAX? Versuchen wir etwas anderes: Drehen wir die Systemuhr zurück, so das ACDSee wieder läuft! Starten das Programm erneut, SI breakt, und was sehen wir? 'EAX=00000000'. Aha, also muß in EAX 0 stehen damit das Proggie startet. Löscht alle breakpoints (bc*) und verlasst SI!

Gut, jetzt brauchen wir noch das Hex-Offset damit wir patchen können. Ich nehm 43CD52 und starte W32dasm, jump dahin und lest den Offset unten ab: 3CD52. Jetzt starten wir Hexworks und jumpen zur Offset 3CD52 und ändern wie folgt um:

Kurz: Wir patchen also unser 'CMP EAX, -05' zu 'XOR EAX, EAX' damit EAX auf 0 gesetzt wird und ACDSee läuft. Da unser CMP aber 3 Bytes belegte und XOR nur 2 braucht, machen wir aus dem dritten ein 90 (no Operation). Aus unserem bedingten Jump (jump if not equal) machen wir noch einen unbedingten. Fertig.

Abspeichern. ACDSee testen und: Trial period is DONE !!!

So das war unsere Zeitbeschränkung, aber ab-und-zu kommen da noch so hässliche NAGs. Zum Bleistift:

Hier schlage ich vor: Wir üben noch einmal das eben gelernte (aufgefrischte). Also MHOOK, Handel, bmsg *handel* wm_destroy in SI, ein paar mal F12 ... das solltet ihr jetzt selber rausfinden!

Ich sag nur noch eines: der „Übeltäter-Jump“ liegt bei 4B7883. Bei dem NAG müßt Ihr ein paar mal mehr F12 drücken und danach ziemlich weit hochscrollen. Testet Euch selber, ob ihr's verstanden habt ...

Viel Spaß beim cracken, JTK '99!

Jetzt noch das übliche andere: