+-----+----------+----------+-------------------------------+
| 003 | cracking | An-Mojeg | an-mojeg@mail-developpeur.com |
+-----+----------+----------+-------------------------------+

Tutorial - crack de Universe v1.5
#################################

Introduction
------------
	Voil un second tut de crack sur un soft que vous connaissez pas dutout j'imagine (encore! lol :)
Universe est un prog sympa comme tout (mais payant) qui permet de crer des images spatiales avec la
possibilit de mettre des toiles, des galaxies etc ... mais en version shareware on peut pas mettre
quelques plantes :'(
	hum ... en fait l'utilite du soft on s'en tape ce qui nous interresse au niveau technique
c'est qu'avec ce soft je veux vous apprendre  patcher un prog pas seulement en nopant par-ci par-l
voil na ! :)

Universe v1.5
-------------
	L tout d'abord nous allons le dsassembler mais sans commencer a ce jeter comme des malades
sur les string ref. (elles sont trompeuses ;) alors allons-y au dbugger (si vous ne savez pas utiliser
softice, lisez les hccc ou un zine a lise grim je croit aussi) l vous avez le choix, soit vous 
posez un breakpoint sur GetWindowTextA (la fonction qui rcup le couple nom d'utilisateur/serial) soit
vous posez un breakpoint sur MessageBox (pour localiser o il nous dit d'aller nous faire foutre en fait).
Bon je vous pargne tous Goto Code locations avec W32DASM et tout les bpx et je vous file la fonction qui
les enregistrement (elle est en 0041A3B0) regardons un peu a :

================================================================

* Referenced by a CALL at Addresses:
|:0041A009   , :0041A2A8   
|
:0041A3B0 53                      push ebx
:0041A3B1 56                      push esi
:0041A3B2 57                      push edi
:0041A3B3 8BF1                    mov esi, ecx
:0041A3B5 55                      push ebp
:0041A3B6 33FF                    xor edi, edi
:0041A3B8 33DB                    xor ebx, ebx
:0041A3BA 8B442414                mov eax, dword ptr [esp+14]
:0041A3BE 8B08                    mov ecx, dword ptr [eax]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041A3E8(U)
|
:0041A3C0 3B59F8                  cmp ebx, dword ptr [ecx-08]			; tout a nous concerne pas (on veut pas faire un keygen)
:0041A3C3 7D25                    jge 0041A3EA					; tout a nous concerne pas (on veut pas faire un keygen)
:0041A3C5 0FBE2C19                movsx ebp, byte ptr [ecx+ebx]			; tout a nous concerne pas (on veut pas faire un keygen)
:0041A3C9 03FD                    add edi, ebp					; tout a nous concerne pas (on veut pas faire un keygen)
:0041A3CB 8BC3                    mov eax, ebx					; tout a nous concerne pas (on veut pas faire un keygen)
:0041A3CD 99                      cdq						; tout a nous concerne pas (on veut pas faire un keygen)
:0041A3CE 33C2                    xor eax, edx					; tout a nous concerne pas (on veut pas faire un keygen)
:0041A3D0 2BC2                    sub eax, edx					; tout a nous concerne pas (on veut pas faire un keygen)
:0041A3D2 83E001                  and eax, 00000001				; tout a nous concerne pas (on veut pas faire un keygen)
:0041A3D5 33C2                    xor eax, edx					; 
:0041A3D7 2BC2                    sub eax, edx					;
:0041A3D9 83F801                  cmp eax, 00000001				;
:0041A3DC 1BC0                    sbb eax, eax					;
:0041A3DE 43                      inc ebx					;
:0041A3DF 83E002                  and eax, 00000002				;
:0041A3E2 48                      dec eax					;
:0041A3E3 0FAFE8                  imul ebp, eax					;
:0041A3E6 03FD                    add edi, ebp					;
:0041A3E8 EBD6                    jmp 0041A3C0					; etc ... lol

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041A3C3(C)
|
:0041A3EA 8BC7                    mov eax, edi
:0041A3EC 0FAFC7                  imul eax, edi
:0041A3EF 03C7                    add eax, edi
:0041A3F1 33FF                    xor edi, edi
:0041A3F3 50                      push eax					; a aussi
:0041A3F4 E827D7FEFF              call 00407B20
:0041A3F9 83C404                  add esp, 00000004
:0041A3FC 393E                    cmp dword ptr [esi], edi
:0041A3FE 7E0A                    jle 0041A40A

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041A408(C)
|
:0041A400 47                      inc edi
:0041A401 E83AD7FEFF              call 00407B40
:0041A406 393E                    cmp dword ptr [esi], edi			; a aussi
:0041A408 7FF6                    jg 0041A400

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041A3FE(C)
|
:0041A40A 8B7C2418                mov edi, dword ptr [esp+18]
:0041A40E 85FF                    test edi, edi
:0041A410 7F03                    jg 0041A415					; a aussi
:0041A412 8B7E10                  mov edi, dword ptr [esi+10]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041A410(C)
|
:0041A415 E826D7FEFF              call 00407B40
:0041A41A 2BC7                    sub eax, edi
:0041A41C 5D                      pop ebp
:0041A41D 5F                      pop edi
:0041A41E 83F801                  cmp eax, 00000001				; voil qui nous interresse
:0041A421 1BC0                    sbb eax, eax					; a aussi :)
:0041A423 5E                      pop esi
:0041A424 F7D8                    neg eax
:0041A426 5B                      pop ebx
:0041A427 C20800                  ret 0008

================================================================

	Je vient de me rendre compte que c'tait pas la peine de balancer toute l fonction si seulement
deux lignes m'interressait mais bon ... c'est pas grave :). En fait ces deux lignes nous montre le retour
de la fonctions qui est trait comme cela en 0041A009 :

================================================================

(...)
call	0041A05E		; appelle de notre chre fonction
test	eax, eax		; 
jne	0041A05E		; si eax = 0 alors srial incorrect meuh !
(...)

================================================================

	Ben voil nous avons plus qu'a modifier le retour de la fonction. Puisque nous savons maintenant que
la fonction d'enregistrement renvoi 0 lorsque le srial est faux. Mais voil nous pouvont le faire seulement
en utilisant la place donne avec ces deux instructions :

cmp eax, 00000001	; 
sbb eax, eax		; si eax est different de 1 nous soutrayons (?) eax par eax, on le fout a zro quoi

soit 83 F8 01 1B C0 soit 5 octets :)

Nous allons donc remplacer ces instructions par :
xor eax, eax		; on met eax a 0
inc eax			; on l'incrmente

Pis voil voilou. Pour tester cela avec SoftIce on met un breakpoint sur 0041A41E.

bpx 0041A41E
On va a la boite de dialog d'enregistrement on met n'importe quoi (bah An-Mojeg/666 a va trs bien :) et on
appuie sur le bouton register, l softice arrive puis on entre nos ptites instructions comme a :
a		; <- pour rentrer les instructions quoi :)
xor eax, eax
inc eax
nop		; ben oui faut un peu noper pour combler les trous 
nop		;
(echap)
(ctrl+D)

Bingo ! c'est enregistr yaouuuuuuuuuuuuuuu ! Voil maintenant ce que a nous donne au desassembleur :

================================================================

:0041A41E 33C0                    xor eax, eax
:0041A420 40                      inc eax
:0041A421 90                      nop
:0041A422 90                      nop

================================================================

	Il ne vous reste plus qu'a remplacer 83 F8 01 1B C0 par 33 C0 40 90 90  l'offset 0x1981E.
	Que c'est booo bon ben vous savez faire les cracks maintenant nan ? (cf 001)

An-Mojeg		[ an-mojeg@mail-developpeur.com ]