Bueno este es el sexto 'elemento' y esta vez vamos a tratar un programa bastante bueno en lo referido a calidad ya que se trata de un programa tipo CAD para el modelado y ensamblaje de piezas mecanicas, por lo que en principio puede ser un reto superior a los anteriores. Conseguiremos tener una 'full version' del programa partiendo de una demo de 30 dias.

Nota:Este crack esta hecho para la versión demostración del programa Solid Edge 5.0 (Spanish).

Soft-Ice 4.0 for Windows
W32Dasm v8.93
Un editor hexadecimal a tu elección
Opcional: File monitor. (Este no es necesario pero puede ser útil)

Bueno, tras instalar el programa, se nos crean 3 diferentes accesos al programa en question, estos son :

Solid Edge Chapa -> smetal.exe
Solid Edge Conjunto -> assembl.exe
Solid Edge Pieza -> part.exe
Solid Edge Plano -> draft

Cada uno de estos accesos corresponde a un ejecutable distinto como he indicado, por lo que seguramente cada uno deberá ser modificado para que funcione 'correctamente'. Probaremos primero con Solid Edge chapa haciendo click sobre este, veremos que el programa nos muestra un mensaje en el que nos comunica el fin de nuestro periodo de evaluación (esto es cierto si la fecha de nuestro sistema supera el 1 de Enero de 1998 ya que el periodo de evaluación empieza el 1 de diciembre de 1998 y dura 30 dias, si no te dice que ha caducado modifica la fecha para que el programa te diga que a caducado).

El mensaje dice algo asi...

The evaluation period for this software has expired bla bla bla ....

Haz click en Aceptar y el programa finalizará. Bien, ya tenemos algo por donde comenzar un MessageBox, adivinas lo que haremos ahora ? No, pues mal eso es que no sigues mis tutoriales. Pero como soy buena persona te dire que es lo que haremos:

Activar el Soft-Ice (Ctrl+D) y poner un breakpoint en las siguientes funciones:

bpx Messagebox
bpx MessageboxA
bpx MessageBoxEx

Con esto intentaremos parar la ejecución del programa antes de que muestre el cuadro de dialogo que nos molesta tanto. Una vez establecidos los bpx ejecutamos de nuevo el programa Solid Edge Chapa. Boom !! el breakpoint MessageBoxEx a surtido efecto, estamos de nuevo en el Soft-Ice, dentro de la función MessageboxEx de la DLL user32 por lo que pulsaremos F12 y esto hará que se muestre el cuadro de dialogo, se activará el S-Ice de nuevo y volveremos a pulsar F12 para que se se continue ejecutando código hasta que el programa vuelva a la linea de código desde donde fue llamada la función que muestra el cuadro de dialogo. Soft-Ice aparecerá de nuevo y mostrará algo así:

Bueno la linea 404BBD realiza la llamada a la función MessageBoxA, los push anteriores son los parametros de creación del MessageBox. Llegados a este punto nos queda pensar lo siguiente:

Usar el W32Dasm y desensamblar el código del programa y ver que hay antes de estas lineas para comprobar si hay algun salto que nos envie a estas lineas y modificarlo.

Continuar la ejecución de esta rutina con F12 con la intencion de ir a la linea donde se llama a a esta rutina para comprobar si el lugar donde estamos no es exactamente lo que buscamos ya que podria tratarse de una rutina que muestra los diferentes cuadros de dialogo según la fecha.

Lo lógico aquí es la opción B ya que como estamos dentro del Soft-Ice no nos cuesta nada hacer esta comprobacíon y así asegurarnos. Pues adelante, pulsamos F12 y se nos mostrará algo así:

Examina este código antes de hacer nada. Que te parece? no es sospechoso el cmp eax,00000002 (linea 403253) Pues si bastante, normalmente las funciones retornan con un valor en EAX que es usado por el programa para comprobar ciertas condiciones :) . Y esto nos hace pensar que si despues de volver de esta función (404480) no volvemos con un 2 en EAX, el programa probablemente no continuará su ejecución. Otra cosa que lo hace más sospechoso aún es la linea 40325a en la que EAX es guardado, ¿ Para que guardar un valor de retorno de una función? Pues probablemente para hacer algún test más adelante. Bueno esto es teoria, ahora la practica, vamos a modificar EAX para que valga 2 ya que como puedes comprobar vale 3. Para hacer esto teclearemos

> r eax
> modificar el 3 por un 2
> pulsar ENTER y luego ESC

Sólo queda seguir adelante pulsando g y ENTER, comprobaras sorprendido que el programa funcionara hasta que nos diga que no hay el CD-ROM original dentro de la unidad, pero por lo menos ya sabemos como evitar que el programa caduque.

Vamos a modificar el ejecutable para que nos deje entrar aunque haya caducado antes de entrar con la rutina de detección del CD original.Pensemos la mejor manera, necesitamos eliminar el mensaje y que el programa continue su ejecución normal. Para ello necesitamos eliminar la llamada de la linea 40324B y hacer que EAX valga 2 siempre.
Parece dificil pero no lo es, en vez de llenar con NOP los bytes que ocupa la función, que son exactamente 6 bytes lo llenaremos con la instrucción MOV EAX,2 que ocupa exactamente 6 bytes. Con esto matamos dos pajaros de un tiro:
Eliminamos la llamada y conseguimos que EAX valga 2. La codificación para MOV EAX,2 es B802000000. Adicionalmente podemos rellenar con NOPs el salto posterior y asi nos aseguramos del todo, esto significa cambiar los bytes 0F85EE020000 por 909090909090. Para modificar el ejecutable lo desensamblaremos con el W32Dasm si no los has echo ya hazlo. Iremos a las correspondientes lineas (40324B y 40325A) y apuntaremos los offset que el W32Dasm nos dice en la barra de estado inferior, saldremos del W32Dasm y abriremos nuestro fichero con el editor hexadecimal que uses normalmente y una abierto iremos a los correspondientes offsets y cambiaremos los bytes que marca por los nuevos.Creo que seras capaz de hacerlo tu solo asi que no me enrollo más.

Nota: Para nuestra suerte y regocijo el resto de ejecutables usan el mismo esquema para la comprobación de la fecha, por lo que no tendremos ni que trazarlos con el S-Ice, simplemente busca las cadenas 0F85EE020000 (salto) y E830120000 (llamada) y modificalas como en el caso anterior. Una vez más la vagueza de los programadores de "elite" se pone de manifiesto :)

Ahora puedes ejecutar el programa y veras que funciona hasta que aparece el cuadro de dialogo que nos indica que no tenemos el CD original en la unidad (si tienes los bpx activos, comprobaras que antes del cuadro estos se activan en un MessageBoxA que pertenece al cuadro de dialogo en cuestion). Si no tienes activos los bpx activalos y vuelve a intentarlo... Ya?. Ok. estamos justo en el la función MessageboxA de la DLL User32, haremos lo mismo que antes ir a la linea que sigue a la que llama a esta función, por lo que pulsaremos F12. Y veremos algo así:

Bueno bueno, un primer vistazo no nos revela nada pero ojo ! Donde estamos mira lo que dice el SoftIce en la linea donde muestra el nombre del programa/dll donde estamos... KeyChk!.text+2C0, es una DLL y con un nombre bastante sospechoso, puede ser una DLL de uso interno del programa que se usa para la comprobación del CD.

Llegados a este punto no merece la pena continuar dentro del Soft-Ice para intentar algo como lo que hicimos anteriormente, por lo que desactivaremos los breakpoints y apuntaremos la dirección de código donde estamos que debe ser 4B51333, saldremos del Soft-Ice y del programa para desensamblar la DLL keychk.dll que podemos buscar con el explorador de windows, la encontraras dentro del directorio donde se encuentran los ejecutables del programa ( X:\..\Solid Edge\Program ), haremos una copia de seguridad y la desensamblaremos para ver que hace.
Si hacemos click sobre el icono Exp Fnc (funciones que exporta la DLL) veremos que sólo hay una y se llama CheckKey (que te parece el nombrecillo, vaya programadores más lamers) no sacaremos mucho en claro si investigamos esta función por lo que vamos a ir la función donde nos dejo el Soft-Ice, vamos al menu Goto e introducimos la dirección que antes habiamos apuntado 4B51333, una vez alli (veremos exactamente el código que tienes encima de estas lineas) iremos marcha atras (tecla flecha arriba) buscando algun salto que nos envie o nos aleje de esta parte de código tras unas cuantas pulsaciones veremos algo así:

Cabe suponer que ninguno de estos saltos es tomado ya que son a direcciones más lejanas que la 4B51333. Hay dos cosas sospechosas en estas lineas, primero la llamada y luego el test eax,eax seguido del jl 04b51395 (SF<>0F). Si vamos al código que pertenece a la llamada call 4B513B0 (Menu Goto, teclear dicha dirección y enter) y examinamos por encima las referencias a las posibles cadenas veremos cosas como:

* Reference To: KERNEL32.GetLogicalDrives, Ord:00FAh

-> La función GetLogicalDrives retorna un DWORD que representa las unidades de disco disponibles

* Reference To: KERNEL32.GetDriveTypeA, Ord:00DFh

-> GetDriveType determina el tipo de unidad de disco: si es removible, fija, un CD-ROM, disco RAM, o una unidad de red.

* Reference To: MSVCRT.fopen, Ord:0254h

-> Abre un archivo

* Possible StringData Ref from Data Obj ->"verLic.dll"

-> referencia a un nombre de una DLL que no existe en nuestro disco duro pero si en el CD-ROM original :)

* Possible StringData Ref from Data Obj ->"Products\Solidedg\verLic.dll"

-> referencia a un nombre y ubicación de una DLL que no existe en nuestro disco duro pero si en el CD-ROM original :)

* Possible StringData Ref from Data Obj ->"Products\SEDraft\verLic.dll"

-> referencia a un nombre y ubicación de una DLL que no existe en nuestro disco duro pero si en el CD-ROM original :)

* Reference To: MSVCRT.fclose, Ord:0249h

-> cierra el archivo

Bueno como habras podido deducir todo este código comprueba las unidades disponibles, busca una que sea de tipo
CD-ROM

y comprueba si existe el archivo "verlic.dll" en el CD intentandolo abrir

luego lo vuelve a cerrar comprobando de nuevo si se pudo cerrar.

(no puedo asegurarte si hace alguna lectura pero diria que no ya que no hay ningun fread) ademas yo ya comprobé lo que es exactamente la dll verlic.dll y no es mas que un fichero de icono renombrado. Para ver que tipo de accesos se realizan a este archivo puedes usar el Filemonitor y veras lo que se hace con este archivo.Bueno hemos salido de dudas y ahora solo queda pensar como hacer para que el programa funcione en cualquier caso, haya o no CD original.

Podriamos modificar los saltos que hace al abrir y cerrar el archivo pero solo funcionaria en caso de que el CD original no estuviera, y queremos que funcione de ambas maneras.

Dejar en paz esta rutina y cambiar el salto que hay despues de la llamada a esta:

:04B512BD	8D4DE0	lea ecx, dword ptr [ebp-20]
:04B512C0	51	push ecx
:04B512C1	E8EA000000	call 04B513B0	// Comprueba si existe el fichero verlic.dll en la unidad CD-ROM
:04B512C6	83C404	add esp, 00000004	// restaura pila
:04B512C9	85C0	test eax, eax	// comprueba valor de retorno (mmmm....)
:04B512CB	0F8CC4000000	jl 04B51395	// salta bastante lejos (esto es lo que hay que cambiar)
:04B512D1	8B45E0	mov eax, dword ptr [ebp-20]	// guarda valor de retorno
:04B512D4	85C0	test eax, eax	// comprueba de nuevo
:04B512D6	0F85B4000000	jne 04B51390	// salta un poco menos lejos
:04B512DC	8D4DB0	lea ecx, dword ptr [ebp-50]

Bingo!! esto es lo que hay que cambiar por un salto incondicional, pero ojo, es un salto de más de 127 bytes, y ahora no me acuerdo de cual seria su codificación (mmmm....). No importa, usaremos el Soft-Ice, allí modificaremos esta linea y miraremos que código de operación tiene jejejejeje. Antes apunta el offset que es 6CBh.

Para poder establecer un bpx en 4B512CB deberas hacer primero que el programa se pare dentro de la DLL keychk.dll con el bpx messageboxa, apreta F12 2 veces y ahora pon el bpx en 4B512CB, ahora el programa saldrá ya que no hemos cambiado nada, vuelve a ejecutarlo y ahora si se parará justo donde queremos.
Escribe lo siguiente

> a 4b512cb
> jmp 4b51395
> pulsa ENTER dos veces
> d 4b512cb

Ahora en la ventana donde se muestra el volcado veras la codificación de la instrucción que es E9C500000000 el proceso ahora es el mismo, salir de donde estas, abrir la dll con el editor hexadecimal, ir al offset de archivo 6CBh y modificar los seis bytes que encuentres allí por E9C500000000, salvar cambios y a correr. Si continuas la
ejecución del programa este funcionará correctamente :) .

Ahora funcionaran todos los ejecutables a la perfección ya que todos usan la DLL keychk.dll para comprobar el CD-ROM (el fichero que debe haber más que la unidad en si) esta es una gran ventaja ya que así nos evitamos tener que hacer cambios en todos los ejecutables.

Nota: Los driver OpenGL de la number Nine Rev IV no funcionan bien con este programa y dan fallos en la dll w95glsrv.dll (que pertenece a estos drivers) al salir del programa o al cerrar ventanas de vistas en 3D, esto es debido a que los drivers son una versión Beta (los mios por lo menos) y no funcionan bien, no es por culpa de que el crack este mal hecho, como yo pensaba cuando este me petaba sin saber porque.Me volví loco hasta que descubrí que era lo que sucedia realmente.
Con otras tarjetas funciona todo perfectamente. Por ej con la Intel 740. Para que luego digan que los crackers no servimos para nada, y como llamas a esto si no es buscar posibles bugs en el software?

You are inside Reversed Minds pages. por Mr. Silver / WKT! La información aquí vertida es exclusivamente para uso educacional, no puedo hacerme responsable del uso que se haga de esta, por lo que atiendo a la honradez de cada uno :), recuerda que debes comprar el software que utilices :)