Date: 24th April 1999
Program name: MiZ Crackme 2
Program type: W32
Program location: Here
Program filename: N/A
Program size: n/c
Translation by: Secret Agent James Bond 007

Tools required:
Soft - ice 3.2x

Difficult level:
Easy (  X  )  Medium (   )  Hard (    )  Pro (    )
 

Il y a 2 protections dans ce crackme : 

1) anti Smart check
2) Serial
 

1) Comment supprimer la protection anti smart check ?

La protection anti SC est placée au début du crackme
et quand le crackme est exécuté, il vérifie la présence de SC avec un
timer!
Après avec regardé avec SI si l'anti SC était basé sur la vérification
de "NMSCWM50" (l'ID de la fenêtre de SC), j'ai regardé
le crackme avec un hexéditeur pour cette chaîne et je l'ai trouvée.
Mais si vous ne cherchez que NMSCWM50, vous ne trouverez
rien parce que c'est un programme VB qui utilise le format WIDE donc:
w.i.d.e. .c.h.a.r.a.c.t.e.r. .f.o.r.m.a.t
Regardez cette chaine: 4E004D00530043004D005700350030 en hex
Cool! vous l'avez trouvée! remplacez par des 0 par exemple et sauvez.
Maintenant la protection anti SC est éliminée!
On peut donc exécuter SC dessus!

2) Trouver le serial !

Exécutez SC et le prog., entrez un serial: 123456 et pressez
"Check Now" puis sortez du programme.
Retournez dans SC et vous verrez un timer et après:

label3_Click

Mais il n'y a rien de bien ici...
Mais quand j'ai vu GetVolumeInformationA  j'ai pensé que le serial
dépendait sûrement du PC ! on verra ça après ...

Nous allons essayer de le trouver avec SI parce qu'il n'y rien de bien avec SC!
On va utiliser bpx __vbastrcomp parce qu'on le retrouve couramment dans les progs VB!
ctrl + D et tapez bpx __vbastrcomp. F5 pour retourner au programme et tapez: 123456
comme serial.
Cliquez sur check et on est de retour dans SI. Cool!!!
Pressez F12 pour sortir du call __vbastrcomp !
Vous devriez voir ESP en couleur et c'est bon signe!
Maintenant tapez dd esp (pour afficher la mémoire en esp),
vous voyez: aaaaaaaa bbbbbbbb cccccccc dddddddd 

Essayez de faire d aaaaaaaa , mais vous ne voyez rien d'intéressant alors
essayez d bbbbbbbb , et vous obtenez une phrase qui n'est pas
votre serial et vous voyez __vbar8str.
Hey !! C'est break points ? On va essayer!!
ctrl+D et tapez bc * pour supprimer tous les bpx.
Tapez __vbar8str puis pressez F5.
Entrez 123456 comme serial et clickez sur check !
Cool on est dans SI!!!
Tapez WF pour afficher la fenêtre concernant la pile à virgule flottante.
vous voyez:
ST0 empty ST4 empty
ST1 empty ST5 empty
ST2 empty ST6 empty
ST3 empty ST7 empty
 

Commencez à tracer avec F12 pour aller dans la fonction:__vbaR8str !
Vous devriez voir: ST0 123456 !!
Cool, continuez avec F10 et ST0 devient : 892935893 !!! <== qu'est-ce que c'est?
Essayons!! bd * pour désactiver tous les bpx et entrez ce nombre!
Et la message box apparaît: Mail the solution to : ... 
Cool crackme Cracked !!!

Mais attendez, nous voyons dans SC que çà dépendait du PC avec
GetVolumeInformationA !!
Ok, je vais essayer ce nombre sur mon second PC et çà ne marche pas!!!
J'avais donc raison, ce nombre dépend de la machine !!
Donc ce nombre ne fonctionnera pas chez vous, essayez de le trouver
c'est un bon moyen de savoir si vous avez tout compris!!!
Have fun and happy cracking !
 

J'espère que vous avez compris tout ce tut.
Si vous avez des problèmes écrivez à : [email protected]
(Mail du traducteur: [email protected])

Have fun and happy cracking !

ACiD BuRN [ReFleXZ'99] 

R!SC, ^Inferno^, AB4DS, Cyber Blade, Klefz, , Volatility, Torn@do, T4D, Jeff, [Virus], Jane , Appbusta , Duelist , tKC , BuLLeT , Lucifer48 , MiZ , DnNuke , Bjanes ...
---> 4 Being So Good Friends To Me. 
Sorry if you are not here too many people to greetz !!!)

                                       ....And All Crackers !!! ....

U can Found me on IRC : At #ReFleXZ99, #Cracking4Newbies , #ECL on Efnet

ReFleXZ is not responsible for any damage caused with this essay or any of its parts.
So everything what you're doing and 'experimenting' is on your own responsibile!

Also, in this tutorial you'll not find any serial numbers, so try to search
elsewhere under Cracks and Warez.