|
|
| Date :............................ 9 septembre 1993 Protection : ....................MOT DE PASSE Programme : .......ARE WE THERE YET ? Outils : ..........................SOFT-ICE V2.50 Fichier : .................................AWTY.EXE Temps passé : ...........................45 minutes Société :...... MANLEY & ASSOCIATES Divers : ........................Fichier PKLITE -x Origine : .............................................JKT Numéro : ............................................221 |
Une protection par icones. Plus difficile que l'entré de caractères car il est pas évident de mettre la main sur la routine qui demande le code. Il faut prendre un maximum de recul c.a.d. essayer de passer un maximum de RET voire de RETF pour tomber sur le CALL responsable de la demande de code. Il est dès lors facile de trouver le test qui suit. Ce CALL s'occuppe de la demande des trois icones, mais il se trouve encore trop près de l'endroit de la protection pour pouvoir juger de quoi que ce soit. ( c'est assez ténébreux je l'admets ): CS=2534 CS:183C 9A0000E811 CALL 11E8:0000 ; DEMANDE LES ICONES. <ÍÍÍ» CS:1841 EB2D JMP 1870 º º En passant quelques RETF on y voit plus clair: º º CS=0F76 º CS:0458 9A0A133425 CALL 2534:130A ; ON APPELLE LA ROUTINE >ͼ CS:045D 59 POP CX CS:045E 9AF603E811 CALL 11E8:03F6 ; ON CHECK LA REPONSE. CS:0463 0BC0 OR AX,AX ; PREMIER TEST. CS:0465 7509 JNZ 0470 ; A JMPer PAR EB. CS:0467 FF46F8 INC WORD PTR [BP-08] CS:046A 837EF803 CMP WORD PTR [BP-08],+3 ; REPONDU 3 FOIS ? CS:046E 7CE4 JL 0454 ; NON ? ON REDEMANDE LE CODE. CS:0470 9A261D760F CALL 0F76:1D26 CS:0475 9AF603E811 CALL 11E8:03F6 ; ET ON RECHECK ! CS:047A 0BC0 OR AX,AX ; SECOND TEST. CS:047C 750E JNZ 048C ; A JMPer PAR EB. Utiliser PKLITE avec l'option -x avant de faire la recherche de chaine. Puis avec PCTOOLS: Chercher: 0BC07509FF46F883 Modifier: ....EB.......... Et dans le même secteur quelques octets plus loin on a un deuxième 75 qu'il faut également EB-er. FREDDY
