|
|
Date : 25 septembre 1993 Protection : MOT DE PASSE Programme : E.S.S. MEGA Outils : SOFT-ICE V2.50 Fichier : HHER1.EXE Temps pass� : 1 heure environ Soci�t� : INFERENCE M.D.O. Divers : Protection manivelle + LZEXE Origine : JKT Num�ro : 226 Ce qui est rassurant avec les concepteurs de chez INFERENCE M.D.O. c'est qu'on est s�r de toujours trouver une m�chante routine en train d'�crire une flopp�e de z�ros dans la table des INT. C'est radical je l'admets, mais il est aussi radical de trigger SOFT-ICE sur la routine responsable du m�fait. Il suffit d'un point d'arr�t bien plac� du genre: BPM 0:0 W eq 0 Et on y est. Je sais, une fois qu'on y est c'est trop tard le programme est mort mais SOFT-ICE r�ussi � survivre suffisament longtemps pour me donner toutes les infos utiles: CS:IP de la routine, l'SS:SP du retour. Tout ce qu'il faut pour trigger avant le d�luge. CS=1409 CS:058B 741C JZ 05A9 ; A forcer par JMP. CS:058D B8FFFF MOV AX,FFFF CS:0590 50 PUSH AX CS:0591 33C0 XOR AX,AX CS:0593 50 PUSH AX CS:0594 33D2 XOR DX,DX CS:0596 50 PUSH AX CS:0597 52 PUSH DX CS:0598 9A2624130F CALL 0F13:2426 >������������ͻ CS:059D 83C408 ADD SP,+08 � CS:05A0 33C0 XOR AX,AX � CS:05A2 50 PUSH AX � CS:05A3 9ACF04130F CALL 0F13:04CF � CS:05A8 59 POP CX � CS:05A9 C70610411300 MOV WORD PTR [4110],0013 � � C'est le CALL ci-dessous qui efface la table des INT: � � � 0F13:2426 <���ͼ : 0F13:2433 FF7606 PUSH [BP+06] 0F13:2436 0E PUSH CS 0F13:2437 E8C8FF CALL 2402 ; MET LA TABLE DES INT A 0000. 0F13:243A 83C408 ADD SP,+08 0F13:243D 8B5608 MOV DX,[BP+08] 0F13:2440 8B4606 MOV AX,[BP+06] 0F13:2443 5D POP BP 0F13:2444 CB RETF Il faut donc �viter le CALLF en CS:0598 qui appelle le CALL 2402 en 0F13:2437. C'est lui qui �crit une flopp�e de z�ros dans la m�moire � partir de 0000:0000. Il suffit donc de forcer le saut en CS:058B pour qu'il n'execute jamais le CALLF. Avec PCTOOLS chercher: 741CB8FFFF50 Et modifier : EB1C........ FREDDY |
