
		Date		:	25 septembre 1992
		Logiciel	:	OBITUS
		Protection	:       Mot de passe
		Outils		:	SOFT-ICE V2.50
		Temps pass�	:	15 minutes
		Programme	:       OBITUS
		Soci�t�		:	PSYGNOSIS
		Divers		:	Compact� par LZ91
		Origine		:	KGB
		Num�ro		:	186


	On trouve facilement l'endroit o� le soft teste la touche ENTER
	apr�s que le caract�re ai �t� appel� par l'INT 21h.

	CS:64A2 3C0D CMP AL,0D
	CS:64A4      JNZ 64A9
	CS:64A6      JMP 655D	; Ici si la touche ENTER a �t� utilis�.

	Puis un peu plus loin on trouve la routine de test des caract�res
	entr�s:

	CS:6568	26803D00	CMP	BYTE ES:[DI],00 ; FIN DE CHAINE [DI]=00.
	CS:656C 7501		JNZ	656F            ; TANT # 0 ON TESTE.
	CS:656E C3		RET			; ICI SI TOUT EST OK.
	CS:656F	AC		LODSB			; CARACTERE A TESTER.
	CS:6570 263A05          CMP	AL,ES:[DI]      ; TESTE LE CARACTERE.
	CS:6573 7503		JNZ	6578		; SI NON OK --> 6578.
	CS:6575 47              INC	DI		; CARACTERE SUIVANT.
	CS:6576 EBF0		JMP     6568            ; ON TOURNE.

	Il suffit donc en fait de supprimer le test en CS:656C par des NOP.
	C'est trop facile, �a cache quoi ? Le fichier doit �tre hyper crypt� !
	En fait OBITUS.EXE est crypt� par LZ91. Une d�compression et une 
	recherche de chaine ne donne rien. D'ailleurs ce fichier ne fait que
	16kb, cela m'aurait �tonner vu la s�quence graphique du d�but jusqu'� la
	demande du mot de passe que ce fichier contienne le tout.
	Ce fichier ne doit �tre qu'un lan�eur d'un autre fichier qui est celui
	que je cherche. En scrutant les deux premiers caract�res du fichier
	OBITUS je m'aper�ois que c'est un EXE ( MZ ). Cel� signifie simplement
	qu'il est charg� par mon OBITUS.EXE qui est crypt� pour donner le
	change. Le fichier OBITUS pr�sente deux caract�ristiques curieuses.

		1) La structure de ce fichier rappelle un fichier compact� mais
	           rien dans le header ne laisse supposer que PKLITE ou LZ91 
		   aient �t� utilis�.		
		2) L'endroit o� pourrait se trouver la chaine "LZ91" est vide !

	Ayant personnellement utilis� cette technique pour emp�cher la 
	d�compression d'un de mes fichiers je rigole doucement.
	Les quatre caract�res sont vite remis et le d�compactage fonctionne
	sans probl�me. La chaine de caract�re 26803D007501C3AC est trouv�e.
	Il suffit de remplacer 7501 par 9090.

	FREDDY







web hosting • 
domain names 

web design •
online games