Titre

-------------------------------------- Chapitre IV - dotNET ---------------------------------------

Analyse sous Ollydbg - 1/4

 

Passons l'introduction, étant donné que Todd l'a déjà faite, et attaquons directement. :)

Pour ce tuto, j'avais utilisé la version 1.10 d'Olly. Logiquement, vous devez être en mesure de le suivre avec Olly v2, l'analyse ne pourra en être qu'améliorée. La V2 interprête le code MSIL et d'une manière générale, elle présente plus de détails.
Vous pouvez essayer par vous-mêmes si vous ne me croyez pas, mais lorsque l'on charge un .NET dans Olly et que l'on exécute, le programme se lance et rien n'apparaît sous Olly... Assurément une des protections du framework !
Donc, nous allons lancer le programme d'abord, ouvrir Olly et s'attacher à son processus ensuite.

Pour ce faire, on utilise le menu File / Attach et on choisit le processus qui nous intéresse. Voir fig.1 ci dessous.

Attach

Fig.1

Vous arrivez sur un Breakpoint dans le Module Ntdll (Fig.2)

NTDLL_break

Fig.2

Relancez en cliquant simplement sur F9 ou sur Run.
Nous sommes donc maintenant attachés au processus, qui est en cours d’exécution.

Revenons sur notre fenêtre d’enregistrement, et remplissons les 3 champs requis (Notez que le code ne peut pas excéder 010h -soit 16 en décimal- caractères), et on valide.

Surveillez de près votre chère et tendre si vous n’obtenez pas ceci :

Fig.3

RegFailed

Revenons à nos moutons. Le but maintenant va être de « remonter » dans le thread principal de l’application, pour tenter de trouver un endroit proche de la vérification avant que la vilaine MessageBox ne soit appelée. Pour cela, on met en Pause [F12] le programme et on lance des « Execute till return » (je ne vous fais pas l’affront de traduire ) [CTRL+F9], jusqu’à ce que le programme nous rende la main, et nous permette de valider le message d’erreur.

TIP : vous pouvez rester appuyer sur CTRL+F9 ;) ça va plus vite.

Une fois que vous le pouvez, validez en cliquant sur OK, Olly devrait breaker sur le prochain RETN et vous devriez tomber ici :

Fig.4

RetMsgBox

 

 

Precedent        Sommaire        Suivant