En relisant le cours n°5 de Crisanar, je me rends compte qu'il y a un passage que je n'ai pas compris. Pour résumer, sur ollydbg, il a sur la dernière ligne ceci:
- Code: Tout sélectionner
004011C4 > .- FF25 00204000 JMP DWORD PTR DS:[<&kernel32.IsDebuggerPresent>]; kernel32.IsDebuggerPresent
Mon but est de trouver quelle est la ligne qui appelle celle ci-dessus (donc en 004011C4) mais pour cela je bloque totalement car je ne trouve pas clair le passage du cours:
"L'appel à cet API (le JUMP DWORD tout à la fin du programme en fait) se fait en 40116C. En fait j'ai utilisé une petite astuce pour cacher l'appel de cette fonction : je n'ai pas fait un CALL IsDebuggerPresent directement mais un CALL [addresse_de_la_fonction]. Olly ne reconnaît plus la fonction de cette façon. Pour trouver où l'appel se fait, soit on cherche ce nombre dans le code (un truc du style [0040116C] ), soit on sélectionne la ligne du JUMP DWORD de la fonction, on ajoute un label (' : ') et on ecrit le nom de la fonction comme label. Quelque soit la méthode que vous choisirez, vous devriez trouver IsDebuggerPresent en 40106A."
Le lien du cours est ici pour ceux qui auront la gentillesse de m'aider: http://deamonftp.free.fr/deamoncrack/Tuts/Crisanar/cours5.htm
J'ai également cherché sur le forum, un membre avait déjà posté un sujet semblable (http://www.forumcrack.com/viewtopic.php?f=9&t=11597) mais je ne l'ai pas plus compris!
Ma question est donc relativement simple: comment trouver la ligne qui va appeler le code ci-dessus? J'espère avoir été clair.
Merci d'avance à ceux qui prendront la peine de me répondre,
Crypto
