Доброго вечерья всем. Выдался выходной, решил в свободное время покурить гайд по обходу защиты от внесения изменений в дамп на буках HP. Под рукой валялся дамп от R53. Перечитал известную статейку CodeRush, точнее две, и, с помощью UEFITool начал искать вхождения сигнатуры $HSS. Нашлось троев лодке.
1. В non-uefi data области, нас не интересует.
2. В UefiBiosImageInterface, опять же, опираясь на статью, вряд ли там окажется нужный нам "проверяльщик".
3. Остался один. Извлекаем и открываем в IDA. Модули кстати PE32, не ТЕ, конвертировать не пришлось.
Снова ищем вхождение $HSS, а точнее $SSH, почему-то нифига не находим, зато по 53534824h очень даже находим, одно вхождение. И вот дальше у меня начался ступор. Приложу скрин из IDA с моими почеркушками.
этот граф какой-то херовый, слепил из скринов другой
Вопроса всего 2.
1. Тот ли я взял модуль для анализа.
2. Если тот, то подскажите, как бы обойти этот код (будет на картинке), чтобы проверка всегда проходила успешно и мы шли к return.
С асмом тяжко, занимался немного на 2 курсе, а это уже лет 6 назад, все наглухо забыто. Да и не х86 он был, а AVR.
Сообщение не в тему
В этой viewtopic.php?f=53&t=53776 теме MSF113 открывал аукцион 
. Интересно, с какого ценника начнём тут? ))
. Интересно, с какого ценника начнём тут? ))
Ближе к концу из стека забираем три переменных, ebx, esi, edi, значения которых будут не такие, как нужно.