![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
De software
Het programma password.exe schrijft bij het opstarten twee bestanden in een tijdelijke directory: SinglePWD.exe en USB20.dll. Met W32Dasm, een disassembler annex debugger, keken we naar de software. De executable is zoals verwacht verantwoordelijk voor het tonen van de userinterface en USB20.dll zorgt voor de communicatie met de stick. Wat wel verrassend was, is de opbouw van het dll-bestand. In plaats van low-level commando's zoals SendToStick() waren routines als GetWriteProtectState(), RefreshFileBrowser() en de belangrijkste VerifyPassWord() zichtbaar.
Vanzelfsprekend trok deze laatste de meeste aandacht. Met de debugger keken we naar de VerifyPassWord-routine. Het bleek dat via een eax-register het resultaat van de routine aan het hoofdprogramma werd doorgegeven. We plaatsten met de debugger een breakpoint direct na de functie, en voerden een fictief wachtwoord in. Het programma werd door de debugger gestopt en de returnwaarde 0 werd door ons in 1 veranderd. Het programma werd daarna vervolgd. We hoopten op een foutmelding die ons iets meer inzicht in het proces zou geven. Dat was helaas niet het geval. Hoewel helaas? We kregen veel meer dan waar we op gerekend hadden.
Schermafbeelding van de debugvensters (klik voor groter)
Vanzelfsprekend trok deze laatste de meeste aandacht. Met de debugger keken we naar de VerifyPassWord-routine. Het bleek dat via een eax-register het resultaat van de routine aan het hoofdprogramma werd doorgegeven. We plaatsten met de debugger een breakpoint direct na de functie, en voerden een fictief wachtwoord in. Het programma werd door de debugger gestopt en de returnwaarde 0 werd door ons in 1 veranderd. Het programma werd daarna vervolgd. We hoopten op een foutmelding die ons iets meer inzicht in het proces zou geven. Dat was helaas niet het geval. Hoewel helaas? We kregen veel meer dan waar we op gerekend hadden.
Volgende pagina (Door de mand gevallen - 5/6)
