J'ai regardé la protection VBOX 4.2. Je suis allé chercher la démo sur le site de la société ( puis j'ai protégé la calculatrice de Win 95 (Calc.exe). Pour que les choses soient claires, j'ai procédé selon la méthode d'Alpine ** SoftICE detection ** code 02 (FrogIce) Pour pouvoir stopper automatiquement sur l'INT 3 avec un debugger sans se faire détecter par la protection de VBOX, Alpine suggère d'utiliser Turbo Debugger, sachant que SI n'est pas chargé en mémoire (Tsehp, dans un autre tut a utilisé Windebug). Donc, conformément à son explication, on lance Calc.exe sous TD F9 (Run) Et à ce moment, TD stoppe sur l'INT 3 (observe les valeurs dans les registres concernés) Int 03 *** Break ici Mov eax, ecx Pop edi Pop esi Pop ebp Ret F8 (Step over) jusqu'au Ret inclus, et tu arrives sur Xor eax, eax A ce moment, tu remontes d'un cran l'ascenseur de TD, et immédiatement au dessus, tu repères le Jump 0700F7A5 FF65FC JMP [EBP-04] Tu quittes TD, rebootes ton PC avec SI chargé en mémoire, et tu lances Calc.exe avec le Loader de SI. Tu places un BreakPoint sur l'adresse que tu viens de noter, à savoir "0700F7A5" BPMB 0700F7A5 X (pas de BPX à cause du CRC-checks) X pour relancer Break ED EBP-04 0 X A ce moment, tu arrives sous Win, avec la boîte de dialogue de VBOX ouverte qui te demande si tu veux tester Calc.exe Tu cliques sur "Try", ce qui provoque un Break sous SI. Tu modifies à nouveau la valeur de [EBP-04] avec ED EBP-04 0 Ici, on place un BPX GetProcAddress X F12 BD* pour désactiver tous les BP. Une fois arrivé ici, il faut tracer (F10) jusqu'à ce que tu trouves Push ebx Push ebx Call esi ainsi que les autres Call dans lesquels tu dois entrer (F8), à la recherche du JMP EBX.c'est un peu long. Je ne suis pas sûr qu'avec ces explications il y a de quoi étrangler le chat, mais j'espère t'avoir fait un peu plaisir :-). @+ Koba Yashi (merci beaucoup pour ta contribution, et toujours savoir répondre "présent" - Christal)