DotFix ::: Software protection portal
 *Начало * Ответить * Статистика * Задать вопрос * Поиск * FAQ * *

DotFix Forum / Вопросы программирования и исследования защит / Алгоритм программы на VB
Автор Сообщение
sTupor
Участник


Дата: 23 Май 2006 13:24


Народ есть программа на VB6 помогите разобрать алгоритм чаcти программы (расшифровка файла), защиты там нет никаких антиотладочных приемов нет.
Прогу могу скинуть на мыло.
sTupor
Участник


Дата: 23 Май 2006 21:35


Там даже на расшифровка файла, а просто считывание данных в переменные, просто не могу найти Api шные ф-ии чтения из файла. Откуда копать помогите. Вот например: 
 
.text:00485A66                 mov     eax, [ebp-1Ch] 
.text:00485A67                 push    eax 
.text:00485A68                 push    offset aSigR    ; "\\d 
ata\\r" 
.text:00485A6D                 call    ds:__vbaStrCat 
.text:00485A73                 mov     edx, eax 
.text:00485A75                 lea     ecx, [ebp-20h] 
.text:00485A78                 call    ds:__vbaStrMove 
.text:00485A7E                 push    eax 
.text:00485A7F                 push    ebx 
.text:00485A80                 call    ds:__vbaStrErrVarCopy 
.text:00485A86                 mov     edx, eax 
.text:00485A88                 lea     ecx, [ebp-24h] 
.text:00485A8B                 call    ds:__vbaStrMove 
.text:00485A91                 push    eax 
.text:00485A92                 call    ds:__vbaStrCat 
.text:00485A98                 mov     edx, eax 
.text:00485A9A                 lea     ecx, [ebp-28h] 
.text:00485A9D                 call    ds:__vbaStrMove 
.text:00485AA3                 push    eax 
.text:00485AA4                 push    offset a_rxb    ; ".fi 
l" 
.text:00485AA9                 call    ds:__vbaStrCat 
.text:00485AAF                 lea     ecx, [ebp-40h] 
.text:00485AB2                 push    0 
.text:00485AB4                 push    ecx 
.text:00485AB5                 mov     [ebp-38h], eax 
.text:00485AB8                 mov     dword ptr [ebp-40h{ ]  
}, 8 
.text:00485ABF                 call    ds:rtcDir 
.text:00485AC5                 mov     edx, eax 
.text:00485AC7                 lea     ecx, [ebp-2Ch] 
.text:00485ACA                 call    ds:__vbaStrMove 
.text:00485AD0                 push    eax 
.text:00485AD1                 push    offset dword_41F7F8 
.text:00485AD6                 call    ds:__vbaStrCmp 
.text:00485ADC                 neg     eax 
.text:00485ADE                 sbb     eax, eax 
.text:00485AE0                 mov     dword ptr [ebp-90h{ ]  
}, 0Bh 
.text:00485AEA                 neg     eax 
.text:00485AEC                 neg     eax 
.text:00485AEE                 cmp     esi, 300 
.text:00485AF4                 mov     [ebp-88h], ax 
.text:00485AFB                 mov     dword ptr [ebp-78h{ ]  
}, 0 
.text:00485B02                 mov     dword ptr [ebp-80h{ ]  
}, 32770 
.text:00485B09                 jb      short loc_485B11 
.text:00485B0B                 call    ds:__vbaGenerateBounds 
Error


Jirvil
Участник


Дата: 13 Июл 2006 23:14


Подозреваю, что в этом куске вообще мало полезного... Хотя... Кто знает... Функции тут только объединения и сравнения. Кусок ассемблера просто так фиг разберешь - да и проблему надо описать более подробно - что вообще значит расшифровка файла?
Непонятно вообще, зачем тебе функции чтения - запускай IDA и смотри, что есть в памяти.
Есть еще способ. Запускаешь FileMon (www.sysinternals.com), указываешь ему в фильтре твою прогу или файл, а потом трассируешь прогу пошагово без захода в функции (F8). Это не так долго. Как в файлмониторе появится чтение - вот тебе и кусок кода.
Ваш ответ

Bold Style  Italic Style  Underlined Style  Image Link  Insert URL  Email Link  Код 
... Отменить *Что это?


Перед отправкой "нелатинского" текста проверьте кодировку броузера!
 » Логин  » Пароль