Всем здравия. Реверсю одну прогу которая шифрует свои фалйы, хочу посмотреть как она ключи генерирует куда сохраняет пускай и временно. Нашел в таблице импорта подборку прикто функци типа CryptAcquireContextA, ADVAPI32.CryptCreateHash, CryptDestroyKey, CryptEncrypt, CryptImportKey и другие. Бряк ставится не охтно на функции имопрта и вызывает исключение, которое можно обйти только через shift+f7. Как лучше реверсить эту прогу, выставить в настройках отмену исключений, и дальше все через бряки? А как сомтреть на передачу парметров функций?
Я конечно не реверсер, но я бы сделал так: в ида про посмотрел бы, где идет вызов функции, куда что сохраняется, дал бы имена функциям и переменным, а потом уже и в ольке смотрел бы соответствие и значение переменных (ну и соответственно ставил бы бряки на адреса в коде, а не на фукнции). П.С.: а точно бряк вызывает исключение? Может, где-то по коду просто идет исключение?
Может и в коде исключение, я тоже пару лет не реверсил. Много позабывал. Иды у меня нет. Раньше пробовал ставить но толковых доступных релизов не встречал, олька то фриварная.
на краклабе скорее всего просто в коде. В настройках ольки отключи все исключения при работе с памятью и дальше пробуй реверсить. Но я б попробовал сначала иду - она для реверсинга просто незаменима
на краклабе Там ссылка на бухту пиратов ведёт. Самой иды там нет.... Кстати, молодец, что напомнил, надо проверить есть ли свежие релизы . А я вот больше люблю посмотреть на прогу в живую. Начинал без иды просто...
Ну я на эту бухту пошел, по словам, указанным в краклабе, нашел иду - все с первого раза как часы поставилось и работает
Кто может подсказать в каком из уроков Рикрдо больше всего описанна исследование передачи парметров функции, ибо данная прога использует стандартные виндошные библы и нужно смотреть список параметров.
