Это продолжение истории со взомом тестовых баз. Но на этот раз надо расшифровать базу www.ast-centre.ru.
Большего г..., чем это www.ast-centre.ru/ast/testDistr.exe , я не видел. Вся проблема в том, что она написана VB6. Я с этим языком работал мало. Вопросы зашифрованы в текстовых полях. По какому признаку можно найти алгоритм дешифрования текста?

| Сообщение посчитали полезным:

берешь P32Dasm и WKTVBDE и ищешь алгоритм дешифрования, а если серьезно, то все зависит от реализации данной программы, с ключом она идет(guardant) или без. Если с ключом, то пишешь эмулятор ключа (в данном случае это просто) и дешифровываешь пароли от баз данных с вопросами, они в файлах *.pwd и далее дешифровываешь текстовые поля (так же с помощью ключа), полученная строка xor-ится задом наперед, т.е. a[i] = a[i] xor a[i-1], результат представляет собой сжатую строку которую распаковываешь использую бинарное дерево (я его дергал из программы для каждой базы данных оно свое), на выходе получаешь результат который засовываешь обратно в базу. с базой users еще проще, пароль ast123conf456ctpo789 и там все кодировано банальным base64. Вроде все.

| Сообщение посчитали полезным:

nv_xor пишет:
Я с этим языком работал мало.
VB обычно работает с базами через тот же ODBC ocx компонент.

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

Большое спасибо. Возникло несколько вопросов. Мне сначала понадобиться расшифровать версию без ключа. Там тоже строки просто хоrятся? и далее нужно эту строку распаковать используя двоичное дерево?

Про версию с ключем: Есть ли уже готовый эмулятор ключа или есть описание этого ключа? У меня сейчас нет этой версии под рукой, но насколько я помню exe' шник тоже зашифрован, расшифровывается он с помощью эмулятора?

| Сообщение посчитали полезным:

Без ключа уже не помню, т.к. копал мало, посмотрю. С ключом с exe снимается конверт c помощью envkiller_1.41 by infern0. Эмулятор есть, точнее не эмулятор, а прокладка между exe и NVSKEY.DLL, но я там намертво зашил PrivateRD и pKey

| Сообщение посчитали полезным:

Я пытался снять с помощью envkiller, правда, не помню какая версия была. Ничего не получилось.

P32dasm показал

clsCoDec События:
4. genTree
9. DecodeString
10. EncodeString
11. EnCodeDB
12. DeCodeDB

| Сообщение посчитали полезным:

без ключа конверт не ставится. если декомпилишь genTree (нужен алгоритм построения) буду благодарен

| Сообщение посчитали полезным:

>>если декомпилишь genTree (нужен алгоритм построения) буду благодарен
А как узнать VA этой функции?

сейчас кручусь вокруг этого кода

.text:00456957 lea ecx, [ebp+var_7C]
.text:0045695A push ecx
.text:0045695B call sub_45F880 //возможно здесь происходит расшифровка
.text:00456960 mov eax, dword_470134
.text:00456965 test eax, eax
.text:00456967 jz short loc_456986
.text:00456969 cmp word ptr [eax], 1
.text:0045696D jnz short loc_456986
.text:0045696F movsx esi, word ptr [ebp+var_28]
.text:00456973 sub esi, [eax+14h]
.text:00456976 cmp esi, [eax+10h]
.text:00456979 jb short loc_456981
.text:0045697B call ds:__vbaGenerateBoundsError
.text:00456981
.text:00456981 loc_456981: ; CODE XREF: sub_455090+18E9j
.text:00456981 shl esi, 2
.text:00456984 jmp short loc_45698E
.text:00456986 ; ---------------------------------------------------------------------- -----
.text:00456986
.text:00456986 loc_456986: ; CODE XREF: sub_455090+18D7j
.text:00456986 ; sub_455090+18DDj
.text:00456986 call ds:__vbaGenerateBoundsError
.text:0045698C mov esi, eax
.text:0045698E
.text:0045698E loc_45698E: ; CODE XREF: sub_455090+18F4j
.text:0045698E lea edx, [ebp-7Ch]
.text:00456991 push edx
.text:00456992 call ds:__vbaStrVarMove
.text:00456998 mov edx, eax // адрес расшифрованной строки
.text:0045699A lea ecx, [ebp+var_58]
.text:0045699D call ds:__vbaStrMove

Меня интересует, что за параметр кладется в стек для функции __vbaStrVarMove

| Сообщение посчитали полезным:

для функции __vbaStrVarMove в стек кладётся значения из адреса по смещегию ebp-7Ch
))

| Сообщение посчитали полезным:

sER, неостроумно, я имею, виду, какая семантика у этих данных. Например, в данном случае) по адресу ebp-7Ch лежит двойное слово равное 8.

| Сообщение посчитали полезным:

sub_45F880
Уверен на 90%, что в этой функции идет расшифровка. При этом используется таблица символов из поля header таблица xUsers. Но алгоритм понять не могу.

| Сообщение посчитали полезным:

везет людям, когда я ковырял у меня все в p-code было

| Сообщение посчитали полезным:

Помогите пожайлуста! Сделал я дамп ключа и залил это хозяйство в эмулятор. Количество сеансов показывает правильно. Но пишет, что тесты некорректные.
Как полностью отучить этот тест от ключа?
ЗЫ: На физическом ключе запись о кол-ве сеансов после прохождения теста уменьшается.

| Сообщение посчитали полезным:

Прочитав документацию к ключу проблема решилась сама собой . Всем спасибо.

| Сообщение посчитали полезным: