Сейчас на форуме: _MBK_, Rio (+5 невидимых)

 eXeL@B —› Вопросы новичков —› Изучаю Sheriff 3.0 на Efilm 3.0.1
Посл.ответ Сообщение

Ранг: 1.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 20 сентября 2008 21:42 · Поправил: ma5ter
· Личное сообщение · #1

В Ida 5.2 такой кусок кода отвечает за секретный ключ.

Вопрос: на каком месте этой процедуры ставить бряк и по какому адресу в стеке искать секретные ключи после декриптования? Их 4 по 32 байта.

; public: virtual void __thiscall CSheriffRemote::SetSecrets(struct _SLS_SECRET *, int)
.text:00602D7A ?SetSecrets@CSheriffRemote@@UAEXPAU_SLS_SECRET@@H@Z proc near
.text:00602D7A ; DATA XREF: .rdata:006493D8o
.text:00602D7A jmp ds:__imp_?SetSecrets@CSheriffRemote@@UAEXPAU_SLS_SECRET@@H@Z ; CSheriffRemote::SetSecrets(_SLS_SECRET *,int)
.text:00602D7A ?SetSecrets@CSheriffRemote@@UAEXPAU_SLS_SECRET@@H@Z endp
.text:00602D7A
.text:00602D80
.text:00602D80 ; =============== S U B R O U T I N E =======================================
.text:00602D80
.text:00602D80
.text:00602D80 sub_602D80 proc near ; CODE XREF: sub_4C1920+2D8p
.text:00602D80 ; sub_4C1920+364p ...
.text:00602D80 push esi
.text:00602D81 mov esi, ecx
.text:00602D83 lea ecx, [esi+88h]
.text:00602D89 call ds:__imp_??1?$CStringT@DV?$StrTraitMFC_DLL@DV?$ChTraitsCRT@D@ATL@@@@@A TL@@QAE@XZ ; ATL::CStringT<char,StrTraitMFC_DLL<char,ATL::ChTraitsCRT<char>>>::~CSt ringT<char,StrTraitMFC_DLL<char,ATL::ChTraitsCRT<char>>>(void)
.text:00602D8F lea ecx, [esi+4]
.text:00602D92 call ds:__imp_??1?$CStringT@DV?$StrTraitMFC_DLL@DV?$ChTraitsCRT@D@ATL@@@@@A TL@@QAE@XZ ; ATL::CStringT<char,StrTraitMFC_DLL<char,ATL::ChTraitsCRT<char>>>::~CSt ringT<char,StrTraitMFC_DLL<char,ATL::ChTraitsCRT<char>>>(void)
.text:00602D98 mov ecx, esi
.text:00602D9A pop esi
.text:00602D9B jmp ds:__imp_??1?$CStringT@DV?$StrTraitMFC_DLL@DV?$ChTraitsCRT@D@ATL@@@@@A TL@@QAE@XZ ; ATL::CStringT<char,StrTraitMFC_DLL<char,ATL::ChTraitsCRT<char>>>::~CSt ringT<char,StrTraitMFC_DLL<char,ATL::ChTraitsCRT<char>>>(void)
.text:00602D9B sub_602D80 endp
.text:00602D9B
.text:00602D9B ; ---------------------------------------------------------------------- -----
.text:00602DA1 align 10h
.text:00602DB0




Ранг: 118.1 (ветеран)
Активность: 0.140
Статус: Участник

 Создано: 20 сентября 2008 23:29
· Личное сообщение · #2

Сдается мне что на:

.text:00602D80 push esi ---------- помещает esi в стек
.text:00602D81 mov esi, ecx ------ копирует с ecx в esi

.text:00602D98 mov ecx, esi------- копирует с esi в ecx
.text:00602D9A pop esi ------------ читает данные c esi

-----
PSP-Gamer.ru
 eXeL@B —› Вопросы новичков —› Изучаю Sheriff 3.0 на Efilm 3.0.1
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати