Всем привет. Я имею дело с инстеллером, который весит около 100 мегабайт, написан на VISUAL BASICE, без Опкодов. Инсталлер защищен Темидой. Это инсталер совмещенный с проверкой кредитной карты, для дальнейшей установки. На данный момент я восстановил IAT(эта которая начинается с адреса 401000), а также косвенные переходы в самом коде, написав скрипт. Таким образом можно уже номально пытаться найти алгоритм сравнения. До этой распаковки вообще неставился bp ни на __vbaNew2 и какое-либо окно вообще, а сейчас все впорядке.
1. Программа начинается после распаковки с функции:
0040256C - E9 3310FE72 JMP 733E35A4 ; MSVBVM60.ThunRTMain
Но не хватает двух первых инструкций. Я с бейсиком не сталкивался сильно, и не знаю Темида может еще что-нибудь украсть как скажем в C++ коде ? Если у кого опыт был, подскажите.

2. Реально ли сделать дамп, а потом с помощью hex-едитора вставить в сам инсталлер только нормальный код, а секцию Темиды вырезать. И удачно запуститься...

3. В VisualBasice есть какие-нибудь спец. функции для проверки интернет-соединения ?

4. В бэйсике не нужно восстанавливать импорт с помощью imprec'а ?

| Сообщение посчитали полезным:

1. Стоишь здесь 0040256C смотришь в стек ESP+4 какое там значение потом восстанавливаешь
и так у всех VB прог если не ошибаюсь.
3. --> Link <--
4. Нужно

Есть много статей у латиносов, VB это их хлеб

| Сообщение посчитали полезным:

Ok. Спасибо. Попробую. Точно, в ESP как раз будет адрес возврата из call. Так и OEP станет известна. А не вкурсе, есть импорт реконструктор, может быть для бейсика который лучше подходит ?

| Сообщение посчитали полезным:

Robix пишет:
А не вкурсе, есть импорт реконструктор, может быть для бейсика который лучше подходит ?
а чем ImpRec не устраивает? Импорт он и у бейсика импорт.

| Сообщение посчитали полезным:

Понятно. Да, работает нормально.
Кстати. Не получилось запуститься после распаковки и восстановления импорта. Пишет непредвиденная ошибка. Из dll бэйсика происходит. Видимо темида где-то еще код украла или еще чего-нибудь.

| Сообщение посчитали полезным:

Теперь заработало! Оказывается надо было разместить OEP сразу за ThunRTMain. Попробую теперь прикрутить этот файл в инсталлер с помощью winhex.
0040256C $- FF25 38124000 JMP DWORD PTR DS:[401238] ; msvbvm60.ThunRTMain
00402572 > $ 68 D0284000 PUSH 4028D0 ; ASCII "VB5!6&*"
00402577 . E8 F0FFFFFF CALL 0040256C ; <JMP.&msvbvm60.ThunRTMain>

| Сообщение посчитали полезным:

Robix пишет:
Оказывается надо было разместить OEP сразу за ThunRTMain
дык так всегда. Открыл бы любую прогу на бейсике и убедился.

Robix пишет:
Попробую теперь прикрутить этот файл в инсталлер с помощью winhex.
а зачем прикручивать сделай свой. Или я что-то не понял?

| Сообщение посчитали полезным:

Сам инсталлятор это как оболочка, и он проверяет серийник. Самое главное - это содержимое, которое должно распаковаться. Но для него и ключ еще сгенерируется. После распаковки без дампа в самой Олли программа работает и можно нормально исследовать проверку. Чтобы удобнее было, думал, вставить в этот инсталятор распакованный код сдампленный вместо прежнего, но после запуска потом уже дальше нифига не вышло. Видимо все сложнее. Наверное в таких случаях надо просто исследовать логику проверки и писать какой-нибудь пачт. Внедряться в процесс. Это немножко сложнее, чем просто поиск серийника. Там с интернетом идет связь, чтобы проверить кредитку. Счас вот по олькой исследую, вроде как процесс проверки нашел, но понять очень сложно.

| Сообщение посчитали полезным:

Никто не вкурсе, что означает эта строчка. Это какой-то параметр среди всех для отпраки на сервер через функцию HttpSendRequest. Это системный параметр или нет.
03E99EFC 6D 61 63 68 69 6E 65 3D 2D 33 36 33 38 33 machine=-36383

| Сообщение посчитали полезным:

"Справочник по базовым функциям API Windows NT/2000" ничего не дал об этой функции.

| Сообщение посчитали полезным:

Она из wininet.dll. Мож тогда еще не было ее.
Еще вопросик. Если кто вкурсе, что эта функция делает:
__vbaRaiseEvent
После нее вообщем выскакиват сообщение о неверной регистации. Я подозреваю, что это какая-то хитрая функция. Но по бэйсику информации конечно очень мало.

| Сообщение посчитали полезным: