Доброго времени суток, прошу сильно не пинать, искал ответ, пытался сам, но не смог =) Помогите новичку.

Есть некая программа написанная на VC++ 2008 (как говорит ExeInfoPe).
У программы есть оверлей, виртуальный размер секций меньше Raw, что немного напрягает, но ExeInfoPe говорит Not packet.

Программа использует
int RSA_public_encrypt(int flen, unsigned char *from, unsigned char *to, RSA *rsa, int padding) из libeay32.dll (openssl).

Ида при начале отладки создает сегменты debug01,debug02 .. debugNN, которых нет при статическом дизасемблировании и в котрых располагаются массивы char*from и char*to.

Что это за сегменты (malloc ?, new ?) и как отследить модификацию массивов from/to (начальное заполнение) в их недрах если они создаются динамически с разными адресами и на них нельзя поставить точку останова или трасер до начала отладки ? Кода оооооочень много from[] все время по разным адресам одного из сегментов debug, понять откуда у этого массива ноги растут не могу уже 3 день. Где начать трасировку фиг знает, еще этот C++ со своими констукциями ... Может есть какой то способ ?


Вызов такой:


| Сообщение посчитали полезным:

пойдем от обратного, чего в итоге нужно получить?

| Сообщение посчитали полезным:

Необходимо понять кто и как формирует буфер для шифрования.

| Сообщение посчитали полезным:

как вариант попробовать все таки использовать ollydbg, из ida выгрузить map и через mapimp загрузить в олю, потом перед вызовом я бы в обратном порядке смотрел откуда в eax, edx, ecx берутся значения

| Сообщение посчитали полезным:

А отладчик olly лучше чем отладчик Иды 6.1 ?

| Сообщение посчитали полезным:

Заметил еще один интересный факт:
Api Monitor v2 показывает вызов CreateFileW, но Ida его не ловит 8-\
При чем поиск в хексе строки по имени файла не дал результата ни в отладчике не в дизасемблере....

... С перехватом разобрался, CreateFileW вызывал код в MSVCP90

| Сообщение посчитали полезным: