Здравствуйте, есть программа на Borland Dephi 7
https://dropmefiles.com/yLcqn
Тест, отдельно лежит база вопросов, пытаюсь ее расшифровать.
Пробовал загрузить в DeDe, поискать ссылки на функции вроде TMemo,когда отмечаешь вопрос должно сравниваться с верным, ставлю bp-все проходит мимо.
В самой OllyDbg ставлю брекопоинты на чтение строк, трассировкой регистры смотрел-нигде вопрос-ответ не высвечиваются.
Направьте новичка.
Спасибо.

| Сообщение посчитали полезным:

TMemo это какбэ не функция а класс.
Вы уверены что поля ввода именно этого класса?
Каков результат декомпиляции через DeDe (хотя предполагаю ответ) и на основании чего и где вы ставите бряки в олли?
А вообще говоря, вы как то не с той стороны реверсировать базу начали - обычно смотрят на чтение из файла а не из формочки ввода.

| Сообщение посчитали полезным:

Поля ввода в виде галочек напротив верного ответа.
Попробую чтение из файла поимать.

| Сообщение посчитали полезным:

А с чего вы решили, что там именно TMemo?
Если будете чтение из файла ковырять, советую начать с ProcMon - многое прояснится уже на этом этапе

| Сообщение посчитали полезным:

Просто предположил про Тмемо-по скрину похоже что они используются.
Судя по Procmon используется CreateFile, ReadFile, чтение по 128 бит.
Когда ставлю брекпоинт на CreateFile(все вызовы пробовал)-программа аварийно завершается-какая то антиотладка стоит?

| Сообщение посчитали полезным:

Я с утюга, поэтому ваш файл посмотреть не могу, но какая антиотладка из под дельфи? Die что говорит - на программу точно ничего сверху не навешено?
Вы уверены, что 128 бит, даже 128 байт и то как то странно, прямо с нулевого смещения так таки весь файл до конца одинаковыми порциями по 128 бит читает???
Попробуйте запустить программу и в процессе выполнения прицепиться а потом бряк на API поставить - тоже крэшится?

| Сообщение посчитали полезным:

Как минимум пару фалов не хватает - instr.ini и lbr.ini.
Код чистый делфя - падает на ошибке чтения, настраивайте отладчик.

| Сообщение посчитали полезным:

Для начала можно крутнуть и найти выборку искомых строк, это будет первое событие при их адресации.

-----
vx

| Сообщение посчитали полезным:

ОМГ, чего только не насоветуют

Бряк на CreateFileW, выйдешь на


Трейсь и смотри что происходит с твоим файлом.

-----
ds

| Сообщение посчитали полезным: Veliant

Первый взгляд на базу - от каждого байта в блоке используются только младшие 5 бит, остальные установлены в 1
На ум приходит модификация base64
То есть вся база - текстовый файл, каждая строка которого состоит из элементов пятибитной длины, дополненных до байта единицами, в конце каждой строки некие служебные маркеры
В общем, как правильно сказал DimitarSerg, внимательно курите алгоритм расшифровки считанного буфера в процедуре начиная с адреса 4AB734:


| Сообщение посчитали полезным:

Login_
вместе с недостающими файлами https://dropmefiles.com/sYlTq
difexacaw подробнее, не понял
DimitarSerg спасибо
_MBK_ спасибо, начал трассировку отсюда, потом попадаю в два цикла на 4AB778 и 4AB7AC, похоже он посимвольно их расшифровывает-появляются числа 0074, 0033- коды символов?
Может после запуска программы как то из памяти забрать уже расшифрованную базу?

| Сообщение посчитали полезным:

buhanoid пишет:
Может после запуска программы как то из памяти забрать уже расшифрованную базу?
Ну так для этого надо сперва понять куда программа ее расшифровывает
Там все не так просто, алгоритм на первый взгляд весьма странный или они специально запутали дабы затруднить реверс
К примеру, указанное в моем листинге значение dl судя по всему, сразу теряется, не используясь потом

| Сообщение посчитали полезным:

buhanoid

> подробнее, не понял

Найти выборку в базу данных автоматикой. Выборка(data fetch) это железячное событие, вначале происходит адресная трансляция, вычисляется линейный адрес, затем происходит обращение к памяти. Так вот для начала нужно это событие обнаружить, это покажет во первых формат бд и станет ясно возможен ли дамп(собирается ли бд в памяти). Иначе это всё танцы с бубном, не технический подход к задаче.

-----
vx

| Сообщение посчитали полезным:

Какая выборка, там база - слегка шифрованный текстовый файл, чтение уже прошли, на данном этапе разбираем пррцедуру расшифровки считанных данных

| Сообщение посчитали полезным:

_MBK_

А какая разница какой источник данных и криптофункция. В памяти оно декриптовано и собрано или же нет, на лету собирается строка. Дашь строковую сигнатуру(там наверно юникод) я крутну визором он найдёт всё.

-----
vx

| Сообщение посчитали полезным:

Да нет там никакой криптофункции, энтропия полученного текста минимальная, какой то школьный самопал, (как я уже говорил) на первый взгляд смахивающий на вариацию base64, процедура расшифровки найдена, осталось только внимательно покурить алгоритм, по моему неплохое домашнее задание топикстартеру.

| Сообщение посчитали полезным:

_MBK_ Спасибо, скажите что конкретнее искать? Ссылку на данные?

| Сообщение посчитали полезным:

Смотря что вы хотите найти. Если реверсировать алгоритм - ставьте аппаратный бряк на любой байт из считанного буфера и следите за его перемещением. Правда, будьте готовы к тому, что в процессе алгоритм его зачем то туда-сюда много раз перетасовывает через movsb. На каждое новое местонахождение старательно бряк переставлять надо, лично я, сказать по правде, замаялся и бросил.
А если хотите просто расшифрованные данные получить - в каждой вызываемой процедуре внимательно следите за передаваемыми параметрами - в одной из них, скорее всего, параметром будет адрес буфера, заполняемого после вызова расшифрованными данными.

| Сообщение посчитали полезным:

_MBK_, алгоритм скорее всего ZBase32 с русским алфавитом. Мне бы просто данные получить, буду искать адрес.

| Сообщение посчитали полезным:

Нет там никакого особого шифрования. Читает до \x0d\x0a, ксорит с 0x10, разворачивает по два байта (Как пример .-АокитПр "ПИ0С => 0СПИ Приток-А). В начале строки всегда идет число указывающее длину строки. Все остальное - мусор.
Вкуривайте функцию, указанную DimitarSerg, в ней все происходит.

| Сообщение посчитали полезным: _MBK_, CyberGod