YourCamera & Base64

Ребят, подскажите plz такую вещь. Я в реверсинге относительно недавно, столкнулся с одной польской программой. Просмотрел ее в PEID, написана на делфях, не запакована. Но смутило меня то, что плагином Krypto ANALyser выявляются 2 закриптованные base64 сигнатуры:

Code:

BASE64 table :: 000D43EC :: 004D4FEC
	Referenced at 005387C4
BASE64 table :: 00136F5C :: 0053875C
	Referenced at 004D292F
	Referenced at 004D3734
	Referenced at 004D3751
	Referenced at 004D379B
	Referenced at 004D37C3
	Referenced at 004D37E0
	Referenced at 004D383B
	Referenced at 004D3863
	Referenced at 004D388B
	Referenced at 004D38A5

Скажите, как можно снять данный крипт?

 

Может непосредственно к самой защите base64 не имеет никакого отношения. довольно пространно задан вопрос. кроме того, что вы отсканировали анализатором вы еще что-нибудь делали? Вы уверены, что base64 используется в самом алгоритме генерации ключа? поподробнее о защите и что вы пробовали делать.

 

скорее всего сабж никакого отнощшения к защите не имеет, да и смысл. это всеголишь кодирование символов, а не криптографи4еское преобразование и усложнить время взлома алгоритмом кодирования не выйдет. ссылки в студию, а еще лу4ше описание 4то сделано и 4то уже успел наковырять и конкретные куски листинга

 

Спасибо, что откликнулись.
Я сейчас попробую объяснить ситуацию. Данная программа имхо имеет довольно... ммм... запутанную систему регистрации программы. А именно: Программа запускается, просит ввести адрес почты, после ввода просит подключения к инету. На введенный мыльник приходит бинарный файл с названием Trial15851.lic. В теле письма написано, что его нужно положить в папку с прогой и воспользоваться логином и паролем aka названием файла, то бишь Trial15851. При этом если файл в корень папки не положить, то программа запустившись скажет, что ищите мол файл на мыле. Если файл положить, то программа запускается, и просит ввести указанные выше реквизиты (при этом положенный туда файл исчезает). Файл я положил, но трассировка программы приводит к тому, что вылетает ошибка (на скрине), после чего прога вылетает.
Брал прогу тут
Ошибка:
_http://img160.imageshack.us/img160/3861/screenpk9.th.png
Присылаемый файл _h**p://www.rapidshare.ru/462077, единственно, есть подозрение, что он сравнивает IP.
Что подскажете?

 

ошибка на скрине никакого отношения, как понимаю, к регалго не имеет

 

2ProTeuS,
Спасибо. Значит буду копать дальше.

 

Нет там никаких проблем с отладкой......

Code:

0040A06C  /$  55            PUSH EBP
0040A06D  |.  8BEC          MOV EBP,ESP
0040A06F  |.  81C4 ACFEFFFF ADD ESP,-154
0040A075  |.  8945 F8       MOV [LOCAL.2],EAX
0040A078  |.  8D85 ACFEFFFF LEA EAX,[LOCAL.85]
0040A07E  |.  50            PUSH EAX
0040A07F  |.  8B45 F8       MOV EAX,[LOCAL.2]
0040A082  |.  E8 A9AFFFFF   CALL YourCame.00405030
0040A087  |.  50            PUSH EAX                                 ; |FileName
0040A088  |.  E8 3FD3FFFF   CALL <JMP.&kernel32.FindFirstFileA>      ; \FindFirstFileA
0040A08D  |.  8945 F4       MOV [LOCAL.3],EAX
0040A090  |.  837D F4 FF    CMP [LOCAL.3],-1
0040A094  |.  74 37         JE SHORT YourCame.0040A0CD
0040A096  |.  8B45 F4       MOV EAX,[LOCAL.3]
0040A099  |.  50            PUSH EAX                                 ; /hSearch
0040A09A  |.  E8 25D3FFFF   CALL <JMP.&kernel32.FindClose>           ; \FindClose
0040A09F  |.  F685 ACFEFFFF>TEST BYTE PTR SS:[EBP-154],10
0040A0A6  |.  75 25         JNZ SHORT YourCame.0040A0CD
0040A0A8  |.  8D45 EC       LEA EAX,[LOCAL.5]
0040A0AB  |.  50            PUSH EAX                                 ; /pLocalFileTime
0040A0AC  |.  8D85 C0FEFFFF LEA EAX,[LOCAL.80]                       ; |
0040A0B2  |.  50            PUSH EAX                                 ; |pFileTime
0040A0B3  |.  E8 04D3FFFF   CALL <JMP.&kernel32.FileTimeToLocalFileT>; \FileTimeToLocalFileTime
0040A0B8  |.  8D45 FC       LEA EAX,[LOCAL.1]
0040A0BB  |.  50            PUSH EAX                                 ; /pDOSTime
0040A0BC  |.  8D45 FE       LEA EAX,DWORD PTR SS:[EBP-2]             ; |
0040A0BF  |.  50            PUSH EAX                                 ; |pDOSDate
0040A0C0  |.  8D45 EC       LEA EAX,[LOCAL.5]                        ; |
0040A0C3  |.  50            PUSH EAX                                 ; |pFileTime
0040A0C4  |.  E8 EBD2FFFF   CALL <JMP.&kernel32.FileTimeToDosDateTim>; \FileTimeToDosDateTime
0040A0C9  |.  85C0          TEST EAX,EAX
0040A0CB  |.  75 07         JNZ SHORT YourCame.0040A0D4
0040A0CD  |>  C745 FC FFFFF>MOV [LOCAL.1],-1
0040A0D4  |>  8B45 FC       MOV EAX,[LOCAL.1]
0040A0D7  |.  8BE5          MOV ESP,EBP
0040A0D9  |.  5D            POP EBP
0040A0DA  \.  C3            RET

Вызывается

Code:

0040A0DC  /$  55            PUSH EBP
0040A0DD  |.  8BEC          MOV EBP,ESP
0040A0DF  |.  83C4 F8       ADD ESP,-8
0040A0E2  |.  8945 FC       MOV [LOCAL.1],EAX
0040A0E5  |.  8B45 FC       MOV EAX,[LOCAL.1]
0040A0E8  |.  E8 7FFFFFFF   CALL YourCame.0040A06C
0040A0ED  |.  40            INC EAX
0040A0EE  |.  0F9545 FB     SETNE BYTE PTR SS:[EBP-5]
0040A0F2  |.  8A45 FB       MOV AL,BYTE PTR SS:[EBP-5]
0040A0F5  |.  59            POP ECX
0040A0F6  |.  59            POP ECX
0040A0F7  |.  5D            POP EBP
0040A0F8  \.  C3            RET

Этим процедурам присмотрись... Там проверка наличия файла. дальше копать не могу, усталость=\ давай сам дальше. завтра если что дальше посмотрю.....

 

этот kanal всегда находит base64 если в проге есть строка всего английского алфавита A...z + спецсимволы в порядке следования