Ребят, подскажите plz такую вещь. Я в реверсинге относительно недавно, столкнулся с одной польской программой. Просмотрел ее в PEID, написана на делфях, не запакована. Но смутило меня то, что плагином Krypto ANALyser выявляются 2 закриптованные base64 сигнатуры:

BASE64 table :: 000D43EC :: 004D4FEC
Referenced at 005387C4
BASE64 table :: 00136F5C :: 0053875C
Referenced at 004D292F
Referenced at 004D3734
Referenced at 004D3751
Referenced at 004D379B
Referenced at 004D37C3
Referenced at 004D37E0
Referenced at 004D383B
Referenced at 004D3863
Referenced at 004D388B
Referenced at 004D38A5

Скажите, как можно снять данный крипт?

Может непосредственно к самой защите base64 не имеет никакого отношения. довольно пространно задан вопрос. кроме того, что вы отсканировали анализатором вы еще что-нибудь делали? Вы уверены, что base64 используется в самом алгоритме генерации ключа? поподробнее о защите и что вы пробовали делать.

скорее всего сабж никакого отнощшения к защите не имеет, да и смысл. это всеголишь кодирование символов, а не криптографи4еское преобразование и усложнить время взлома алгоритмом кодирования не выйдет. ссылки в студию, а еще лу4ше описание 4то сделано и 4то уже успел наковырять и конкретные куски листинга

Спасибо, что откликнулись.
Я сейчас попробую объяснить ситуацию. Данная программа имхо имеет довольно... ммм... запутанную систему регистрации программы. А именно: Программа запускается, просит ввести адрес почты, после ввода просит подключения к инету. На введенный мыльник приходит бинарный файл с названием Trial15851.lic. В теле письма написано, что его нужно положить в папку с прогой и воспользоваться логином и паролем aka названием файла, то бишь Trial15851. При этом если файл в корень папки не положить, то программа запустившись скажет, что ищите мол файл на мыле. Если файл положить, то программа запускается, и просит ввести указанные выше реквизиты (при этом положенный туда файл исчезает). Файл я положил, но трассировка программы приводит к тому, что вылетает ошибка (на скрине), после чего прога вылетает.
Брал прогу тут (http://promotion.twojakamera.pl/YourCamera-instalation.exe)
Ошибка:
_http://img160.imageshack.us/img160/3861/screenpk9.th.png (http://img160.imageshack.us/my.php?image=screenpk9.png)
Присылаемый файл _h**p://www.rapidshare.ru/462077, единственно, есть подозрение, что он сравнивает IP.
Что подскажете?

ошибка на скрине никакого отношения, как понимаю, к регалго не имеет

2ProTeuS,
Спасибо. Значит буду копать дальше.

Нет там никаких проблем с отладкой......

0040A06C /$ 55 PUSH EBP
0040A06D |. 8BEC MOV EBP,ESP
0040A06F |. 81C4 ACFEFFFF ADD ESP,-154
0040A075 |. 8945 F8 MOV [LOCAL.2],EAX
0040A078 |. 8D85 ACFEFFFF LEA EAX,[LOCAL.85]
0040A07E |. 50 PUSH EAX
0040A07F |. 8B45 F8 MOV EAX,[LOCAL.2]
0040A082 |. E8 A9AFFFFF CALL YourCame.00405030
0040A087 |. 50 PUSH EAX ; |FileName
0040A088 |. E8 3FD3FFFF CALL <JMP.&kernel32.FindFirstFileA> ; \FindFirstFileA
0040A08D |. 8945 F4 MOV [LOCAL.3],EAX
0040A090 |. 837D F4 FF CMP [LOCAL.3],-1
0040A094 |. 74 37 JE SHORT YourCame.0040A0CD
0040A096 |. 8B45 F4 MOV EAX,[LOCAL.3]
0040A099 |. 50 PUSH EAX ; /hSearch
0040A09A |. E8 25D3FFFF CALL <JMP.&kernel32.FindClose> ; \FindClose
0040A09F |. F685 ACFEFFFF>TEST BYTE PTR SS:[EBP-154],10
0040A0A6 |. 75 25 JNZ SHORT YourCame.0040A0CD
0040A0A8 |. 8D45 EC LEA EAX,[LOCAL.5]
0040A0AB |. 50 PUSH EAX ; /pLocalFileTime
0040A0AC |. 8D85 C0FEFFFF LEA EAX,[LOCAL.80] ; |
0040A0B2 |. 50 PUSH EAX ; |pFileTime
0040A0B3 |. E8 04D3FFFF CALL <JMP.&kernel32.FileTimeToLocalFileT>; \FileTimeToLocalFileTime
0040A0B8 |. 8D45 FC LEA EAX,[LOCAL.1]
0040A0BB |. 50 PUSH EAX ; /pDOSTime
0040A0BC |. 8D45 FE LEA EAX,DWORD PTR SS:[EBP-2] ; |
0040A0BF |. 50 PUSH EAX ; |pDOSDate
0040A0C0 |. 8D45 EC LEA EAX,[LOCAL.5] ; |
0040A0C3 |. 50 PUSH EAX ; |pFileTime
0040A0C4 |. E8 EBD2FFFF CALL <JMP.&kernel32.FileTimeToDosDateTim>; \FileTimeToDosDateTime
0040A0C9 |. 85C0 TEST EAX,EAX
0040A0CB |. 75 07 JNZ SHORT YourCame.0040A0D4
0040A0CD |> C745 FC FFFFF>MOV [LOCAL.1],-1
0040A0D4 |> 8B45 FC MOV EAX,[LOCAL.1]
0040A0D7 |. 8BE5 MOV ESP,EBP
0040A0D9 |. 5D POP EBP
0040A0DA \. C3 RET


Вызывается


0040A0DC /$ 55 PUSH EBP
0040A0DD |. 8BEC MOV EBP,ESP
0040A0DF |. 83C4 F8 ADD ESP,-8
0040A0E2 |. 8945 FC MOV [LOCAL.1],EAX
0040A0E5 |. 8B45 FC MOV EAX,[LOCAL.1]
0040A0E8 |. E8 7FFFFFFF CALL YourCame.0040A06C
0040A0ED |. 40 INC EAX
0040A0EE |. 0F9545 FB SETNE BYTE PTR SS:[EBP-5]
0040A0F2 |. 8A45 FB MOV AL,BYTE PTR SS:[EBP-5]
0040A0F5 |. 59 POP ECX
0040A0F6 |. 59 POP ECX
0040A0F7 |. 5D POP EBP
0040A0F8 \. C3 RET


Этим процедурам присмотрись... Там проверка наличия файла. дальше копать не могу, усталость=\ давай сам дальше. завтра если что дальше посмотрю.....

этот kanal всегда находит base64 если в проге есть строка всего английского алфавита A...z + спецсимволы в порядке следования