ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Даже не зная правильного ответа сначала, мысль у меня была верной. В olly нашли строку по сочетанию .key, нашли "code xref" на строку, вот мы и на месте.
Декомпилятор лишь подтвердил мою мысль. Код не был превращен в vb "кашу", что позволило более менее разглядеть логику. Вот и все, ничего мудреного.
p.s. Декомпилятором искать строки - дикость, это почти тоже самое что блокнотом открывать exe и dll.

Щас олькой поковырялся.
Файл с ключом проверяется с тем же именем что и АES
В памяти у меня настойчиво висит строка
0012FD78 |00152F44 UNICODE "WD-WCAPD2050354" что навевает мысль о привязке к винту.

Вооот. Прога при неверном key файле тихо загибается. Судя по процедуре чтения файла

0041DC64 . FF15 14114000 CALL DWORD PTR DS:[<&MSVBVM60.__vbaGet4>>; MSVBVM60.__vbaGet4

Автор использует какую то свою структуру, и читает её с файла. (если я правильно понял смысл http://www.firststeps.ru/vba/vbahelp/r.php?24)
Вооот... пока мысли иссякают, но буду ковырять далее.
Где то в середине чтения с файла вылазит уникодная TP_INVALID, и собсно программа умирает в муках эксепшнов.

Чешу затылок дальше.

UPD. До сравнения строк дошёл после заполнения файла 1 до талого. В памяти при этом висит строка моей кучи еденичек и 0, короче видимо строка на пустоту проверяется

Потом генерится строка из склеенных кодов символов. Для еденичек это было 313131313131, причём строка это первые 51 символ, а всего в файле данных должно быть гораздо больше, порядка 300 байт. Дойдя до конца строки, падает в эксепшн. Я в растерянности

Если не получается раскусить генерацию кода, то что мешает изменить результат функции, как мне показалось он либо целочисленный либо boolean. Если так, то патчим результат, надеясь что результаты "вычислений" нигде не используются. Опять же, чтоб не надеяться на авось, есть бряки аппаратные на чтение\запись