Reverse Engineering - DeDe & VBDecompiler

Resimde görüldüğü üzere  events bölümünde  FormCreate var.Bizim için nag screen’in yaratıldığı yer önemli o yüzden onun adresi olan RVA’sını 48C0C0 değerini alıyoruz.

Bu kadarı bizim için yeterli. DeDe ile işimiz bitti.Şimdi OllyDbg’a geçiyoruz ve programımızı açtıktan sonra assembly kodlarının olduğu bölümde sağ tıklayıp goto->expression’a not aldığımız adresimizi giriyoruz ve okleyerek gidiyoruz.

O noktaya ulaşıyoruz ve deneme amacıyla bir breakpoint koyuyoruz ve programı çalıştırıyoruz.Eğer program tam nag screen çıkacakken durmuşsa doğru yoldayız.Alttaki resimdeki kod blogunu görene kadar çalıştıra basıyoruz.

Şimdi breakpoint ile program durakladı.Şimdi yapmamız gereken buraya nerden geldiğimizi öğrenmek ve bir üst konuma çıkmak.Onun için sağ alt köşedeki stack penceresine bakıyoruz.Orada en üstte return to xxxxxx göreceksiniz.Demekki o adresten buraya gelmişiz ona resimdeki şekilde sağ tıklıyoruz ve follow in disassembler dedikten sonra oraya gidiyoruz.Buradaki system stack penceresinden bu tür işlemleri kontrol edebiliriz.

Resimdede gördüğünüz üzere oraya ulaştık orada gördüğünüz call’a breakpoint koyunca nag screen çıkacakken programın duraklamasından doğru olduğunu anlıyoruz.Hemen üstünde je şartlı zıplama noktasını görüyoruz ve orayı incelediğimizde eğer oradan zıplarsak nag screen’i atladığımızı ve program akışına devam ettiğimizi görüyoruz.