Reverse Engineering - DeDe & VBDecompiler

Doğru yerdeysek alttaki code bölümünden frmaboutu buluyoruz ağacı açarak inceliyoruz.Hepsine teker teker gözatıyoruz ve karşımıza resimde gördüğünüz üzere aradığımız şey çıkıyor.

Solunda yazan RVA adresini alıyor (493B19) ve Olly’e geçiyoruz.Asm kodlarının olduğu bölümde sağ tıklıyoruz ve goto->expression’a adresi yazıp oraya konumlanıyoruz.

Bundan sonra yapacağımız üstteki zıplama noktalarına bakmak olacak.Biraz üstlerde programın register edilip edilmediğinde rol oynayan iki önemli zıplama noktası olacak.Bunların yerlerini breakpointler koyarak kendiniz bulabilirsiz.Zıplamanız gerekiyorsa jmp geçmeniz gerekiyorsa nop koyarsanız program kırılmış olacaktır.Bu yazımda DeDe ve VB Decompilerın kullanımlarını konu aldığım için onları uzun uzun anlatmıyorum.

Bu yazı ve görsel materyaller tamamen-anonimleştirildi- aittir.Kopyalayanlar emeğe saygı duyarlarsa sevinirim.Saygılarımla..

Tarih:
Hit: 5235
Yazar: anonim6918524

Taglar: reverse engineering - dede & vbdecompiler


Yorumlar

Siftahı yapan siz olun
Yorum yapabilmek için üye girişi yapmalısınız.