Application du cours 15#2

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

Re: Application du cours 15#2

Messagepar Hao » 19 Août 2017, 14:25

Fichier => Attacher...
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 113
Inscription: 27 Novembre 2013, 22:24

Re: Application du cours 15#2

Messagepar GROUPF » 20 Août 2017, 12:06

Merci,

Voila du coup ce que je trouves pour la famille des kernel 32:
Code: Tout sélectionner
Addresse         Vue Désassembleur                           Destination                   
00007FF6F366464B call qword ptr ds:[<&CreateDirectoryA>]     <kernel32.CreateDirectoryA>
00007FF6F357F384 call qword ptr ds:[<&CreateEventA>]         <kernel32.CreateEventA>
00007FF6F3610B0D call qword ptr ds:[<&CreateEventA>]         <kernel32.CreateEventA>
00007FF6F360F55E call qword ptr ds:[<&CreateEventA>]         <kernel32.CreateEventA>
00007FF6F3613F5E call qword ptr ds:[<&CreateEventA>]         <kernel32.CreateEventA>
00007FF6F36156DD call qword ptr ds:[<&CreateEventA>]         <kernel32.CreateEventA>
00007FF6F361872C call qword ptr ds:[<&CreateEventA>]         <kernel32.CreateEventA>
00007FF6F3618711 call qword ptr ds:[<&CreateEventA>]         <kernel32.CreateEventA>
00007FF6F3636A10 call qword ptr ds:[<&CreateEventW>]         <kernel32.CreateEventW>
00007FF6F36C3EF9 call qword ptr ds:[<&CreateEventW>]         <kernel32.CreateEventW>
00007FF6F35E933A call qword ptr ds:[<&CreateFileA>]          <kernel32.CreateFileA>
00007FF6F35ED3D0 call qword ptr ds:[<&CreateFileA>]          <kernel32.CreateFileA>
00007FF6F35F4559 call qword ptr ds:[<&CreateFileA>]          <kernel32.CreateFileA>
00007FF6F35F45E2 call qword ptr ds:[<&CreateFileA>]          <kernel32.CreateFileA>
00007FF6F36314D7 call qword ptr ds:[<&CreateFileA>]          <kernel32.CreateFileA>
00007FF6F36998D5 call qword ptr ds:[<&CreateFileA>]          <kernel32.CreateFileA>
00007FF6F375A541 call qword ptr ds:[<&CreateFileW>]          <kernel32.CreateFileW>
00007FF6F373874C call qword ptr ds:[<&CreateFileW>]          <kernel32.CreateFileW>
00007FF6F3738E55 call qword ptr ds:[<&CreateFileW>]          <kernel32.CreateFileW>
00007FF6F3738EB1 call qword ptr ds:[<&CreateFileW>]          <kernel32.CreateFileW>
00007FF6F37390C8 call qword ptr ds:[<&CreateFileW>]          <kernel32.CreateFileW>
00007FF6F361EC11 call qword ptr ds:[<&CreateMailslotA>]      <kernel32.CreateMailslotA>
00007FF6F361EC45 call qword ptr ds:[<&CreateMailslotA>]      <kernel32.CreateMailslotA>
00007FF6F361ED86 call qword ptr ds:[<&CreateMailslotA>]      <kernel32.CreateMailslotA>
00007FF6F361EDB6 call qword ptr ds:[<&CreateMailslotA>]      <kernel32.CreateMailslotA>
00007FF6F360C81A call qword ptr ds:[<&CreateMutexA>]         <kernel32.CreateMutexA>
00007FF6F35CF3C1 call qword ptr ds:[<&CreateMutexA>]         <kernel32.CreateMutexA>
00007FF6F360F600 call qword ptr ds:[<&CreateMutexA>]         <kernel32.CreateMutexA>
00007FF6F3610C3A call qword ptr ds:[<&CreateMutexA>]         <kernel32.CreateMutexA>
00007FF6F36175F4 call qword ptr ds:[<&CreateMutexA>]         <kernel32.CreateMutexA>
00007FF6F3613FDB call qword ptr ds:[<&CreateMutexA>]         <kernel32.CreateMutexA>
00007FF6F3615825 call qword ptr ds:[<&CreateMutexA>]         <kernel32.CreateMutexA>
00007FF6F369F93E call qword ptr ds:[<&CreateMutexA>]         <kernel32.CreateMutexA>
00007FF6F369F855 call qword ptr ds:[<&CreateMutexA>]         <kernel32.CreateMutexA>
00007FF6F35E9EAF call qword ptr ds:[<&CreateProcessA>]       <kernel32.CreateProcessA>
00007FF6F3630F19 call qword ptr ds:[<&CreateProcessA>]       <kernel32.CreateProcessA>
00007FF6F374A9A7 call qword ptr ds:[<&CreateProcessA>]       <kernel32.CreateProcessA>
00007FF6F374AC07 call qword ptr ds:[<&CreateProcessW>]       <kernel32.CreateProcessW>
00007FF6F35DDF65 call qword ptr ds:[<&CreateSemaphoreA>]     <kernel32.CreateSemaphoreA>
00007FF6F35F6B84 call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F360F599 call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F3610B45 call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F361758F call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F3613F96 call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F3615718 call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F3618F1C call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F374EFFC call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F374F118 call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F374F444 call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F374F328 call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F373CE91 call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F373CDBC call qword ptr ds:[<&CreateThread>]         <kernel32.CreateThread>
00007FF6F36724E6 call qword ptr ds:[<&CreateWaitableTimerA>] <kernel32.CreateWaitableTimerA>
00007FF6F36725A4 call qword ptr ds:[<&CreateWaitableTimerA>] <kernel32.CreateWaitableTimerA>


du coup j'ai mis un BP sur chacun d'eux et quand je restart le prog j'arrive à l'un d'eux, les autres BP ne sont pas enclanchés.
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar GROUPF » 20 Août 2017, 12:07

Et la j'arrive à cet endroit du code, et je comprends vraiement rien :

Code: Tout sélectionner
00007FF6F361E700 | EB FE                    | jmp sigview.7FF6F361E700                                     |
00007FF6F361E702 | 48 83 EC 20              | sub rsp,20                                                   |
00007FF6F361E706 | 48 8B D9                 | mov rbx,rcx                                                  |
00007FF6F361E709 | E8 D2 0C 05 00           | call sigview.7FF6F366F3E0                                    |
00007FF6F361E70E | 48 8B 8B 78 01 00 00     | mov rcx,qword ptr ds:[rbx+178]                               |
00007FF6F361E715 | 48 8B 41 68              | mov rax,qword ptr ds:[rcx+68]                                |
00007FF6F361E719 | 48 63 50 0C              | movsxd rdx,dword ptr ds:[rax+C]                              |
00007FF6F361E71D | 48 8B 4C 0A 78           | mov rcx,qword ptr ds:[rdx+rcx+78]                            |
00007FF6F361E722 | FF 15 A0 63 16 00        | call qword ptr ds:[<&GetMenu>]                               |
00007FF6F361E728 | 48 8B D0                 | mov rdx,rax                                                  |
00007FF6F361E72B | 48 8D 4B C8              | lea rcx,qword ptr ds:[rbx-38]                                |
00007FF6F361E72F | 48 83 C4 20              | add rsp,20                                                   |
00007FF6F361E733 | 5B                       | pop rbx                                                      |
00007FF6F361E734 | E9 E7 07 00 00           | jmp sigview.7FF6F361EF20                                     |
00007FF6F361E739 | CC                       | int3                                                         |
00007FF6F361E73A | CC                       | int3                                                         |
00007FF6F361E73B | CC                       | int3                                                         |
00007FF6F361E73C | CC                       | int3                                                         |
00007FF6F361E73D | CC                       | int3                                                         |
00007FF6F361E73E | CC                       | int3                                                         |
00007FF6F361E73F | CC                       | int3                                                         |
00007FF6F361E740 | 48 83 EC 28              | sub rsp,28                                                   |
00007FF6F361E744 | 48 8B 81 40 01 00 00     | mov rax,qword ptr ds:[rcx+140]                               |
00007FF6F361E74B | 89 90 F0 02 00 00        | mov dword ptr ds:[rax+2F0],edx                               |
00007FF6F361E751 | 48 8B 81 40 01 00 00     | mov rax,qword ptr ds:[rcx+140]                               |
00007FF6F361E758 | 4C 89 80 F8 02 00 00     | mov qword ptr ds:[rax+2F8],r8                                |
00007FF6F361E75F | 48 8B 89 40 01 00 00     | mov rcx,qword ptr ds:[rcx+140]                               |
00007FF6F361E766 | E8 45 DA FC FF           | call sigview.7FF6F35EC1B0                                    |
00007FF6F361E76B | 33 C0                    | xor eax,eax                                                  |
00007FF6F361E76D | 48 83 C4 28              | add rsp,28                                                   |
00007FF6F361E771 | C3                       | ret                                                          |
00007FF6F361E772 | CC                       | int3                                                         |
00007FF6F361E773 | CC                       | int3                                                         |
00007FF6F361E774 | CC                       | int3                                                         |
00007FF6F361E775 | CC                       | int3                                                         |
00007FF6F361E776 | CC                       | int3                                                         |
00007FF6F361E777 | CC                       | int3                                                         |
00007FF6F361E778 | CC                       | int3                                                         |
00007FF6F361E779 | CC                       | int3                                                         |
00007FF6F361E77A | CC                       | int3                                                         |
00007FF6F361E77B | CC                       | int3                                                         |
00007FF6F361E77C | CC                       | int3                                                         |
00007FF6F361E77D | CC                       | int3                                                         |
00007FF6F361E77E | CC                       | int3                                                         |
00007FF6F361E77F | CC                       | int3                                                         |
00007FF6F361E780 | 40 55                    | push rbp                                                     |
00007FF6F361E782 | 41 54                    | push r12                                                     |
00007FF6F361E784 | 41 55                    | push r13                                                     |
00007FF6F361E786 | 41 56                    | push r14                                                     | r14:&"C:\\Program Files\\Sigview\\SIGVIEW.exe"
00007FF6F361E788 | 41 57                    | push r15                                                     |
00007FF6F361E78A | 48 8D AC 24 90 B7 FF FF  | lea rbp,qword ptr ss:[rsp-4870]                              |
00007FF6F361E792 | B8 70 49 00 00           | mov eax,4970                                                 |
00007FF6F361E797 | E8 14 D7 13 00           | call sigview.7FF6F375BEB0                                    |
00007FF6F361E79C | 48 2B E0                 | sub rsp,rax                                                  |
00007FF6F361E79F | 48 C7 44 24 60 FE FF FF  | mov qword ptr ss:[rsp+60],FFFFFFFFFFFFFFFE                   |
00007FF6F361E7A8 | 48 89 9C 24 A0 49 00 00  | mov qword ptr ss:[rsp+49A0],rbx                              |
00007FF6F361E7B0 | 48 89 B4 24 B0 49 00 00  | mov qword ptr ss:[rsp+49B0],rsi                              | [rsp+49B0]:"-intern_no_start"
00007FF6F361E7B8 | 48 89 BC 24 B8 49 00 00  | mov qword ptr ss:[rsp+49B8],rdi                              |
00007FF6F361E7C0 | 4C 8B F2                 | mov r14,rdx                                                  | r14:&"C:\\Program Files\\Sigview\\SIGVIEW.exe"
00007FF6F361E7C3 | 44 8B E9                 | mov r13d,ecx                                                 |
00007FF6F361E7C6 | 44 89 2D 57 48 22 00     | mov dword ptr ds:[7FF6F3843024],r13d                         |
00007FF6F361E7CD | 48 89 15 64 48 22 00     | mov qword ptr ds:[7FF6F3843038],rdx                          |
00007FF6F361E7D4 | 48 8D 15 B5 E5 19 00     | lea rdx,qword ptr ds:[7FF6F37BCD90]                          | 7FF6F37BCD90:"PASSIVE"
00007FF6F361E7DB | 48 8D 0D 9E E5 19 00     | lea rcx,qword ptr ds:[7FF6F37BCD80]                          | 7FF6F37BCD80:"OMP_WAIT_POLICY"
00007FF6F361E7E2 | E8 ED 4B 11 00           | call sigview.7FF6F37333D4                                    |
00007FF6F361E7E7 | 48 8D 4C 24 70           | lea rcx,qword ptr ss:[rsp+70]                                |
00007FF6F361E7EC | E8 AF DB FF FF           | call sigview.7FF6F361C3A0                                    |
00007FF6F361E7F1 | 90                       | nop                                                          |
00007FF6F361E7F2 | B9 64 00 00 00           | mov ecx,64                                                   | 64:'d'
00007FF6F361E7F7 | FF 15 7B 62 16 00        | call qword ptr ds:[<&DdeGetQualityOfService>]                |
00007FF6F361E7FD | 45 33 E4                 | xor r12d,r12d                                                |
00007FF6F361E800 | 4C 89 64 24 30           | mov qword ptr ss:[rsp+30],r12                                |
00007FF6F361E805 | 4C 89 64 24 38           | mov qword ptr ss:[rsp+38],r12                                |
00007FF6F361E80A | E8 91 73 FD FF           | call sigview.7FF6F35F5BA0                                    |
00007FF6F361E80F | 48 89 44 24 30           | mov qword ptr ss:[rsp+30],rax                                |
00007FF6F361E814 | 4D 8B C6                 | mov r8,r14                                                   | r14:&"C:\\Program Files\\Sigview\\SIGVIEW.exe"
00007FF6F361E817 | 41 8B D5                 | mov edx,r13d                                                 |
00007FF6F361E81A | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361E81F | E8 CC 02 F8 FF           | call sigview.7FF6F359EAF0                                    |
00007FF6F361E824 | 48 8D 0D 45 E5 19 00     | lea rcx,qword ptr ds:[7FF6F37BCD70]                          | 7FF6F37BCD70:"user32.dll"
00007FF6F361E82B | FF 15 9F 5C 16 00        | call qword ptr ds:[<&LoadLibraryA>]                          |
00007FF6F361E831 | 48 8B D8                 | mov rbx,rax                                                  |
00007FF6F361E834 | 48 8D 15 95 E5 19 00     | lea rdx,qword ptr ds:[7FF6F37BCDD0]                          | 7FF6F37BCDD0:"SetProcessDPIAware"
00007FF6F361E83B | 48 8B C8                 | mov rcx,rax                                                  |
00007FF6F361E83E | FF 15 84 5C 16 00        | call qword ptr ds:[<&GetProcAddress>]                        |
00007FF6F361E844 | 48 85 C0                 | test rax,rax                                                 |
00007FF6F361E847 | 74 02                    | je sigview.7FF6F361E84B                                      |
00007FF6F361E849 | FF D0                    | call rax                                                     |
00007FF6F361E84B | 48 8B CB                 | mov rcx,rbx                                                  |
00007FF6F361E84E | FF 15 6C 5C 16 00        | call qword ptr ds:[<&FreeLibrary>]                           |
00007FF6F361E854 | 48 8D 15 6D E5 19 00     | lea rdx,qword ptr ds:[7FF6F37BCDC8]                          | 7FF6F37BCDC8:"-waitms"
00007FF6F361E85B | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361E860 | E8 5B 07 F8 FF           | call sigview.7FF6F359EFC0                                    |
00007FF6F361E865 | 84 C0                    | test al,al                                                   |
00007FF6F361E867 | 0F 84 93 00 00 00        | je sigview.7FF6F361E900                                      |
00007FF6F361E86D | 48 8D 15 54 E5 19 00     | lea rdx,qword ptr ds:[7FF6F37BCDC8]                          | 7FF6F37BCDC8:"-waitms"
00007FF6F361E874 | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361E879 | E8 A2 09 F8 FF           | call sigview.7FF6F359F220                                    |
00007FF6F361E87E | 85 C0                    | test eax,eax                                                 |
00007FF6F361E880 | 7E 7E                    | jle sigview.7FF6F361E900                                     |
00007FF6F361E882 | 45 33 C9                 | xor r9d,r9d                                                  |
00007FF6F361E885 | 4C 8D 05 3C E5 19 00     | lea r8,qword ptr ds:[7FF6F37BCDC8]                           | 7FF6F37BCDC8:"-waitms"
00007FF6F361E88C | 48 8D 54 24 40           | lea rdx,qword ptr ss:[rsp+40]                                |
00007FF6F361E891 | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361E896 | E8 05 08 F8 FF           | call sigview.7FF6F359F0A0                                    |
00007FF6F361E89B | 48 8D 4C 24 40           | lea rcx,qword ptr ss:[rsp+40]                                |
00007FF6F361E8A0 | 48 83 7C 24 58 10        | cmp qword ptr ss:[rsp+58],10                                 |
00007FF6F361E8A6 | 48 0F 43 4C 24 40        | cmovae rcx,qword ptr ss:[rsp+40]                             |
00007FF6F361E8AC | E8 DB EB 10 00           | call sigview.7FF6F372D48C                                    |
00007FF6F361E8B1 | 85 C0                    | test eax,eax                                                 |
00007FF6F361E8B3 | 7E 2E                    | jle sigview.7FF6F361E8E3                                     |
00007FF6F361E8B5 | 8B C8                    | mov ecx,eax                                                  |
00007FF6F361E8B7 | FF 15 4B 5C 16 00        | call qword ptr ds:[<&Sleep>]                                 |
00007FF6F361E8BD | 4C 8B 44 24 58           | mov r8,qword ptr ss:[rsp+58]                                 |
00007FF6F361E8C2 | 49 83 F8 10              | cmp r8,10                                                    |
00007FF6F361E8C6 | 0F 82 FE 03 00 00        | jb sigview.7FF6F361ECCA                                      |
00007FF6F361E8CC | 49 FF C0                 | inc r8                                                       |
00007FF6F361E8CF | 48 8B 54 24 40           | mov rdx,qword ptr ss:[rsp+40]                                |
00007FF6F361E8D4 | 48 8D 4C 24 40           | lea rcx,qword ptr ss:[rsp+40]                                |
00007FF6F361E8D9 | E8 22 BE F5 FF           | call sigview.7FF6F357A700                                    |
00007FF6F361E8DE | E9 E7 03 00 00           | jmp sigview.7FF6F361ECCA                                     |
00007FF6F361E8E3 | 4C 8B 44 24 58           | mov r8,qword ptr ss:[rsp+58]                                 |
00007FF6F361E8E8 | 49 83 F8 10              | cmp r8,10                                                    |
00007FF6F361E8EC | 72 12                    | jb sigview.7FF6F361E900                                      |
00007FF6F361E8EE | 49 FF C0                 | inc r8                                                       |
00007FF6F361E8F1 | 48 8B 54 24 40           | mov rdx,qword ptr ss:[rsp+40]                                |
00007FF6F361E8F6 | 48 8D 4C 24 40           | lea rcx,qword ptr ss:[rsp+40]                                |
00007FF6F361E8FB | E8 00 BE F5 FF           | call sigview.7FF6F357A700                                    |
00007FF6F361E900 | 48 8D 15 B5 E4 19 00     | lea rdx,qword ptr ds:[7FF6F37BCDBC]                          | 7FF6F37BCDBC:"-help"
00007FF6F361E907 | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361E90C | E8 AF 06 F8 FF           | call sigview.7FF6F359EFC0                                    |
00007FF6F361E911 | 84 C0                    | test al,al                                                   |
00007FF6F361E913 | 74 24                    | je sigview.7FF6F361E939                                      |
00007FF6F361E915 | 66 44 89 64 24 20        | mov word ptr ss:[rsp+20],r12w                                |
00007FF6F361E91B | 45 33 C9                 | xor r9d,r9d                                                  |
00007FF6F361E91E | 4C 8D 05 7B E4 19 00     | lea r8,qword ptr ds:[7FF6F37BCDA0]                           | 7FF6F37BCDA0:"Sigview command-line help"
00007FF6F361E925 | 48 8D 15 F4 E4 19 00     | lea rdx,qword ptr ds:[7FF6F37BCE20]                          |
00007FF6F361E92C | 33 C9                    | xor ecx,ecx                                                  |
00007FF6F361E92E | FF 15 CC 65 16 00        | call qword ptr ds:[<&MessageBoxExA>]                         |
00007FF6F361E934 | E9 91 03 00 00           | jmp sigview.7FF6F361ECCA                                     |
00007FF6F361E939 | 48 8D 15 D0 E4 19 00     | lea rdx,qword ptr ds:[7FF6F37BCE10]                          | 7FF6F37BCE10:"Sigview"
00007FF6F361E940 | 48 8D 0D B9 E4 19 00     | lea rcx,qword ptr ds:[7FF6F37BCE00]                          | 7FF6F37BCE00:"OWL_Window"
00007FF6F361E947 | FF 15 6B 61 16 00        | call qword ptr ds:[<&FindWindowA>]                           |
00007FF6F361E94D | 4C 8B F8                 | mov r15,rax                                                  |
00007FF6F361E950 | 48 85 C0                 | test rax,rax                                                 |
00007FF6F361E953 | 75 54                    | jne sigview.7FF6F361E9A9                                     |
00007FF6F361E955 | 48 8D 15 6C AB 19 00     | lea rdx,qword ptr ds:[7FF6F37B94C8]                          | 7FF6F37B94C8:"-closeapp"
00007FF6F361E95C | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361E961 | E8 5A 06 F8 FF           | call sigview.7FF6F359EFC0                                    |
00007FF6F361E966 | 84 C0                    | test al,al                                                   |
00007FF6F361E968 | 0F 85 5C 03 00 00        | jne sigview.7FF6F361ECCA                                     |
00007FF6F361E96E | 48 8D 15 73 E4 19 00     | lea rdx,qword ptr ds:[7FF6F37BCDE8]                          | 7FF6F37BCDE8:"-intern_no_start"
00007FF6F361E975 | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361E97A | E8 41 06 F8 FF           | call sigview.7FF6F359EFC0                                    |
00007FF6F361E97F | 84 C0                    | test al,al                                                   |
00007FF6F361E981 | 75 26                    | jne sigview.7FF6F361E9A9                                     |
00007FF6F361E983 | C7 44 24 28 05 00 00 00  | mov dword ptr ss:[rsp+28],5                                  |
00007FF6F361E98B | 4C 89 64 24 20           | mov qword ptr ss:[rsp+20],r12                                |
00007FF6F361E990 | 4C 8D 0D 51 E4 19 00     | lea r9,qword ptr ds:[7FF6F37BCDE8]                           | 7FF6F37BCDE8:"-intern_no_start"
00007FF6F361E997 | 4D 8B 06                 | mov r8,qword ptr ds:[r14]                                    | [r14]:"C:\\Program Files\\Sigview\\SIGVIEW.exe"
00007FF6F361E99A | 48 8D 15 B7 81 19 00     | lea rdx,qword ptr ds:[7FF6F37B6B58]                          | 7FF6F37B6B58:"open"
00007FF6F361E9A1 | 33 C9                    | xor ecx,ecx                                                  |
00007FF6F361E9A3 | FF 15 77 60 16 00        | call qword ptr ds:[<&ShellExecuteA>]                         |
00007FF6F361E9A9 | BE 0A 00 00 00           | mov esi,A                                                    | A:'\n'
00007FF6F361E9AE | 4D 85 FF                 | test r15,r15                                                 |
00007FF6F361E9B1 | 0F 85 F4 00 00 00        | jne sigview.7FF6F361EAAB                                     |
00007FF6F361E9B7 | 66 0F 1F 84 00 00 00 00  | nop word ptr ds:[rax+rax]                                    |
00007FF6F361E9C0 | 48 C7 44 24 58 0F 00 00  | mov qword ptr ss:[rsp+58],F                                  |
00007FF6F361E9C9 | 4C 89 64 24 50           | mov qword ptr ss:[rsp+50],r12                                |
00007FF6F361E9CE | C6 44 24 40 00           | mov byte ptr ss:[rsp+40],0                                   |
00007FF6F361E9D3 | 41 B8 10 00 00 00        | mov r8d,10                                                   |
00007FF6F361E9D9 | 48 8D 15 08 E4 19 00     | lea rdx,qword ptr ds:[7FF6F37BCDE8]                          | 7FF6F37BCDE8:"-intern_no_start"
00007FF6F361E9E0 | 48 8D 4C 24 40           | lea rcx,qword ptr ss:[rsp+40]                                |
00007FF6F361E9E5 | E8 06 D9 F6 FF           | call sigview.7FF6F358C2F0                                    |
00007FF6F361E9EA | 48 8B 44 24 30           | mov rax,qword ptr ss:[rsp+30]                                |
00007FF6F361E9EF | 48 8B 78 08              | mov rdi,qword ptr ds:[rax+8]                                 |
00007FF6F361E9F3 | 48 8B D8                 | mov rbx,rax                                                  |
00007FF6F361E9F6 | 80 7F 19 00              | cmp byte ptr ds:[rdi+19],0                                   |
00007FF6F361E9FA | 75 49                    | jne sigview.7FF6F361EA45                                     |
00007FF6F361E9FC | 0F 1F 40 00              | nop dword ptr ds:[rax]                                       |
00007FF6F361EA00 | 48 8D 4F 20              | lea rcx,qword ptr ds:[rdi+20]                                |
00007FF6F361EA04 | 48 8D 54 24 40           | lea rdx,qword ptr ss:[rsp+40]                                |
00007FF6F361EA09 | E8 32 0F F8 FF           | call sigview.7FF6F359F940                                    |
00007FF6F361EA0E | 85 C0                    | test eax,eax                                                 |
00007FF6F361EA10 | 79 06                    | jns sigview.7FF6F361EA18                                     |
00007FF6F361EA12 | 48 8B 7F 10              | mov rdi,qword ptr ds:[rdi+10]                                |
00007FF6F361EA16 | EB 06                    | jmp sigview.7FF6F361EA1E                                     |
00007FF6F361EA18 | 48 8B DF                 | mov rbx,rdi                                                  |
00007FF6F361EA1B | 48 8B 3F                 | mov rdi,qword ptr ds:[rdi]                                   |
00007FF6F361EA1E | 80 7F 19 00              | cmp byte ptr ds:[rdi+19],0                                   |
00007FF6F361EA22 | 74 DC                    | je sigview.7FF6F361EA00                                      |
00007FF6F361EA24 | 48 8B 44 24 30           | mov rax,qword ptr ss:[rsp+30]                                |
00007FF6F361EA29 | 48 3B D8                 | cmp rbx,rax                                                  |
00007FF6F361EA2C | 74 17                    | je sigview.7FF6F361EA45                                      |
00007FF6F361EA2E | 48 8D 53 20              | lea rdx,qword ptr ds:[rbx+20]                                |
00007FF6F361EA32 | 48 8D 4C 24 40           | lea rcx,qword ptr ss:[rsp+40]                                |
00007FF6F361EA37 | E8 04 0F F8 FF           | call sigview.7FF6F359F940                                    |
00007FF6F361EA3C | 85 C0                    | test eax,eax                                                 |
00007FF6F361EA3E | 48 8B 44 24 30           | mov rax,qword ptr ss:[rsp+30]                                |
00007FF6F361EA43 | 79 03                    | jns sigview.7FF6F361EA48                                     |
00007FF6F361EA45 | 48 8B D8                 | mov rbx,rax                                                  |
00007FF6F361EA48 | 4C 8B 44 24 58           | mov r8,qword ptr ss:[rsp+58]                                 |
00007FF6F361EA4D | 49 83 F8 10              | cmp r8,10                                                    |
00007FF6F361EA51 | 72 17                    | jb sigview.7FF6F361EA6A                                      |
00007FF6F361EA53 | 49 FF C0                 | inc r8                                                       |
00007FF6F361EA56 | 48 8B 54 24 40           | mov rdx,qword ptr ss:[rsp+40]                                |
00007FF6F361EA5B | 48 8D 4C 24 40           | lea rcx,qword ptr ss:[rsp+40]                                |
00007FF6F361EA60 | E8 9B BC F5 FF           | call sigview.7FF6F357A700                                    |
00007FF6F361EA65 | 48 8B 44 24 30           | mov rax,qword ptr ss:[rsp+30]                                |
00007FF6F361EA6A | 48 3B D8                 | cmp rbx,rax                                                  |
00007FF6F361EA6D | 75 33                    | jne sigview.7FF6F361EAA2                                     |
00007FF6F361EA6F | 85 F6                    | test esi,esi                                                 |
00007FF6F361EA71 | 74 2F                    | je sigview.7FF6F361EAA2                                      |
00007FF6F361EA73 | 48 8D 15 96 E3 19 00     | lea rdx,qword ptr ds:[7FF6F37BCE10]                          | 7FF6F37BCE10:"Sigview"
00007FF6F361EA7A | 48 8D 0D 7F E3 19 00     | lea rcx,qword ptr ds:[7FF6F37BCE00]                          | 7FF6F37BCE00:"OWL_Window"
00007FF6F361EA81 | FF 15 31 60 16 00        | call qword ptr ds:[<&FindWindowA>]                           |
00007FF6F361EA87 | 4C 8B F8                 | mov r15,rax                                                  |
00007FF6F361EA8A | FF CE                    | dec esi                                                      |
00007FF6F361EA8C | B9 E8 03 00 00           | mov ecx,3E8                                                  |
00007FF6F361EA91 | FF 15 71 5A 16 00        | call qword ptr ds:[<&Sleep>]                                 |
00007FF6F361EA97 | 4D 85 FF                 | test r15,r15                                                 |
00007FF6F361EA9A | 0F 84 20 FF FF FF        | je sigview.7FF6F361E9C0                                      |
00007FF6F361EAA0 | EB 09                    | jmp sigview.7FF6F361EAAB                                     |
00007FF6F361EAA2 | 4D 85 FF                 | test r15,r15                                                 |
00007FF6F361EAA5 | 0F 84 13 02 00 00        | je sigview.7FF6F361ECBE                                      |
00007FF6F361EAAB | 48 C7 44 24 58 0F 00 00  | mov qword ptr ss:[rsp+58],F                                  |
00007FF6F361EAB4 | 4C 89 64 24 50           | mov qword ptr ss:[rsp+50],r12                                |
00007FF6F361EAB9 | C6 44 24 40 00           | mov byte ptr ss:[rsp+40],0                                   |
00007FF6F361EABE | 41 B8 10 00 00 00        | mov r8d,10                                                   |
00007FF6F361EAC4 | 48 8D 15 1D E3 19 00     | lea rdx,qword ptr ds:[7FF6F37BCDE8]                          | 7FF6F37BCDE8:"-intern_no_start"
00007FF6F361EACB | 48 8D 4C 24 40           | lea rcx,qword ptr ss:[rsp+40]                                |
00007FF6F361EAD0 | E8 1B D8 F6 FF           | call sigview.7FF6F358C2F0                                    |
00007FF6F361EAD5 | 48 8B 44 24 30           | mov rax,qword ptr ss:[rsp+30]                                |
00007FF6F361EADA | 48 8B 78 08              | mov rdi,qword ptr ds:[rax+8]                                 |
00007FF6F361EADE | 48 8B D8                 | mov rbx,rax                                                  |
00007FF6F361EAE1 | 80 7F 19 00              | cmp byte ptr ds:[rdi+19],0                                   |
00007FF6F361EAE5 | 75 4E                    | jne sigview.7FF6F361EB35                                     |
00007FF6F361EAE7 | 66 0F 1F 84 00 00 00 00  | nop word ptr ds:[rax+rax]                                    |
00007FF6F361EAF0 | 48 8D 4F 20              | lea rcx,qword ptr ds:[rdi+20]                                |
00007FF6F361EAF4 | 48 8D 54 24 40           | lea rdx,qword ptr ss:[rsp+40]                                |
00007FF6F361EAF9 | E8 42 0E F8 FF           | call sigview.7FF6F359F940                                    |
00007FF6F361EAFE | 85 C0                    | test eax,eax                                                 |
00007FF6F361EB00 | 79 06                    | jns sigview.7FF6F361EB08                                     |
00007FF6F361EB02 | 48 8B 7F 10              | mov rdi,qword ptr ds:[rdi+10]                                |
00007FF6F361EB06 | EB 06                    | jmp sigview.7FF6F361EB0E                                     |
00007FF6F361EB08 | 48 8B DF                 | mov rbx,rdi                                                  |
00007FF6F361EB0B | 48 8B 3F                 | mov rdi,qword ptr ds:[rdi]                                   |
00007FF6F361EB0E | 80 7F 19 00              | cmp byte ptr ds:[rdi+19],0                                   |
00007FF6F361EB12 | 74 DC                    | je sigview.7FF6F361EAF0                                      |
00007FF6F361EB14 | 48 8B 44 24 30           | mov rax,qword ptr ss:[rsp+30]                                |
00007FF6F361EB19 | 48 3B D8                 | cmp rbx,rax                                                  |
00007FF6F361EB1C | 74 17                    | je sigview.7FF6F361EB35                                      |
00007FF6F361EB1E | 48 8D 53 20              | lea rdx,qword ptr ds:[rbx+20]                                |
00007FF6F361EB22 | 48 8D 4C 24 40           | lea rcx,qword ptr ss:[rsp+40]                                |
00007FF6F361EB27 | E8 14 0E F8 FF           | call sigview.7FF6F359F940                                    |
00007FF6F361EB2C | 85 C0                    | test eax,eax                                                 |
00007FF6F361EB2E | 48 8B 44 24 30           | mov rax,qword ptr ss:[rsp+30]                                |
00007FF6F361EB33 | 79 03                    | jns sigview.7FF6F361EB38                                     |
00007FF6F361EB35 | 48 8B D8                 | mov rbx,rax                                                  |
00007FF6F361EB38 | 4C 8B 44 24 58           | mov r8,qword ptr ss:[rsp+58]                                 |
00007FF6F361EB3D | 49 83 F8 10              | cmp r8,10                                                    |
00007FF6F361EB41 | 72 17                    | jb sigview.7FF6F361EB5A                                      |
00007FF6F361EB43 | 49 FF C0                 | inc r8                                                       |
00007FF6F361EB46 | 48 8B 54 24 40           | mov rdx,qword ptr ss:[rsp+40]                                |
00007FF6F361EB4B | 48 8D 4C 24 40           | lea rcx,qword ptr ss:[rsp+40]                                |
00007FF6F361EB50 | E8 AB BB F5 FF           | call sigview.7FF6F357A700                                    |
00007FF6F361EB55 | 48 8B 44 24 30           | mov rax,qword ptr ss:[rsp+30]                                |
00007FF6F361EB5A | 48 3B D8                 | cmp rbx,rax                                                  |
00007FF6F361EB5D | 0F 85 5B 01 00 00        | jne sigview.7FF6F361ECBE                                     |
00007FF6F361EB63 | 45 33 C9                 | xor r9d,r9d                                                  |
00007FF6F361EB66 | 4C 8D 05 7B E6 19 00     | lea r8,qword ptr ds:[7FF6F37BD1E8]                           | 7FF6F37BD1E8:"MDIClient"
00007FF6F361EB6D | 33 D2                    | xor edx,edx                                                  |
00007FF6F361EB6F | 49 8B CF                 | mov rcx,r15                                                  |
00007FF6F361EB72 | FF 15 30 5F 16 00        | call qword ptr ds:[<&FindWindowExA>]                         |
00007FF6F361EB78 | 48 8B D8                 | mov rbx,rax                                                  |
00007FF6F361EB7B | 49 8B CF                 | mov rcx,r15                                                  |
00007FF6F361EB7E | FF 15 3C 5F 16 00        | call qword ptr ds:[<&IsIconic>]                              |
00007FF6F361EB84 | 85 C0                    | test eax,eax                                                 |
00007FF6F361EB86 | 74 0E                    | je sigview.7FF6F361EB96                                      |
00007FF6F361EB88 | BA 09 00 00 00           | mov edx,9                                                    | 9:'\t'
00007FF6F361EB8D | 49 8B CF                 | mov rcx,r15                                                  |
00007FF6F361EB90 | FF 15 02 5F 16 00        | call qword ptr ds:[<&ShowWindow>]                            |
00007FF6F361EB96 | 41 83 FD 01              | cmp r13d,1                                                   |
00007FF6F361EB9A | 0F 8E 2A 01 00 00        | jle sigview.7FF6F361ECCA                                     |
00007FF6F361EBA0 | 33 D2                    | xor edx,edx                                                  |
00007FF6F361EBA2 | 41 B8 00 40 00 00        | mov r8d,4000                                                 |
00007FF6F361EBA8 | 48 8D 8D 70 08 00 00     | lea rcx,qword ptr ss:[rbp+870]                               |
00007FF6F361EBAF | E8 EC 56 0D 00           | call sigview.7FF6F36F42A0                                    |
00007FF6F361EBB4 | 45 85 ED                 | test r13d,r13d                                               |
00007FF6F361EBB7 | 7E 46                    | jle sigview.7FF6F361EBFF                                     |
00007FF6F361EBB9 | 4C 8D 85 70 08 00 00     | lea r8,qword ptr ss:[rbp+870]                                |
00007FF6F361EBC0 | 4D 8B CD                 | mov r9,r13                                                   |
00007FF6F361EBC3 | 0F 1F 40 00              | nop dword ptr ds:[rax]                                       |
00007FF6F361EBC7 | 66 0F 1F 84 00 00 00 00  | nop word ptr ds:[rax+rax]                                    |
00007FF6F361EBD0 | 49 8B 0E                 | mov rcx,qword ptr ds:[r14]                                   | [r14]:"C:\\Program Files\\Sigview\\SIGVIEW.exe"
00007FF6F361EBD3 | 49 8B D0                 | mov rdx,r8                                                   |
00007FF6F361EBD6 | 48 2B D1                 | sub rdx,rcx                                                  |
00007FF6F361EBD9 | 0F 1F 80 00 00 00 00     | nop dword ptr ds:[rax]                                       |
00007FF6F361EBE0 | 0F B6 01                 | movzx eax,byte ptr ds:[rcx]                                  |
00007FF6F361EBE3 | 88 04 11                 | mov byte ptr ds:[rcx+rdx],al                                 |
00007FF6F361EBE6 | 48 8D 49 01              | lea rcx,qword ptr ds:[rcx+1]                                 |
00007FF6F361EBEA | 84 C0                    | test al,al                                                   |
00007FF6F361EBEC | 75 F2                    | jne sigview.7FF6F361EBE0                                     |
00007FF6F361EBEE | 49 81 C0 00 01 00 00     | add r8,100                                                   |
00007FF6F361EBF5 | 49 83 C6 08              | add r14,8                                                    | r14:&"C:\\Program Files\\Sigview\\SIGVIEW.exe"
00007FF6F361EBF9 | 49 83 E9 01              | sub r9,1                                                     |
00007FF6F361EBFD | 75 D1                    | jne sigview.7FF6F361EBD0                                     |
00007FF6F361EBFF | 45 33 C9                 | xor r9d,r9d                                                  |
00007FF6F361EC02 | 45 33 C0                 | xor r8d,r8d                                                  |
00007FF6F361EC05 | BA 80 00 00 00           | mov edx,80                                                   |
00007FF6F361EC0A | 48 8D 0D 3F AE 19 00     | lea rcx,qword ptr ds:[7FF6F37B9A50]                          | 7FF6F37B9A50:"\\\\.\\mailslot\\SigviewConfirmActionFinished"
00007FF6F361EC11 | FF 15 A1 58 16 00        | call qword ptr ds:[<&CreateMailslotA>]                       |
00007FF6F361EC17 | 48 89 05 12 44 22 00     | mov qword ptr ds:[7FF6F3843030],rax                          |
00007FF6F361EC1E | 48 8D 15 53 A8 19 00     | lea rdx,qword ptr ds:[7FF6F37B9478]                          | 7FF6F37B9478:"-getvalue"
00007FF6F361EC25 | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361EC2A | E8 91 03 F8 FF           | call sigview.7FF6F359EFC0                                    |
00007FF6F361EC2F | 84 C0                    | test al,al                                                   |
00007FF6F361EC31 | 74 1F                    | je sigview.7FF6F361EC52                                      |
00007FF6F361EC33 | 45 33 C9                 | xor r9d,r9d                                                  |
00007FF6F361EC36 | 45 33 C0                 | xor r8d,r8d                                                  |
00007FF6F361EC39 | BA 80 00 00 00           | mov edx,80                                                   |
00007FF6F361EC3E | 48 8D 0D E3 AD 19 00     | lea rcx,qword ptr ds:[7FF6F37B9A28]                          | 7FF6F37B9A28:"\\\\.\\mailslot\\SigviewGetValueMailSlot"
00007FF6F361EC45 | FF 15 6D 58 16 00        | call qword ptr ds:[<&CreateMailslotA>]                       |
00007FF6F361EC4B | 48 89 05 D6 43 22 00     | mov qword ptr ds:[7FF6F3843028],rax                          |
00007FF6F361EC52 | C7 44 24 48 00 10 00 00  | mov dword ptr ss:[rsp+48],1000                               |
00007FF6F361EC5A | 48 8D 85 70 08 00 00     | lea rax,qword ptr ss:[rbp+870]                               |
00007FF6F361EC61 | 48 89 44 24 50           | mov qword ptr ss:[rsp+50],rax                                |
00007FF6F361EC66 | 4C 8D 4C 24 40           | lea r9,qword ptr ss:[rsp+40]                                 |
00007FF6F361EC6B | 45 33 C0                 | xor r8d,r8d                                                  |
00007FF6F361EC6E | 41 8D 50 4A              | lea edx,dword ptr ds:[r8+4A]                                 |
00007FF6F361EC72 | 48 8B CB                 | mov rcx,rbx                                                  |
00007FF6F361EC75 | FF 15 35 5E 16 00        | call qword ptr ds:[<&SendMessageA>]                          |
00007FF6F361EC7B | 48 8D 15 F6 A7 19 00     | lea rdx,qword ptr ds:[7FF6F37B9478]                          | 7FF6F37B9478:"-getvalue"
00007FF6F361EC82 | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361EC87 | E8 34 03 F8 FF           | call sigview.7FF6F359EFC0                                    |
00007FF6F361EC8C | 84 C0                    | test al,al                                                   |
00007FF6F361EC8E | 74 05                    | je sigview.7FF6F361EC95                                      |
00007FF6F361EC90 | E8 3B 01 00 00           | call sigview.7FF6F361EDD0                                    |
00007FF6F361EC95 | 48 8D 15 2C A8 19 00     | lea rdx,qword ptr ds:[7FF6F37B94C8]                          | 7FF6F37B94C8:"-closeapp"
00007FF6F361EC9C | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361ECA1 | E8 1A 03 F8 FF           | call sigview.7FF6F359EFC0                                    |
00007FF6F361ECA6 | 84 C0                    | test al,al                                                   |
00007FF6F361ECA8 | 74 0D                    | je sigview.7FF6F361ECB7                                      |
00007FF6F361ECAA | B9 D0 07 00 00           | mov ecx,7D0                                                  |
00007FF6F361ECAF | FF 15 53 58 16 00        | call qword ptr ds:[<&Sleep>]                                 |
00007FF6F361ECB5 | EB 13                    | jmp sigview.7FF6F361ECCA                                     |
00007FF6F361ECB7 | E8 D4 01 00 00           | call sigview.7FF6F361EE90                                    |
00007FF6F361ECBC | EB 0C                    | jmp sigview.7FF6F361ECCA                                     |
00007FF6F361ECBE | 48 8D 4D A8              | lea rcx,qword ptr ss:[rbp-58]                                |
00007FF6F361ECC2 | E8 69 13 05 00           | call sigview.7FF6F3670030                                    |
00007FF6F361ECC7 | 44 8B E0                 | mov r12d,eax                                                 |
00007FF6F361ECCA | 4C 8B 44 24 30           | mov r8,qword ptr ss:[rsp+30]                                 |
00007FF6F361ECCF | 4D 8B C8                 | mov r9,r8                                                    |
00007FF6F361ECD2 | 4D 8B 00                 | mov r8,qword ptr ds:[r8]                                     |
00007FF6F361ECD5 | 48 8D 95 A8 48 00 00     | lea rdx,qword ptr ss:[rbp+48A8]                              |
00007FF6F361ECDC | 48 8D 4C 24 30           | lea rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361ECE1 | E8 9A 67 FD FF           | call sigview.7FF6F35F5480                                    |
00007FF6F361ECE6 | 48 8B 4C 24 30           | mov rcx,qword ptr ss:[rsp+30]                                |
00007FF6F361ECEB | E8 D4 7B 01 00           | call sigview.7FF6F36368C4                                    |
00007FF6F361ECF0 | 90                       | nop                                                          |
00007FF6F361ECF1 | 48 8D 05 08 E5 19 00     | lea rax,qword ptr ds:[7FF6F37BD200]                          |
00007FF6F361ECF8 | 48 89 44 24 70           | mov qword ptr ss:[rsp+70],rax                                |
00007FF6F361ECFD | 48 8D 05 94 E5 19 00     | lea rax,qword ptr ds:[7FF6F37BD298]                          |
00007FF6F361ED04 | 48 89 45 A8              | mov qword ptr ss:[rbp-58],rax                                |
00007FF6F361ED08 | 48 8B 45 E8              | mov rax,qword ptr ss:[rbp-18]                                |
00007FF6F361ED0C | 48 63 48 04              | movsxd rcx,dword ptr ds:[rax+4]                              |
00007FF6F361ED10 | 48 8D 05 69 E5 19 00     | lea rax,qword ptr ds:[7FF6F37BD280]                          |
00007FF6F361ED17 | 48 89 44 0D E8           | mov qword ptr ss:[rbp+rcx-18],rax                            |
00007FF6F361ED1C | 48 8B 45 E8              | mov rax,qword ptr ss:[rbp-18]                                |
00007FF6F361ED20 | 48 63 48 04              | movsxd rcx,dword ptr ds:[rax+4]                              |
00007FF6F361ED24 | 8D 91 80 F7 FF FF        | lea edx,dword ptr ds:[rcx-880]                               |
00007FF6F361ED2A | 89 54 0D E4              | mov dword ptr ss:[rbp+rcx-1C],edx                            |
00007FF6F361ED2E | FF 15 C4 63 16 00        | call qword ptr ds:[<&CoUninitialize>]                        |
00007FF6F361ED34 | 48 8D 4C 24 70           | lea rcx,qword ptr ss:[rsp+70]                                |
00007FF6F361ED39 | E8 56 F5 04 00           | call sigview.7FF6F366E294                                    |
00007FF6F361ED3E | 41 8B C4                 | mov eax,r12d                                                 |
00007FF6F361ED41 | 4C 8D 9C 24 70 49 00 00  | lea r11,qword ptr ss:[rsp+4970]                              |
00007FF6F361ED49 | 49 8B 5B 30              | mov rbx,qword ptr ds:[r11+30]                                |
00007FF6F361ED4D | 49 8B 73 40              | mov rsi,qword ptr ds:[r11+40]                                |
00007FF6F361ED51 | 49 8B 7B 48              | mov rdi,qword ptr ds:[r11+48]                                |
00007FF6F361ED55 | 49 8B E3                 | mov rsp,r11                                                  |
00007FF6F361ED58 | 41 5F                    | pop r15                                                      |
00007FF6F361ED5A | 41 5E                    | pop r14                                                      | r14:&"C:\\Program Files\\Sigview\\SIGVIEW.exe"
00007FF6F361ED5C | 41 5D                    | pop r13                                                      |
00007FF6F361ED5E | 41 5C                    | pop r12                                                      |
00007FF6F361ED60 | 5D                       | pop rbp                                                      |
00007FF6F361ED61 | C3                       | ret                                                          |
00007FF6F361ED62 | CC                       | int3                                                         |
00007FF6F361ED63 | CC                       | int3                                                         |
00007FF6F361ED64 | CC                       | int3                                                         |
00007FF6F361ED65 | CC                       | int3                                                         |
00007FF6F361ED66 | CC                       | int3                                                         |
00007FF6F361ED67 | CC                       | int3                                                         |
00007FF6F361ED68 | CC                       | int3                                                         |
00007FF6F361ED69 | CC                       | int3                                                         |
00007FF6F361ED6A | CC                       | int3                                                         |
00007FF6F361ED6B | CC                       | int3                                                         |
00007FF6F361ED6C | CC                       | int3                                                         |
00007FF6F361ED6D | CC                       | int3                                                         |
00007FF6F361ED6E | CC                       | int3                                                         |
00007FF6F361ED6F | CC                       | int3                                                         |
00007FF6F361ED70 | 48 83 EC 28              | sub rsp,28                                                   |
00007FF6F361ED74 | 45 33 C9                 | xor r9d,r9d                                                  |
00007FF6F361ED77 | 48 8D 0D AA AC 19 00     | lea rcx,qword ptr ds:[7FF6F37B9A28]                          | 7FF6F37B9A28:"\\\\.\\mailslot\\SigviewGetValueMailSlot"
00007FF6F361ED7E | 45 33 C0                 | xor r8d,r8d                                                  |
00007FF6F361ED81 | BA 80 00 00 00           | mov edx,80                                                   |
00007FF6F361ED86 | FF 15 2C 57 16 00        | call qword ptr ds:[<&CreateMailslotA>]                       |
00007FF6F361ED8C | 48 89 05 95 42 22 00     | mov qword ptr ds:[7FF6F3843028],rax                          |
00007FF6F361ED93 | 48 83 C4 28              | add rsp,28                                                   |
00007FF6F361ED97 | C3                       | ret                                                          |
00007FF6F361ED98 | CC                       | int3                                                         |
00007FF6F361ED99 | CC                       | int3                                                         |
00007FF6F361ED9A | CC                       | int3                                                         |
00007FF6F361ED9B | CC                       | int3                                                         |
00007FF6F361ED9C | CC                       | int3                                                         |
00007FF6F361ED9D | CC                       | int3                                                         |
00007FF6F361ED9E | CC                       | int3                                                         |
00007FF6F361ED9F | CC                       | int3                                                         |
00007FF6F361EDA0 | 48 83 EC 28              | sub rsp,28                                                   |
00007FF6F361EDA4 | 45 33 C9                 | xor r9d,r9d                                                  |
00007FF6F361EDA7 | 48 8D 0D A2 AC 19 00     | lea rcx,qword ptr ds:[7FF6F37B9A50]                          | 7FF6F37B9A50:"\\\\.\\mailslot\\SigviewConfirmActionFinished"
00007FF6F361EDAE | 45 33 C0                 | xor r8d,r8d                                                  |
00007FF6F361EDB1 | BA 80 00 00 00           | mov edx,80                                                   |
00007FF6F361EDB6 | FF 15 FC 56 16 00        | call qword ptr ds:[<&CreateMailslotA>]                       |
00007FF6F361EDBC | 48 89 05 6D 42 22 00     | mov qword ptr ds:[7FF6F3843030],rax                          |
00007FF6F361EDC3 | 48 83 C4 28              | add rsp,28                                                   |
00007FF6F361EDC7 | C3                       | ret                                                          |
00007FF6F361EDC8 | CC                       | int3                                                         |
00007FF6F361EDC9 | CC                       | int3                                                         |
00007FF6F361EDCA | CC                       | int3                                                         |
00007FF6F361EDCB | CC                       | int3                                                         |
00007FF6F361EDCC | CC                       | int3                                                         |
00007FF6F361EDCD | CC                       | int3                                                         |
00007FF6F361EDCE | CC                       | int3                                                         |
00007FF6F361EDCF | CC                       | int3                                                         |
00007FF6F361EDD0 | 48 89 5C 24 10           | mov qword ptr ss:[rsp+10],rbx                                |
00007FF6F361EDD5 | 48 89 74 24 18           | mov qword ptr ss:[rsp+18],rsi                                |
00007FF6F361EDDA | 57                       | push rdi                                                     |
00007FF6F361EDDB | 48 81 EC B0 00 00 00     | sub rsp,B0                                                   |
00007FF6F361EDE2 | 33 F6                    | xor esi,esi                                                  |
00007FF6F361EDE4 | 8B DE                    | mov ebx,esi                                                  |
00007FF6F361EDE6 | 40 32 FF                 | xor dil,dil                                                  |
00007FF6F361EDE9 | 0F 1F 80 00 00 00 00     | nop dword ptr ds:[rax]                                       |
00007FF6F361EDF0 | 40 84 FF                 | test dil,dil                                                 |
00007FF6F361EDF3 | 75 74                    | jne sigview.7FF6F361EE69                                     |
00007FF6F361EDF5 | 48 8B 0D 2C 42 22 00     | mov rcx,qword ptr ds:[7FF6F3843028]                          |
00007FF6F361EDFC | 4C 8D 8C 24 C0 00 00 00  | lea r9,qword ptr ss:[rsp+C0]                                 |
00007FF6F361EE04 | 41 B8 80 00 00 00        | mov r8d,80                                                   |
00007FF6F361EE0A | 48 89 74 24 20           | mov qword ptr ss:[rsp+20],rsi                                |
00007FF6F361EE0F | 48 8D 54 24 30           | lea rdx,qword ptr ss:[rsp+30]                                |
00007FF6F361EE14 | FF 15 0E 57 16 00        | call qword ptr ds:[<&ReadFile>]                              |
00007FF6F361EE1A | 85 C0                    | test eax,eax                                                 |
00007FF6F361EE1C | 40 0F 95 C7              | setne dil                                                    |
00007FF6F361EE20 | 40 84 FF                 | test dil,dil                                                 |
00007FF6F361EE23 | 74 32                    | je sigview.7FF6F361EE57                                      |
00007FF6F361EE25 | B9 01 00 00 00           | mov ecx,1                                                    |
00007FF6F361EE2A | E8 69 DB 0D 00           | call sigview.7FF6F36FC998                                    |
00007FF6F361EE2F | 48 8B C8                 | mov rcx,rax                                                  |
00007FF6F361EE32 | 4C 8D 44 24 30           | lea r8,qword ptr ss:[rsp+30]                                 |
00007FF6F361EE37 | 48 8D 15 B6 13 19 00     | lea rdx,qword ptr ds:[7FF6F37B01F4]                          | 7FF6F37B01F4:"%s"
00007FF6F361EE3E | E8 AD 2F F5 FF           | call sigview.7FF6F3571DF0                                    |



Comment aborder tout ce code assembleur pour pouvoir extraire l'info en lien avec notre serial ? C'est la pêche au serial !
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar Hao » 20 Août 2017, 12:50

L'EBFE est situé avant l'ouverture du fichier. Tu n'as pas besoin de "relancer" le soft. Une fois que tu as posé tes bp sur les api CreateFileA et CreateFileW, tu continue l’exécution à partir de l'EBFE (que tu as remplacé par le PUSH RBX).
Tu va break sur les appels à CreateFileA ou CreateFileW, et tu va finir par tomber sur le fichier user3.key.
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 113
Inscription: 27 Novembre 2013, 22:24

Re: Application du cours 15#2

Messagepar GROUPF » 20 Août 2017, 13:35

Salut,

Alors j'ai bien remplacé le BE FE par 40 53, je break bien quand y'as le , je rentre avec F7 dans les différentes call, mais je tombe jamais sur du user3.key....

Je suis remonté jusqu'a la function qui fait apparaitre le popup qui demande de s'enregistrer avec login mdp mais je n'ai jamais vu de truc qui s'appelle directement user3.key dans le code...

Comment je peux truver ça ?
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar Hao » 20 Août 2017, 16:35

Je t'ai donné suffisamment d'éléments pour que tu t'en sorte. Donc il va falloir... chercher.
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 113
Inscription: 27 Novembre 2013, 22:24

Re: Application du cours 15#2

Messagepar GROUPF » 20 Août 2017, 20:51

Niquel j'ai trouvé, j'avais oublié de mettre a jour mes BP avec le exe modifié.

Bon j'ai trouvé quand le programme ouvre le user3.key.

Bon après c'est la que ça se complique, et du coup que je te repose une question

1) Est ce que y'as une règle qui facilité la compréhension d'une architecture en language assembleur. Exemple, la j'ai trouvé l'endroit ou le soft gère le serial. Je connais pas bien le language assembleur et j'ai de la peine à m'y retrouver, j'aurais besoin de savoir si y'a des règles pour savoir facilement comment est structuré le code .Est ce que tu as une marche à suivre ou des astuces pour s'aider à se retrouver ?


Si j'ai bien compris au début le programme regarde la longueur des chaines de caractères
Ensuite il y a une routine qui semble comparer des chaines serial user et mail avec d'autres chaines
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar Hao » 20 Août 2017, 22:53

Tu es au bon endroit. Observe, tu devrais trouver sans avoir à comprendre le code assembleur.
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 113
Inscription: 27 Novembre 2013, 22:24

Re: Application du cours 15#2

Messagepar GROUPF » 21 Août 2017, 13:14

Qu'on soit bien d'accord, c'est bien ici :

Code: Tout sélectionner
00007FF6EDECBD70 | 48 89 5C 24 08           | mov qword ptr ss:[rsp+8],rbx                  | [rsp+8]:"SEKWUIAQ"
00007FF6EDECBD75 | 48 89 6C 24 10           | mov qword ptr ss:[rsp+10],rbp                 | [rsp+10]:"C:\\Users\\zaor\\AppData\\Roaming\\Sigview\\"
00007FF6EDECBD7A | 48 89 74 24 18           | mov qword ptr ss:[rsp+18],rsi                 |
00007FF6EDECBD7F | 48 89 7C 24 20           | mov qword ptr ss:[rsp+20],rdi                 |
00007FF6EDECBD84 | 41 54                    | push r12                                      |
00007FF6EDECBD86 | 41 55                    | push r13                                      | r13:"SE"
00007FF6EDECBD88 | 41 56                    | push r14                                      |
00007FF6EDECBD8A | 41 57                    | push r15                                      |
00007FF6EDECBD8C | 45 33 C9                 | xor r9d,r9d                                   |
00007FF6EDECBD8F | 4D 8B E8                 | mov r13,r8                                    | r13:"SE"
00007FF6EDECBD92 | 48 83 C8 FF              | or rax,FFFFFFFFFFFFFFFF                       |
00007FF6EDECBD96 | 48 8B F2                 | mov rsi,rdx                                   |
00007FF6EDECBD99 | 4C 8B D0                 | mov r10,rax                                   |
00007FF6EDECBD9C | 48 8B F9                 | mov rdi,rcx                                   |
00007FF6EDECBD9F | 45 8B D9                 | mov r11d,r9d                                  |
00007FF6EDECBDA2 | 41 8B D9                 | mov ebx,r9d                                   |
00007FF6EDECBDA5 | 49 FF C2                 | inc r10                                       |
00007FF6EDECBDA8 | 42 38 1C 12              | cmp byte ptr ds:[rdx+r10],bl                  |
00007FF6EDECBDAC | 75 F7                    | jne sigview.7FF6EDECBDA5                      |
00007FF6EDECBDAE | 45 8B F1                 | mov r14d,r9d                                  |
00007FF6EDECBDB1 | 45 8B F9                 | mov r15d,r9d                                  |
00007FF6EDECBDB4 | 49 8B C9                 | mov rcx,r9                                    |
00007FF6EDECBDB7 | 48 FF C0                 | inc rax                                       |
00007FF6EDECBDBA | 38 0C 07                 | cmp byte ptr ds:[rdi+rax],cl                  |
00007FF6EDECBDBD | 75 F8                    | jne sigview.7FF6EDECBDB7                      |
00007FF6EDECBDBF | 48 63 E8                 | movsxd rbp,eax                                |
00007FF6EDECBDC2 | 48 83 FD 02              | cmp rbp,2                                     |
00007FF6EDECBDC6 | 7C 1F                    | jl sigview.7FF6EDECBDE7                       |
00007FF6EDECBDC8 | 48 8D 55 FF              | lea rdx,qword ptr ss:[rbp-1]                  |
00007FF6EDECBDCC | 0F 1F 40 00              | nop dword ptr ds:[rax]                        |
00007FF6EDECBDD0 | 0F BE 04 0F              | movsx eax,byte ptr ds:[rdi+rcx]               |
00007FF6EDECBDD4 | 44 03 D8                 | add r11d,eax                                  |
00007FF6EDECBDD7 | 0F BE 44 0F 01           | movsx eax,byte ptr ds:[rdi+rcx+1]             |
00007FF6EDECBDDC | 03 D8                    | add ebx,eax                                   |
00007FF6EDECBDDE | 48 83 C1 02              | add rcx,2                                     |
00007FF6EDECBDE2 | 48 3B CA                 | cmp rcx,rdx                                   |
00007FF6EDECBDE5 | 7C E9                    | jl sigview.7FF6EDECBDD0                       |
00007FF6EDECBDE7 | 48 3B CD                 | cmp rcx,rbp                                   |
00007FF6EDECBDEA | 7D 05                    | jge sigview.7FF6EDECBDF1                      |
00007FF6EDECBDEC | 44 0F BE 34 39           | movsx r14d,byte ptr ds:[rcx+rdi]              |
00007FF6EDECBDF1 | 42 8D 04 1B              | lea eax,dword ptr ds:[rbx+r11]                |
00007FF6EDECBDF5 | 41 8B D1                 | mov edx,r9d                                   |
00007FF6EDECBDF8 | 44 03 F0                 | add r14d,eax                                  |
00007FF6EDECBDFB | 4D 63 DA                 | movsxd r11,r10d                               |
00007FF6EDECBDFE | 45 8B C1                 | mov r8d,r9d                                   |
00007FF6EDECBE01 | 49 8B C9                 | mov rcx,r9                                    |
00007FF6EDECBE04 | 49 83 FB 02              | cmp r11,2                                     |
00007FF6EDECBE08 | 7C 1D                    | jl sigview.7FF6EDECBE27                       |
00007FF6EDECBE0A | 4D 8D 53 FF              | lea r10,qword ptr ds:[r11-1]                  |
00007FF6EDECBE0E | 66 90                    | nop                                           |
00007FF6EDECBE10 | 0F BE 04 0E              | movsx eax,byte ptr ds:[rsi+rcx]               |
00007FF6EDECBE14 | 03 D0                    | add edx,eax                                   |
00007FF6EDECBE16 | 0F BE 44 0E 01           | movsx eax,byte ptr ds:[rsi+rcx+1]             |
00007FF6EDECBE1B | 44 03 C0                 | add r8d,eax                                   |
00007FF6EDECBE1E | 48 83 C1 02              | add rcx,2                                     |
00007FF6EDECBE22 | 49 3B CA                 | cmp rcx,r10                                   |
00007FF6EDECBE25 | 7C E9                    | jl sigview.7FF6EDECBE10                       |
00007FF6EDECBE27 | 49 3B CB                 | cmp rcx,r11                                   |
00007FF6EDECBE2A | 7D 05                    | jge sigview.7FF6EDECBE31                      |
00007FF6EDECBE2C | 44 0F BE 3C 31           | movsx r15d,byte ptr ds:[rcx+rsi]              |
00007FF6EDECBE31 | 41 8D 04 10              | lea eax,dword ptr ds:[r8+rdx]                 |
00007FF6EDECBE35 | 49 8B F5                 | mov rsi,r13                                   | r13:"SE"
00007FF6EDECBE38 | 44 03 F8                 | add r15d,eax                                  |
00007FF6EDECBE3B | 41 8B D9                 | mov ebx,r9d                                   |
00007FF6EDECBE3E | 45 0F AF FE              | imul r15d,r14d                                |
00007FF6EDECBE42 | 45 8B E1                 | mov r12d,r9d                                  |
00007FF6EDECBE45 | 45 8B F1                 | mov r14d,r9d                                  |
00007FF6EDECBE48 | 45 8B D1                 | mov r10d,r9d                                  |
00007FF6EDECBE4B | 41 8B FF                 | mov edi,r15d                                  |
00007FF6EDECBE4E | 66 90                    | nop                                           |
00007FF6EDECBE50 | 41 8B C1                 | mov eax,r9d                                   |
00007FF6EDECBE53 | 83 E0 01                 | and eax,1                                     |
00007FF6EDECBE56 | 75 25                    | jne sigview.7FF6EDECBE7D                      |
00007FF6EDECBE58 | 49 3B EB                 | cmp rbp,r11                                   |
00007FF6EDECBE5B | 7E 20                    | jle sigview.7FF6EDECBE7D                      |
00007FF6EDECBE5D | 41 69 C7 F4 01 00 00     | imul eax,r15d,1F4                             |
00007FF6EDECBE64 | 41 8D 49 01              | lea ecx,dword ptr ds:[r9+1]                   |
00007FF6EDECBE68 | 99                       | cdq                                           |
00007FF6EDECBE69 | F7 F9                    | idiv ecx                                      |
00007FF6EDECBE6B | 41 8B C9                 | mov ecx,r9d                                   |
00007FF6EDECBE6E | 99                       | cdq                                           |
00007FF6EDECBE6F | 44 8B C0                 | mov r8d,eax                                   |
00007FF6EDECBE72 | 44 33 C2                 | xor r8d,edx                                   |
00007FF6EDECBE75 | 44 2B C2                 | sub r8d,edx                                   |
00007FF6EDECBE78 | 45 0B C2                 | or r8d,r10d                                   |
00007FF6EDECBE7B | EB 68                    | jmp sigview.7FF6EDECBEE5                      |
00007FF6EDECBE7D | 85 C0                    | test eax,eax                                  |
00007FF6EDECBE7F | 75 20                    | jne sigview.7FF6EDECBEA1                      |
00007FF6EDECBE81 | 41 69 C7 90 01 00 00     | imul eax,r15d,190                             |
00007FF6EDECBE88 | 41 8D 49 01              | lea ecx,dword ptr ds:[r9+1]                   |
00007FF6EDECBE8C | 99                       | cdq                                           |
00007FF6EDECBE8D | F7 F9                    | idiv ecx                                      |
00007FF6EDECBE8F | 41 8B C9                 | mov ecx,r9d                                   |
00007FF6EDECBE92 | 99                       | cdq                                           |
00007FF6EDECBE93 | 44 8B C0                 | mov r8d,eax                                   |
00007FF6EDECBE96 | 44 33 C2                 | xor r8d,edx                                   |
00007FF6EDECBE99 | 44 2B C2                 | sub r8d,edx                                   |
00007FF6EDECBE9C | 45 0B C4                 | or r8d,r12d                                   |
00007FF6EDECBE9F | EB 44                    | jmp sigview.7FF6EDECBEE5                      |
00007FF6EDECBEA1 | B8 CD CC CC CC           | mov eax,CCCCCCCD                              |
00007FF6EDECBEA6 | 41 F7 E1                 | mul r9d                                       |
00007FF6EDECBEA9 | C1 EA 02                 | shr edx,2                                     |
00007FF6EDECBEAC | 8D 0C 92                 | lea ecx,dword ptr ds:[rdx+rdx*4]              |
00007FF6EDECBEAF | 44 3B C9                 | cmp r9d,ecx                                   |
00007FF6EDECBEB2 | 75 19                    | jne sigview.7FF6EDECBECD                      |
00007FF6EDECBEB4 | 49 3B EB                 | cmp rbp,r11                                   |
00007FF6EDECBEB7 | 7D 14                    | jge sigview.7FF6EDECBECD                      |
00007FF6EDECBEB9 | 8B C7                    | mov eax,edi                                   |
00007FF6EDECBEBB | 41 8B C9                 | mov ecx,r9d                                   |
00007FF6EDECBEBE | 99                       | cdq                                           |
00007FF6EDECBEBF | 44 8B C0                 | mov r8d,eax                                   |
00007FF6EDECBEC2 | 44 33 C2                 | xor r8d,edx                                   |
00007FF6EDECBEC5 | 44 2B C2                 | sub r8d,edx                                   |
00007FF6EDECBEC8 | 44 0B C3                 | or r8d,ebx                                    |
00007FF6EDECBECB | EB 18                    | jmp sigview.7FF6EDECBEE5                      |
00007FF6EDECBECD | 41 8B C7                 | mov eax,r15d                                  |
00007FF6EDECBED0 | 41 8D 49 01              | lea ecx,dword ptr ds:[r9+1]                   |
00007FF6EDECBED4 | 99                       | cdq                                           |
00007FF6EDECBED5 | 41 F7 F9                 | idiv r9d                                      |
00007FF6EDECBED8 | 99                       | cdq                                           |
00007FF6EDECBED9 | 44 8B C0                 | mov r8d,eax                                   |
00007FF6EDECBEDC | 44 33 C2                 | xor r8d,edx                                   |
00007FF6EDECBEDF | 44 2B C2                 | sub r8d,edx                                   |
00007FF6EDECBEE2 | 45 0B C6                 | or r8d,r14d                                   |
00007FF6EDECBEE5 | 41 D3 E0                 | shl r8d,cl                                    |
00007FF6EDECBEE8 | B8 4F EC C4 4E           | mov eax,4EC4EC4F                              |
00007FF6EDECBEED | 41 D1 E8                 | shr r8d,1                                     |
00007FF6EDECBEF0 | 41 FF C1                 | inc r9d                                       |
00007FF6EDECBEF3 | 41 F7 E0                 | mul r8d                                       |
00007FF6EDECBEF6 | 41 81 C2 FF 01 00 00     | add r10d,1FF                                  |
00007FF6EDECBEFD | 41 81 C4 F4 02 00 00     | add r12d,2F4                                  |
00007FF6EDECBF04 | C1 EA 03                 | shr edx,3                                     |
00007FF6EDECBF07 | FF CF                    | dec edi                                       |
00007FF6EDECBF09 | 0F BE C2                 | movsx eax,dl                                  |
00007FF6EDECBF0C | 81 C3 59 01 00 00        | add ebx,159                                   |
00007FF6EDECBF12 | 6B C8 1A                 | imul ecx,eax,1A                               |
00007FF6EDECBF15 | 41 81 C6 A9 01 00 00     | add r14d,1A9                                  |
00007FF6EDECBF1C | 44 2A C1                 | sub r8b,cl                                    |
00007FF6EDECBF1F | 41 80 C0 41              | add r8b,41                                    |
00007FF6EDECBF23 | 44 88 06                 | mov byte ptr ds:[rsi],r8b                     |
00007FF6EDECBF26 | 48 FF C6                 | inc rsi                                       |
00007FF6EDECBF29 | 41 81 FA F8 0F 00 00     | cmp r10d,FF8                                  |
00007FF6EDECBF30 | 0F 8C 1A FF FF FF        | jl sigview.7FF6EDECBE50                       |
00007FF6EDECBF36 | 48 8B 5C 24 28           | mov rbx,qword ptr ss:[rsp+28]                 | [rsp+28]:&"r\r\n"
00007FF6EDECBF3B | 33 C0                    | xor eax,eax                                   |
00007FF6EDECBF3D | 48 8B 6C 24 30           | mov rbp,qword ptr ss:[rsp+30]                 |
00007FF6EDECBF42 | 48 8B 74 24 38           | mov rsi,qword ptr ss:[rsp+38]                 | [rsp+38]:"QRNNMDFZP"
00007FF6EDECBF47 | 48 8B 7C 24 40           | mov rdi,qword ptr ss:[rsp+40]                 |
00007FF6EDECBF4C | 41 C6 45 08 00           | mov byte ptr ds:[r13+8],0                     |
00007FF6EDECBF51 | 41 5F                    | pop r15                                       |
00007FF6EDECBF53 | 41 5E                    | pop r14                                       |
00007FF6EDECBF55 | 41 5D                    | pop r13                                       | r13:"SE"
00007FF6EDECBF57 | 41 5C                    | pop r12                                       |
00007FF6EDECBF59 | C3                       | ret                                           |
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar GROUPF » 21 Août 2017, 14:13

Bo bah j'ai chopé les codes qui apparaissent dans RDx a un moment et ca marche.. j'ai pas trop pigé mais bon
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar Hao » 21 Août 2017, 14:16

Non, c'est pas l'endroit ou j'ai fish le serial.

Mais il se peut qu'il apparaisse à cet endroit également.

Bien joué.
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 113
Inscription: 27 Novembre 2013, 22:24

Re: Application du cours 15#2

Messagepar Hao » 02 Septembre 2017, 16:32

Je pense cependant que la solution que tu as trouvée est incomplète. :roll:
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 113
Inscription: 27 Novembre 2013, 22:24

Précédente

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Bing [Bot], Google [Bot] et 2 invités