首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
看雪社区
经典问答
发新帖
0
0
[求助]VB开发的桌面系统,用户数据保存过程的逆向分析与实现
2015-6-13 18:22
4073
[求助]VB开发的桌面系统,用户数据保存过程的逆向分析与实现
jackhupf
2015-6-13 18:22
4073
WINXP平台,使用VB(native)开发的客户端软件系统(包含:EXE、DLL、OCX等),将界面上的数据保存到文件(如:Test.xml)。
希望可以知道Test.xml的生成方式,即:界面数据是如何映射到Test.xml的
使用了VB Decompiler Pro v9.2静态分析了系统中的相关文件,大概看明白了“project”节点下的输出结果,“code”节点下的输出看不懂
使用IDA Pro 6.6静态分析了系统主程序(界面程序)及部分DLL、OCX文件
1、主程序仅Imports(引用?)了MSVBVM60库,仅Exports(导出?)了start方法,定义了DllFunctionCall、ThunRTMain等函数
2、DLL仅Imports(引用?)了MSVBVM60库,仅Exports(导出?)了DllEntryPoint、DllRegisterServer、DllUnregisterServer、DllGetClassObject、DllCanUnloadNow方法,定义了UserDllMain、DllFunctionCall、VBDllUnRegisterServer、VBDllGetClassObject、VBDllRegisterServer、VBDllCanUnloadNow、sub_********等函数
3、OCX的Imports、Exports情况与上文描述情况完全相同,函数定义情况除了sub_********和DLL不一样,其他和上文描述完全相同
使用OllyDbg动态跟踪执行了主程序,并在执行到DLL、OCX时,actualize相应module,观察了保存文件时的一些堆栈情况,结果是保存文件时会调用多个模块的方法,估计在保存文件时,进行了XML生成、加密、编码等操作。
需要分析的目标文件放在帖子的附件中了。
真心不会做了,请大家帮忙看看,给些方法、工具、思路。。。
无论能否完成,感谢大家的关注及指导。
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!
上传的附件:
Test.zip
(1.41kb,6次下载)
收藏
・
0
点赞
・
0
打赏
分享
分享到微信
分享到QQ
分享到微博
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
6
)
骇客king
雪 币:
40
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
6
粉丝
0
关注
私信
骇客king
2015-6-15 00:49
2
楼
0
重修代码,再用OD载入
jackhupf
雪 币:
303
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
7
粉丝
0
关注
私信
jackhupf
2015-6-16 13:37
3
楼
0
重修代码是指修改代码,编译生成目标文件?
jackhupf
雪 币:
303
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
7
粉丝
0
关注
私信
jackhupf
2015-6-16 13:49
4
楼
0
感谢大家关注。
有没有在南京或有意到南京发展的XDJM?
公司正在找有逆向分析经验(WIN平台)的工程师、Leader、PM,公司是互联网行业的。
可以回帖、站内信联系我。
cakegao
雪 币:
296
活跃值:
(26)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
46
粉丝
0
关注
私信
cakegao
2015-6-16 15:44
5
楼
0
VB所有调用系统API的地方都是通过MSVBVM60来代理的,而VB的DLL默认使用的方式是com,所以常规PE分析只能得到DLL(COM)的几个工厂类的固定导出函数(),VB的DLL(COM)要使用VC\VS的OLE-COM Object Viewer工具来查看,可以看到导出的函数名和参数,你可以尝试定位到XML的输出函数再上IDA就比较方便了
jackhupf
雪 币:
303
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
7
粉丝
0
关注
私信
jackhupf
2015-6-16 17:13
6
楼
0
感谢帮助,信息量很大,先去研究一下,有了进展回帖告知。
jackhupf
雪 币:
303
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
7
粉丝
0
关注
私信
jackhupf
2015-6-29 17:43
7
楼
0
感谢大家帮助,已经搞定
目标程序保存文件过程:
1、生成XML格式数据
2、加密(PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)
3、BASE64编码
虽然不知道目标程序调用过程,但通过wincrypt.h中的相关函数,模拟了加密编码过程,得到的文件,经过验证可以被目标程序处理(解码、解密、解析XML、并在图形界面显示)
以前没有做过VB逆向,开始有些迷茫,感谢 cakegao 兄弟的指导与帮助,明确了基本概念,后面分析基本按照常规方法即可完成,感谢大家的关注。
结贴,散分。
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
jackhupf
1
发帖
7
回帖
10
RANK
关注
私信
他的文章
[求助]VB开发的桌面系统,用户数据保存过程的逆向分析与实现
4074
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
option
mccoysc
HmLeroy
cakegao
看原图
返回
顶部
