muchos post y pocos intentos
espero a futuro puedan analizar más
1) usar programas que analizen si posee alguna criptografia
2) depurar el programa con un monitor de apis como Kam de kakeware  o bien herramientas como Regmon y filemon
esto seria semi literalmente la sugerencia de Under:
Yo me basaría en la API CreateFile o OpenProcess (El cual se encargan de abrir, o modificar archivos).

con respecto a las APIS, es un código que viene integrado en una tabla (de importaciones y exportaciones) dentro de una dll, la cual normalmente es guardada en system32 (para dlls de sistema operativo) el cual siempre esta ahi,
Ahora bien Cuando uno depura un programa , al abrir puede colocar un Bp en la Api (de alguna dll cargada en memoria), luego dar ejecutar y ver los parametros que se pasan a ahi y luego quitar el bp o bien usar BP condicionales , todo depende en su programacion (fox, .net, visual basic, c++, empacados (protegidos), y aveces nisiquiera esta la protección y lectura en el programa, aveces están en las dll que le acompañan en runtime(en ejecución) ), las apariencias engañan en cuanto a los archivos, aveces son recursos externos, aveces escritos en ascii, hexadecimal y otros (por ejemplo los archivos .docx de word 2007/2010 es un simple archivo en estructura msi, pero tiene la forma de decomprimirse como cualquier sfx osea como un aarchivo comprimido como si fuese zip o rar)



aparte de encontrar referencias en Los archivos, deben buscarse referencias en REGEDIT , luego de tener eso, en los output,(writefile.readfile, outputdebugstringA/W)
luego de conocer el proceso, ya seria el proceso inverso, analizar y ver en que instancias se mantienen y cuales pueden variar


(el team Revenge CREW) una vez analizo una extension .seu  y creo un convertidor de .seu a .txt, a primera vista era semi imposible, pero fue posible

asi espero que sea con cryptool, sea con filemon regmon o lo que sea, espero que con el tiempo logren pillar informacion relevante


saludos Apuromafo