Lo has desempaquetado?
No tengo ni idea de como desempaquetar, así que simplemente hice un dump que luego no corre, y como no queria analizarlo, lo meti en DeDe.
OkBtnClick en TPasswordEntryForm RVA 00549554
Abri la ejecutable original con olly, pero no se puede hacer un BP alli, ya que la sección se crea dinamicamente....
Volvemos a Dede
* Reference to: Controls.TControl.GetText(TControl):TCaption;
|
00549573 E85839F0FF call 0044CED0
00549578 8B45FC mov eax, [ebp-$04]
* Reference to field TPasswordEntryForm.OFFS_031C
|
0054957B 8B931C030000 mov edx, [ebx+$031C]
* Reference to: SysUtils.SameText(AnsiString;AnsiString):Boolean;
|
00549581 E84605ECFF call 00409ACC
00549586 84C0 test al, al
00549588 740C jz 00549596
NO podemos hacer ningun BP alli... uff....
Probe entonces en SysUtils.SameText... una rutina de la vcl... pero claro, esa rutina la usa para muchas cosas.
Asi que preparamos para dar Enter al password con la ventana visible, Activamos el BP alli ( 00409ACC) y damos enter.
La 4ta vez que cae en el bp, nos encontramos con
EAX 00B6E870 ASCII "[vCodi_entrat]"
ECX 00000001
EDX 005A2444 ASCII "[LastError]"
EBX 00B71A60 ASCII "vCodi_entrat"
ESP 0012FB94
EBP 0012FBFC
ESI 00B71F1C ASCII "123456" <<<<< MI CONTRASEÑA
EDI 0012FE28
En si, la contraseña tendria que estar en EAX o EDX... no se que hace en ESI, pero bueno, esta ahí... aprovechamos
Seguimos en dumb ESI, subimos un poco, nos encontramos con cadenas que parecen una especie de script, y si seguimos subiendo.... esta el pass
[vCodi_entrat]"
"=" "AJK23LM��..
C.......3...Mess
ageBox "" "Enora
buena, lo has co
nseguido" ""D�..
/.......�...Clea
rVariables "[vCo
Mostrar Mensajes
