Indices pour Mp3Wizard

Une première chose est importante : il faut bien comprendre ce que fait le proggie quand on le lance... On a quatre grandes étapes qui sont :
1- mp3wizard.exe qui appelle
2- Arm****.TMP qui vérifie la présence d' un débuggeur et si on est enregistré
3- retour dans mp3wizard.exe qui lance
4- mp3wizard.000.TMP : c' est lui, en fait, le proggie ;)

Deuxième et dernière chose (pour le moment) :

Voici un premier bout de proggie qui est intéressant :

* Reference To: KERNEL32.GetProcAddress, Ord:011
|
:00401DF2 FF1598D14000 Call dword ptr [0040D198]

* Possible StringData Ref from Data Obj ->"SetFunctionAddresses"

:00401DF8 68E0804000 push 004080E0
:00401DFD 8945F8 mov dword ptr [ebp-08], eax
:00401E00 FF75F0 push [ebp-10]

* Reference To: KERNEL32.GetProcAddress, Ord:0116h

:00401E03 FF1598D14000 Call dword ptr [0040D198]
:00401E09 68431B4000 push 00401B43
..........
..........
:00401E3B 6840AB4000 push 0040AB40
:00401E40 50 push eax
:00401E41 FF75F4 push [ebp-0C]
:00401E44 FF55F8 call [ebp-08]

Ce call nous entraine dans le fichier nouvellement crée : Arm****.TMP. On se retrouve ici :

xx1050 sub esp,000000240
xx1056 push ebx
xx1057 push ebp
xx1058 push esi
xx1059 push edi
xx105A call . 010001D00 ;Verifie la présence d' un débuggeur
xx105F test al,al
xx1061 je .010001072 ; Pas de debuggeur...

Voila, j' espère que cela pourra aider certains qui sont coincés dans ce proggie...

NB : c' est pas encore fini, il reste le plus dur ;)

artex ou ATP TEAM

RETOUR