Я конечно понимаю, что форум далеко не кракЛаб и подобное. И вроде как реверсинг ладвы не попадает под 13й пунтк правил 
----
Собственно по топику:
Все же не являюсь реверсером, и вообще близко не росту в данном направлении, но все же, решил копнуть в эту сторону, и не ждать анпакнутого бинарника. Собстна скинуть с этой батвы темиду - труда не составляет, да и думаю с скриптами LCF-AT - это смогет сделать любой школьник
Далее встал вопрос - что же хочет это чудо, для лоада в память всего состава дат файлов и конфигураций(ини). Полез, естественно без знаний
Нашел сегменты и функции которые все это уг грузят, декриптуют:
[SRC="c++"]
1090A49A ; ---------------------------------------------------------------------------
___:1090A49A
___:1090A49A loc_1090A49A: ; CODE XREF: sub_1090A3A0+AAj
___:1090A49A mov eax, ?GMalloc@@3PAVFMalloc@@A ; FMalloc * GMalloc
___:1090A49F mov ecx, [eax]
___:1090A4A1 mov edx, [ecx]
___:1090A4A3 push offset aL2decryptfiler ; "L2DecryptFileReader"
___:1090A4A8 push 4Ch
___:1090A4AA mov eax, [edx]
___:1090A4AC call eax
___:1090A4AE mov ebx, eax
___:1090A4B0 test ebx, ebx
___:1090A4B2 jz short loc_1090A4CF
___:1090A4B4 push edi ; int
___:1090A4B5 push 0 ; lpFileSizeHigh
___:1090A4B7 push esi ; hFile
___:1090A4B8 call GetFileSize
___:1090A4BE push eax ; int
___:1090A4BF mov ecx, [ebp+arg_8]
___:1090A4C2 push ecx ; int
___:1090A4C3 push ebx ; int
___:1090A4C4 mov ecx, esi ; hFile
___:1090A4C6 call sub_109097E0
___:1090A4CB mov esi, eax
___:1090A4CD jmp short loc_1090A4D1
___:1090A4CF ; ---------------------------------------------------------------------------
[/SRC]
Хрень для меня мало-понятная, но все же Через это уг проходят все конфигурационные файлы. Собственно тот же loc_1090A4D1 (он же l2.ini), который тянет за собой 2ва варианта развития сюжета - либо кильнуть процесс(если файл не найден, либо не может быть прочитан), либо начинать вгружать его.
Вот тут и встал вопрос, где же плать это все чудо, проверяет(я просто не знаю как это назвать) файл(может сравнивает все по хешу(подобное видел чуток ниже), либо еще что-то), и по неведомой причине, измененный(хоть на байт больше или меньше) файл - отказывается грузить, скидывая все на "appRequestExit"
----
Кому интересно порыться, присоединяйтесь Ниже выкладываю бинарник линдвиора(темида офнута, валидный ехе).
----
П.С - понимаю фразу "не знаешь, не лезь", но интересно все-таки
----
Линк на L2.exe(Lindvior)
----
Собственно по топику:
Все же не являюсь реверсером, и вообще близко не росту в данном направлении, но все же, решил копнуть в эту сторону, и не ждать анпакнутого бинарника. Собстна скинуть с этой батвы темиду - труда не составляет, да и думаю с скриптами LCF-AT - это смогет сделать любой школьник
Далее встал вопрос - что же хочет это чудо, для лоада в память всего состава дат файлов и конфигураций(ини). Полез, естественно без знаний
Нашел сегменты и функции которые все это уг грузят, декриптуют:
[SRC="c++"]
1090A49A ; ---------------------------------------------------------------------------
___:1090A49A
___:1090A49A loc_1090A49A: ; CODE XREF: sub_1090A3A0+AAj
___:1090A49A mov eax, ?GMalloc@@3PAVFMalloc@@A ; FMalloc * GMalloc
___:1090A49F mov ecx, [eax]
___:1090A4A1 mov edx, [ecx]
___:1090A4A3 push offset aL2decryptfiler ; "L2DecryptFileReader"
___:1090A4A8 push 4Ch
___:1090A4AA mov eax, [edx]
___:1090A4AC call eax
___:1090A4AE mov ebx, eax
___:1090A4B0 test ebx, ebx
___:1090A4B2 jz short loc_1090A4CF
___:1090A4B4 push edi ; int
___:1090A4B5 push 0 ; lpFileSizeHigh
___:1090A4B7 push esi ; hFile
___:1090A4B8 call GetFileSize
___:1090A4BE push eax ; int
___:1090A4BF mov ecx, [ebp+arg_8]
___:1090A4C2 push ecx ; int
___:1090A4C3 push ebx ; int
___:1090A4C4 mov ecx, esi ; hFile
___:1090A4C6 call sub_109097E0
___:1090A4CB mov esi, eax
___:1090A4CD jmp short loc_1090A4D1
___:1090A4CF ; ---------------------------------------------------------------------------
[/SRC]
Хрень для меня мало-понятная, но все же
Через это уг проходят все конфигурационные файлы. Собственно тот же loc_1090A4D1 (он же l2.ini), который тянет за собой 2ва варианта развития сюжета - либо кильнуть процесс(если файл не найден, либо не может быть прочитан), либо начинать вгружать его.Вот тут и встал вопрос, где же плать это все чудо, проверяет(я просто не знаю как это назвать) файл(может сравнивает все по хешу(подобное видел чуток ниже), либо еще что-то), и по неведомой причине, измененный(хоть на байт больше или меньше) файл - отказывается грузить, скидывая все на "appRequestExit"
----
Кому интересно порыться, присоединяйтесь
Ниже выкладываю бинарник линдвиора(темида офнута, валидный ехе).----
П.С - понимаю фразу "не знаешь, не лезь", но интересно все-таки
----
Линк на L2.exe(Lindvior)
![[Изображение: e55627545ab9f05978c205831b1d.png]](http://klikr.org/e55627545ab9f05978c205831b1d.png)
![[Изображение: 61b684.png]](http://bladensoul.ru/scrupload/i/61b684.png)
![[Изображение: g75Ko.th.png]](http://image.zone-game.info/images/2013/03/24/g75Ko.png)
