Először futtatnék néhány statikus elemzést az alkalmazáson, például a Findcrypt vagy a ProtectID és a PEID Kanal plugin segítségével, hogy a használt ismert statikus értékek után kutassak. különféle titkosítási algoritmusokban. Ha talál valamit, keresse meg, hogy melyik függvény kereszthivatkozással éri el őket (X az IDA-ban, CTRL + r ollyban), és eljut a titkosítási funkció (k) hoz, vagy legalábbis nagyon közel van hozzájuk.

Ha ez a megközelítés sikertelen, elkezdheti nyomon követni egy olyan dinamikus hibakeresőben, mint az olly. Megtalálta a küldés funkciót, és elkezdhette visszakeresni a hívásköteget. Válassza ki a verem tetejét, és kattintson a követés elemre a szétszerelőben, amellyel eljuthat a küldési függvény nevű függvényhez. Helyezzen töréspontot a függvény tetejére. Ismételje meg ezt többször, visszalépve a hívásfába, és figyelje meg azokat a változókat, amelyekkel a függvény meghívásra kerül, amíg meg nem jelenik a titkosítandó adat.

A második képen megmutatja azt a funkciót, amelyet a hívások küldenek ( ) a titkosított adatokkal. Több szintet kell visszalépnie a titkosítási módszer közelébe.

Keressen releváns karakterláncokat a bináris fájlban (Shift + F12 az IDA-ban), például: "kulcs", "crypt", "jelszó", és kereszthivatkozás, hogy megtudja, melyik függvény használja.

Feladhat egy hardveres töréspontot azokra az adatokra is, amelyekről tudod, hogy valamikor titkosításra kerülnek, és ellenőrizheti, hogy hol érik el őket.

Annak megerősítéséhez, hogy az alkalmazás statikus kulcsot használ-e vagy sem, beállíthat egy új környezetet a játékhoz egy másik fiókkal egy másik gépen, és megnézheti, hogy a titkosított adatok ugyanazokra a bájtokra vannak-e titkosítva, mint amelyeket a képen talált 1. Ha ez megegyezik, a titkosítás statikus kulcsot használ.

Emellett van néhány bejegyzés erről a játékról a ragezone-on és az elitepvpers-en, ha minden egyéb nem sikerül, akkor tudnak segíteni:)