Moin, ich habe hier ne Anwendung (binär) vorliegen, die im eigentlichen Code (also alles was nicht Bibliothek ist) nicht sonderlich viel zu tun scheint. Der DVCLAL-Ressource entnehme ich, daß es sich wohl um eine Enterprise-Edition von Delphi oder C++ Builder handelt. Wobei ich aufgrund einiger Eigenheiten eher auf letzteres tippe (aber zumindest beim XE Studio waren die ja beide gut integriert). Insbesondere initialisiert sie am Anfang mit viel Aufwand mscoree.dll und ermittelt ob .NET 2.0 oder neuere vorliegt. Statisch sind die Funktionen aus mscoree.dll nicht importiert. Die Anwendung scheint allerdings auch keine
VCL zur Darstellung eines Formulars zu benutzen.
Es gibt eine verdächtige Ressource, die mit einem TResourceStream ausgelesen wird, aber es gelang mir bisher noch nicht sie in eine Form zu überführen welche
CIL/MSIL wäre. Aufgrund der gleichmäßigen Verteilung im Histogramm für diese Ressource vermute ich eine komprimierte oder verschlüsselte Form in der dieser Code vorliegt.
Die Ressource hat den Namen __ (zwei Unterstriche) und ist vom Typ RCDATA.
Ist jemandem hier schonmal sowas begegnet? Ich habe schon seit Jahren kein Delphi oder C++ Builder mehr installiert und ich weiß ohnehin nicht ob meine alten Produkte sich noch aktivieren lassen, aufgrund des Eigentümerwechsels. Zumindest mein Benutzername und Paßwort schienen bei einem Versuch vor einiger Zeit nicht zu funktionieren.
Ich vermute, es handelt sich um eine von den .NET-fähigen Versionen von C++ Builder oder um eine Komponente die bspw. anbietet
CIL/MSIL einzubetten und durch dynamisches Laden der CLR auszuführen.
Für jegliche sachdienlichen Hinweise bin ich dankbar.
Nachtrag: Also Hydra von RemObjects scheint es nicht zu sein, wobei ich Ähnlichkeiten bei der Initialisierung feststellen konnte. Allerdings ist das ja naheliegend.