Есть некоторая програмка, которая во время инсталяции, записывает в уже известную ветку реестра ключик на 6 байт. При запуске программа считывает ветку с бинарным параметром и внутри сравнивает со сгенерированной по железу строкой. Если ветки нет, или параметр не верен значит программа выгружается. Проблема в том что под Win Server 2003 при активизированом TerminalServer и именах пользователей на русском языке, программа генерирует совершенно отличный код от записанного в реестре. Разработчик признал ошибку, но исправлять нет времени.
Какой брейкпоинт поставить в SoftICE дабы выйти на точку сравнения?, ну и дальше собираюсь зашить переход.

| Сообщение посчитали полезным:

Ну частенько прокатывает RegQueryValueExA.Или просто тупо лови все открываемые ключи на RegOpenKeyA.

| Сообщение посчитали полезным:

A:RegOpenKeyA
A:RegOpenKeyExA
A:RegCloseKey
A:RegQueryValueA
A:RegQueryValueExA
A:RegEnumKeyExA
A:RegSetValueA
A:RegSetValueW
A:RegSetValueExA
A:RegSetValueExW

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

лови на RegCreateKeyA

| Сообщение посчитали полезным:

ставь в сайсе бряк
bpx RegQueryValueExA do "d esp->8"
при остановке в окне данных будет светиться читаемый параметр. вызовов будет много, так что отпускай прогу по F5 пока не остановишься на нужном параметре (сам говоришь, он тебе известен). ну а дальше поднимаешься в место вызова и смотришь что там к чему.

| Сообщение посчитали полезным:

A лучше всего заюзать API break plugin ( Китайский кажется)...

Залил на дамп.ру

закачан: dump.ru/files/n/n60226975/
закачан: dump.ru/files/n/n7971877374/

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: