где счетчик хранится? хе. по regmon-у ничего не находится ;)

| Сообщение посчитали полезным:

kioresk
эти ключи из ветки Hardvare description.. упоминались еще со времен FastSatFinder - на их генерации
был построен лоадер для сброса триала. А IDA вряд ли меня дождется


На CMP DWORD PTR DS:[EAX+4],0 удалось даже без трейсинга выйти - по сигнатуре-
благо Sunbeam любит выкладывать код здесь

| Сообщение посчитали полезным:

r99,

как же ты без нее обходишься, просто мог бы в ней изучить алгоритм, по хешам определить функции и там бы и увидел:

call NtQueryValueKey
mov eax, [ebp-18h]
cmp dword ptr [eax+4], 0
jbe ...

| Сообщение посчитали полезным:

Try FrameShow with that option. I found the code in EC section, turned cmp [eax+4],0 -> cmp eax,eax and it still expires..

SunBeam writes:
Well, it didn't work as I had hoped. I set a conditional breakpoint on ZwQueryValueKey such as:

- bp ZwQueryValueKey;
- cond. bp ([esp]<0x70000000 - since I am interested in program breaks, not API ones);

Landed here:

0012E790 004C23A6 /CALL to ZwQueryValueKey from unpacked.004C23A1
0012E794 000000C4 |hKey = 000000C4 (window)
0012E798 0012E7B8 |Name = 0012E7B8
0012E79C 00000002 |InfoClass = 2
0012E7A0 00000000 |Buffer = NULL
0012E7A4 00000000 |Bufsize = 0
0012E7A8 0012E7B0 \pReqsize = 0012E7B0
0012E7AC 000000C4
0012E7B0 00000000
0012E7B4 00000002
0012E7B8 00000022
0012E7BC 0012E9E4 UNICODE "hallaafkiohlpnjj"

Tracing out of it, got me here:



Changing 4C23A9 to CMP EAX,EAX doesn't do the trick. I still get detected..

| Сообщение посчитали полезным: