ска4ал прогу ССЫЛКА http://www.keyfocus.net/kfsensor/download/kfsens10.exe

ругалась на конеЦ срока лиЦензии.
Это ле4ится, как ни странно =), такими манипуляЦиями:

.text:00473B97 movzx edx, [ebp+var_F1]
.text:00473B9E test edx, edx //place 2 pat4!!!!
.text:00473BA0 jz short loc_473BA9
.text:00473BA2 xor al, al
.text:00473BA4 jmp loc_473EF2

00073B9E 85 -> 42
00073B9F D2 -> 90

Прога запускаетя, ведет себя как зарегистрированная (не с4итая надписей, коне4но), но интерес в том, 4то когда нажать кнопку "Run" (запустить сервис, который лежит в папке с самой прогой) он стартует и сразу же останавливается ("Service Stopped"). Никаких string reffer'сов по теме не нашел и при дизасме сервиса зашел в тупик =(

Прошу помо4ь в отломе остатка заЩиты или просто каких-то tips'ов по анализу запускаюЩегося сервиса

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

Вариантов масса, от проверки CRC файла клиента до проверки конца срока лицензии.

| Сообщение посчитали полезным:

это понятно, 4то способов проверки на зарегенность тыся4и, но я спрашивал о другом:
раз сна4ала стартует сервис, а потом останавливается, зна4ит эта проверка идет после его запуска. Вот я и иЩу способ брякнуться на запуске сервиса, или еЩе как-то перехватить его запуск. А рядом будет лежать и сама проверка...

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

1) программа называется не fksensor а kfsensor
2) рядом в папке с клиентом лежит сервер, это консольное приложение которое и отвечает за ids поэтому ковырять надо его

| Сообщение посчитали полезным:

Ковырять надо регистрацию и кейгенить ее.

| Сообщение посчитали полезным:

sharebyte

я об этом консольном приложении и говорил - это и есть сервис, который останавливается при запуске (только имхо заЩита зарыта в основной проге, которая его и запускает)

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

ProTeuS
Защита в сервисе дублирует защиту в мониторе, также считывает из реестра ИД и пасс и проверяет их, даже код одинаковый. Пропатчи сервис точно также, как и монитор (можно поиск байт даже заюзать)

| Сообщение посчитали полезным:

СТЕК НА МОМЕНТ ВЫЗОВА СЕРВИСА:

[14:39] [FuRIOuS l ProTeuS]:
0012FB40 00146AA8 |hManager = 00146AA8
0012FB44 004F6FB0 |ServiceName = "KeyFocusSensor"
0012FB48 004F6FDC |DisplayName = "KF Sensor"
0012FB4C 000F01FF |DesiredAccess = SERVICE_ALL_ACCESS
0012FB50 00000010 |ServiceType = SERVICE_WIN32_OWN_PROCESS
0012FB54 00000002 |StartType = SERVICE_AUTO_START
0012FB58 00000001 |ErrorControl = SERVICE_ERROR_NORMAL
0012FB5C 0012FB80 |BinaryPathName = "D:\Program Files\KeyFocus\KFSensor\bin\kfsnserv.exe"
0012FB60 00000000 |LoadOrderGroup = NULL
0012FB64 00000000 |pTagId = NULL
0012FB68 00000000 |pDependencies = NULL
0012FB6C 00000000 |ServiceStartName = NULL
0012FB70 00000000 \Password = NULL !!!!!!!!!!!!!!!!!!!!!!!!!

Остается думать 4то в слу4ае зарегенности прога сует в стек не нулл, а реальный пас для запуска сервиса...

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

ProTeuS
Значит проследи, где еще юзается адрес, в котором должен был быть пасс, посмотри, что творится непосредственно перед вызовом сервиса.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

ProTeuS
Насколько я понял, то в триальном режиме сервис работает нормально, а когда триал закончен-то закрывается сразу. Я же написал - в сервисе точно такие же процедуры проверки серийника, каки в основной проге, и берет сервис их из реестра...

| Сообщение посчитали полезным: