Предыстория: программа защищена сабжем (Alladdin 4M1). Доступ к сабжу осуществляется из кода, распакованного в память. Есть дамп памяти (OllyDBG) до и после обращения к сабжу.
PEiD говорит, что программа не запротекчена и не запакована. HaspEmulPE пароли не находит, HaspGrab сабж не брутфорсит, HaspEdit по тестовым паролям доступ не дает.
Вопрос 1. Что можно сделать с дампами - они различны, но что чего означает - не знаю.
Вопрос 2. Как найти точку входа в код в памяти? Он может быть и в самой программе, и в её DLL-ке.
Просьба: это вообще моя самая первая изучаемая программа (не считая Crackme#2), отнеситесь, пожалуйста, с пониманием.

| Сообщение посчитали полезным:

под сабжем как я понял понимается hasp 4?
сходи сюда
forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=27062
там в шапке темы ссылки на эмуль и дампер

| Сообщение посчитали полезным:

Верно понял. HaspEmulPE v2.33 есть, дрова для хаспа родные, ExecuteHaspCommand не получает нормальных ответов.

| Сообщение посчитали полезным:

сказал бы что за софтина - может пароли уже известны

| Сообщение посчитали полезным:

Программка отечественная, питерская, больше сказать не могу.
Код обращения к сабжу в памяти находится уже в момент запуска первого модуля, следовательно сразу после запуска exe-шника. Бряк на доступ показал, что обращение происходит из DLL по команде CMP (сравнивается значение в памяти с константой, а потом в другую секцию памяти пишется 02). Если сабж при первом доступе определился, то дальнейшего обращения не происходит. Сабж можно спокойно извлечь и работать дальше. Вот если-бы кто-то помог написать програмку, которая в памяти заменит значения в секции на другие!!! А CMP по 02 можно обойти заменой JE на JNE. И еще вопрос. Дамп памяти после обращения к сабжу может содержать пароли сабжа? Как их найти?

| Сообщение посчитали полезным:

из того что ты сказал я понял одно - там вызывается IsHasp() и больше ничего
если уж не хочешь эмуль - сделай патч/лоадер

| Сообщение посчитали полезным:

Yaffet пишет:
Вот если-бы кто-то помог написать програмку, которая в памяти заменит значения в секции на другие!!! А CMP по 02 можно обойти заменой JE на JNE.

Давай адреса и что на что менять. В таком виде:
0042FF16 FF E9
0042FF17 51 DB
0042FF18 58 06
0042FF19 8D 00
0042FF1A 55 00
0042FF1B F8 90

А так же не забудь путь к программе для запуска лоадера. Размер загрузчика будет около 50 кб. если устроит. В общем пиши в мыло: tobadko@mail.ru

| Сообщение посчитали полезным:

У меня с олей такая штука. Есть call 101a1712
по этому адресу jmp 101a1655
после перехода по джампу вижу инструкцию, а после скролла (посмотреть, что вверху)
адрес 101а1655 меняется на 101а1654, соответственно меняется инструкция.
Как и чем это побороть???

| Сообщение посчитали полезным:

Теперь по хаспу: есть пароли, есть дамп, есть регфайл, есть Hasp Emulator PE v2.33, нет мыслей
что делать дальше. На glasha@brstudio.com не обращался (как написано в ридми), поскольку не знаю,
чем это чревато. Как сделать эмуль???

| Сообщение посчитали полезным:

>адрес 101а1655 меняется на 101а1654, соответственно меняется инструкция.
Там меняется на аналогичную по функции последовательность асм кода.

| Сообщение посчитали полезным:

А что аналогичного в инструкциях???
1. 101A76E3 E9 C00C0000 JMP XXX.101A83A8
и
2.101A76E2 10E9 ADC CL,CH
101A76E4 C00C00 00 ROR BYTE PTR DS:[EAX+EAX],0

Только для начинающего, объясните пожалуйста.
И (не посчитайте наглостью) хотелось-бы услышать комментарий Ara, если не трудно.

| Сообщение посчитали полезным:

Yaffet пишет:
А что аналогичного в инструкциях???
Пройдись по F8 отладчиком во 2 случае и посмотри выполнится прыжок или нет.

| Сообщение посчитали полезным:

Прыжок то выполнится, но такие фокусы влияют и на соседние инструкции. Однако если это не важно,
тогда я вообще ничего не понимаю - зачем так делается???

| Сообщение посчитали полезным: