Кто-нть что-нть слышал, может у кого статейки завалялись...?

| Сообщение посчитали полезным:

Пытался я его копать... Да вот в памяти не все секции нашел . Давно это было...
Как вариант, можно поискать экзешник от американской версии - на нем был SecuROM. У них эта игра называется Indigo Prophecy. Но при запуске падает, нужно разбираться почему.

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Прошу помощи в теории написания скрипта для Олли (ни разу не писал)...
нужен не готовый скрипт, а алгоритм действий (типа объявляем такие-то переменные, выполняем поиск с условием, выполняем преобразование и пишем результат)...

пока что застрял на восстановлении импорта...
==============================================================
Пример...

01A67052 -FF25 285C0A01 JMP DWORD PTR DS:[10A5C28] --> 01039790

попадаем на обработчик...

01039790 50 PUSH EAX
01039791 B8 D348187B MOV EAX,7B1848D3
01039796 05 90970301 ADD EAX,1039790 ---------> после выполнения этой команды, в ЕАХ адрес нужной АПИ
0103979B 8138 B888641F CMP DWORD PTR DS:[EAX],1F6488B8
010397A1 75 15 JNZ SHORT 010397B8
010397A3 8178 04 7CE805C1 CMP DWORD PTR DS:[EAX+4],C105E87C
010397AA 75 0C JNZ SHORT 010397B8
010397AC 58 POP EAX
010397AD EB 01 JMP SHORT 010397B0 - тоже интересный момент (см. ниже)
010397AF 89E9 MOV ECX,EBP -------- если занопить первый опкод MOV ECX,EBP (89h), то получим (см. ниже)
010397B1 AE SCAS BYTE PTR ES:[EDI]
010397B2 48 DEC EAX
***************************************************************
01039790 50 PUSH EAX
01039791 B8 D348187B MOV EAX,7B1848D3
01039796 05 90970301 ADD EAX,1039790
0103979B 8138 B888641F CMP DWORD PTR DS:[EAX],1F6488B8
010397A1 75 15 JNZ SHORT 010397B8
010397A3 8178 04 7CE805C1 CMP DWORD PTR DS:[EAX+4],C105E87
010397AA 75 0C JNZ SHORT 010397B8
010397AC 58 POP EAX
010397AD EB 01 JMP SHORT 010397B0
010397AF 90 NOP
010397B0 -E9 AE48187B JMP MFC70.#3610 - так же, переход на интересующую нас ф-цию
010397B5 8BC7 MOV EAX,EDI
010397B7 C3 RETN

----------------------------------------------------------------

скрипту необходимо задавать область сканирования, т.к. импорт разбросан в нескольких областях зааллоченной памяти...

Спасибо...

| Сообщение посчитали полезным:

s0cpy
Вот мне интересно,какие защитные механизмы там ещё есть помимо выкрутасов с импортом??
Можешь что-то сказать по этому поводу?

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc
скажем так, по мимо IsDebuggerPresent больше ниче не видел...
под олькой отлично запускается...

| Сообщение посчитали полезным:

s0cpy
Типа никаких наномитов и т.п. ??
Ладно,надо будет как-нибудь глянуть,когда с SD разберусь.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc
А ведь реально ты подсел на этот SafeDisc!

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Tim пишет:
А ведь реально ты подсел на этот SafeDisc!
...и ты между прочим этому виной .

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc пишет:
...и ты между прочим этому виной
а так всегда... когда что-то начинает получаться - не можешь остановиться...

Я бы тоже его покопал... только вот не сжился я с SoftICE'ом... А на Ольке скрипты очень помогают, когда нужно что-то автоматизировать... Вот бы скрыть Оллю от SafeDisc'а... тогда лафа будет!

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Tim
скрыть Оллю от SafeDisc'а... тогда лафа будет! - млин, да возьми ты HideOllyDBG plugin 1.01 by xDREAM и будет тебе щастье...

| Сообщение посчитали полезным:

s0cpy пишет:
млин, да возьми ты HideOllyDBG plugin 1.01 by xDREAM и будет тебе щастье...
ХДЕ???

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Tim
ну хотя бы здеззьь...:
_http://webfile.ru/984138

| Сообщение посчитали полезным: