На сайте http://www.haenlein-software.com http://www.haenlein-software.com есть программа DVR-Studio (обычная, не Pro).
Для скачивания доступна Trial версия на 30 дней.

Решил ее поковырять в OllyDbg (пробовал и в Shadow), но Olly останавливается не на точке входа (как обычно), а на комманде retn в ntdll с сообщением "Process terminated, exit code FFFFFFFF (-1)".
То есть такое ощущение, что программе как то удалось стартануть, обманув Olly, определить, что она запущена из под отладчика и завершить свою работу.

Что это за зверь и как с ним бороться?

| Сообщение посчитали полезным:

Ексекриптор наверное!

| Сообщение посчитали полезным:

jokolemene
Покажи названия секций.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Убери галку INT3 breaks в Olly

| Сообщение посчитали полезным:

Судя по секциям похоже на Екзекриптор ... хотя ща кому не лень так названия поганят.

| Сообщение посчитали полезным:

Секции

2e6c_15.10.2006_CRACKLAB.rU.tgz - 11.jpg

| Сообщение посчитали полезным:

jokolemene пишет:
программе как то удалось стартануть, обманув Olly,

Именно. В файле есть TLS, его код стартует до EP. Этот код проверяет СС на ЕР, и если у тебя на вкладке Properties->events стоит галка на EP of main module, то Оля именно туда и ставит бряку. Для обхода этого поставь галку на System Breakpoint.

| Сообщение посчитали полезным:

..и после загрузки в Олю перед запуском проги убери бряк с EP.

| Сообщение посчитали полезным:

там ехекриптор..
если найду свой патч - напишу, что и где патчить =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

YDS пишет:
..и после загрузки в Олю перед запуском проги убери бряк с EP.

Его там не будет! Оля ставит его только один раз и только если выбрано Set bp on EP. В случае Stop on sys bp его там естейственно не будет.

| Сообщение посчитали полезным:

HoBleen пишет:
Его там не будет! Оля ставит его только один раз и только если выбрано Set bp on EP. В случае Stop on sys bp его там естейственно не будет.
в том то и дело, что он там будет

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

HoBleen пишет:
Его там не будет!

Ну вот и хорошо, если у него оно там так. Я лишь привел одну из возможных причин трабла.

| Сообщение посчитали полезным:

lord_Phoenix
Извиняюсь, перепутал.

offtop
Кстати, не знаю, полезно ли это, но остановка на system breakpoint не является самой первой точкой для всплыва дебаггера. Можно создавать процесс в остановленном состоянии, до всех процессов инициализации, например, настройки таблицы импорта.

| Сообщение посчитали полезным:

Большое всем спасибо за просвещение в этом вопросе.
Действительно, переставив галку на System Breakpoint Olly стала останавливаться в недрах ntdll.

А существуют ли более или менне "стандартные" методы борьбы с этим злом, типа скриптов для Olly или придется все делать ручками?
И про какой такой "патч" пишет уважаемый lord_Phoenix?

| Сообщение посчитали полезным:

jokolemene пишет:
И про какой такой "патч" пишет уважаемый lord_Phoenix?
я про взлом этой проги.. если найду - покажу патч =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Народ, у меня похожая трабла. Прога из под Оли не грузится. Есть в ней секция WinLisen - с нее она и начинает работы, потом расшифоровывает код и потом абзац - Инструкция обратилась по адресу... или Don`t now how to bypass command...

| Сообщение посчитали полезным:

Есть статья про InlinePatch говнопрот. А вообще посмотри с помощью PeTools или им подобным точку входа и юзай просто он с?ка ту где ты входиш палит и поэтому вылетает,поэтому ты должен грузиться до него.. Там по моему несколько потоков вызывается для проверки юзанья бряков ну так их прийдется отрубить.

| Сообщение посчитали полезным:

sewell пишет:
WinLisen

Начьни распаковку лучше с аспака, с этим протом тебе ещё рано бадаться.

| Сообщение посчитали полезным:

Не ну аспак это ты уж совсем. ну с Asprotect 1.23 beta 21 тогда пойдет.
Какие скрипты!!!! Лучше всего делать руками так результат гарантирован,если конечно знания позволяют. А если нет то помести пока в раздел "на взлом". Пока подучишься а потом вперед.

| Сообщение посчитали полезным:

lord_Phoenix пишет:
там ехекриптор..

jokolemene, забей внатуре на это дело...рано тебе ещё!

Dark Star пишет:
ну с Asprotect 1.23 beta 21 тогда пойдет.

Нет! Пусть попробует PECompact 2, ExeStealth, tELock.

С аспром много гемора.

| Сообщение посчитали полезным:

Ну по чему туторов то много и на форуме дофига написано в самый ра. Ну конечно если не полный Lol.
PeCompact, Orien 2.12, WinUpack это тоже конечно хорошо чтоб опыта потнабраться.

| Сообщение посчитали полезным:

sniperZ пишет:
Нет! Пусть попробует PECompact 2, ExeStealth, tELock.
Могу дать попробоавать tELock от которого не тока у олли но у и винды башню снесет!

| Сообщение посчитали полезным:

pavka пишет:
Могу дать попробоавать tELock от которого не тока у олли но у и винды башню снесет!

Давай...

| Сообщение посчитали полезным:

Лови!
slil.ru/23281924

| Сообщение посчитали полезным:

pavka, это что ж за tELock такой?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
это что ж за tELock такой?
Китайцы балуются!;)

| Сообщение посчитали полезным:

KingSise хм. А ты tELock не знаеш? От tE!^TMG. Это тот который RSATool напесал.

-----
Я фантомас, а ты гавно

| Сообщение посчитали полезным:

Rid3r пишет:
KingSise хм. А ты tELock не знаеш?

Знаю конечно, но проблем с его снятием не возникало... Как протектор он слабоват, имхо... Да и статей по нему достаточно много www.wasm.ru/article.php?article=packers2#12

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

там модификация какая-то с дровом

| Сообщение посчитали полезным:

Av0id пишет:
там модификация какая-то с дровом
Не дров там нет! Агрессивная антиотладка а так все то же самое!

| Сообщение посчитали полезным: