www.learnwords.com/rus/download/learnwords.exe

Как всегда вместо call/jmp dword ptr [XXXXXX] куча вызовов аспровой функции, но проблема в том, что аспр там забирает не только переход на апи, но и следующую за ним команду (например по адресу 402485).

| Сообщение посчитали полезным:

sanniassin
Кстати, а каком аспре ты говоришь? Если 2.0, то я бы и сам хотел знать, как у него восстанавливать импорт.

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Если не ошибаюсь, эти команды в самом конце эмуляции выполняются, без мусора всякого. И этого на дельфовых прог нету, я не видел.

| Сообщение посчитали полезным:

Хмм... вроде разобрался с восстановлением команд вида mov reg, reg (reg - любой регистр)

0 = EAX
1 = ECX
2 = EDX
3 = EBX
4 = ESP
5 = EBP
6 = ESI
7 = EDI

ImageBase of aspr dll=9B0000
9D354F - is_code_stolen (if ZF=1 -> code not stolen)
----------mov reg, reg----------
9D37AA - mov al_type, reg - в al инфа о том, какой регистр сравниваем (см. по таблице)
9D37C3 - mov reg, al_type - в al инфа о том, с каким регистром сравниваем

Но не всегда спираются подобные команды (по алресу 418198 украдено что-то другое)

| Сообщение посчитали полезным:

sanniassin
Не скажешь, как ты восстанавливаешь импорт в аспре 2.0? Пжалста!

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

эка бяка =)
с "mov exx, exx" действительно просто, т.к. их опкоды идут по порядку и с восстановлением проблем не будет - первый опкод одинаковый, второй = reg1_aspr*8 + reg2_aspr + 0C0h. Плохо то, что судя по коду аспра эмулируется много разных команд (хз каких, в проге этой в основном "mov exx, exx" потырены). На 418198 похоже cmp, хотя может и не оно, разбираться вообщем надо, а времени нет =(

| Сообщение посчитали полезным: