Недавно попался такой файлик
http://www.sendspace.com/file/r9vx5c
Не получается запустить его в отладчике. Вмпрот меня палит. Пробовал с разными сборками оли и разными плагами. Может ли кто-нибудь запустить под отладчиком и выложить свою сборку и настройки, если запуститься?
Второй вопрос:
Прога работает только будучи запущенной explorer ом. Надо подменить имя родительского процесса. Пробовал патчить Process32First - не помогло. Можно попробовать Process32Next, но думаю тоже не даст ничего. Кто знает где хранится структура PROCESSENTRY32? По-любому где-то в fs:[xx] есть указатель...

| Сообщение посчитали полезным:

Вот тут нормально запускается http://www.sendspace.com/file/gzp9gc

| Сообщение посчитали полезным:

а если свиппер выкинуть

| Сообщение посчитали полезным:

Если просто имя подменить надо, не проще ли ольку переименовать? Если именно пид и всё по-серьёзному, либо перехватывать функции, либо в ядре патчить.

| Сообщение посчитали полезным:

С такой сборкой... При свипере падает с ошибкой доступа к памяти. Без свипера то же самое
---------------------------
RFPL_V2.vmp.exe
---------------------------
A debugger has been found running in your system.

Please, unload it from memory and restart your program.
---------------------------
ОК
---------------------------
Archer Имя подменить нельзя. Точнее можно, но получим к примеру такое
[18:02:21] Пожалуйста запустите программу от системы! ParentPID: 4396;
- O:\ххх\explorer.exe
[18:02:21] Windows Seven Ultimate Service Pack 1 32-bit
[18:02:21] Добро пожаловать на сервер RF Universal! (Версия лаунчера: 1.0.1.50)

адд:
Пока писал понял, что туплю
Поместил свой лаунчер в х:\виндовс\експлорер.ехе и все запустилось.
Т е прога проверяет полный путь, а не имя процесса.
Вопрос немного меняется. Как подменить путь и имя. Точнее как можно получить имя родительского процесса, если process32first и process32next пропатчены, а значит используются не они.

| Сообщение посчитали полезным:

Не проще XP взять?

| Сообщение посчитали полезным:

хз, но у меня прекрасно запускается без плясок с explorer из папки F:\Downloads, олькина сборка что выше.
NikolayD
+1
Кстати да! уже второй юзер тупит с семеркой и олькой.

| Сообщение посчитали полезным:

Как то впадлу поднимать хп из-за кривых плагов. Запускаться то оно будет. Работать не будет.

В конце видно кучу мусора - это антидебаг вамита.

| Сообщение посчитали полезным:

GetModuleFileName

-----
старый пень

| Сообщение посчитали полезным:

Nightshade пишет:
Точнее как можно получить имя родительского процесса, если process32first и process32next пропатчены, а значит используются не они

Известно как. NtQuerySystemInformation. При SystemInformationClass == SystemProcessInformation структуры SYSTEM_PROCESS_INFORMATION имеют поля ProcessId и InheritedFromProcessId. Вот это и надо подменять. В идеале - хук в ядре.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: Nightshade, plutos

распакованная падает
чего там в LA напихано кроме хэша cpuid?

| Сообщение посчитали полезным:

Win 7 SP1, чистая Olly + StrongOD + dbghelp = полет нормальный с твоим файликом...

| Сообщение посчитали полезным:

Nightshade
-Sanchez- пишет:
Win 7 SP1, чистая Olly + StrongOD + dbghelp = полет нормальный с твоим файликом...
У меня тоже отлично запускается! помню была такая проблема, оказывается, непонятно почему, файл dbghelp у меня лежал в плагинах из-за этого и выплевывало месседж! (Win7)
r99 пишет:
распакованная падает
кстати тоже такая хрень! непонятно почему! пытался отловить - пока безуспешно!

| Сообщение посчитали полезным:

Засплайсил ZwQuerySystemInformation, проблема с именем процесса исчезла. Спасибо ARCHANGEL. С олькой так и не разобрался. Походу это тараканы в моей системе. Если кто выложит распакованный файл, буду благодарен. Так как через аттач неудобно иследовать код.

| Сообщение посчитали полезным: