Добрый день.
Произвожу отладку некой программы. Отладчик загружает ее нормально но при попытке выполнения перекидывает на строку типа
83С4 04 |ADD ESP,4 я так понял что то ложится в регистр ESP
В куче есть тоже некий любопытный момент "как кажется мне"
0018FEBC /7714FCC2 Вьw ; RETURN to ntdll.NtTerminateProcess+12
и программа подвисает и встает колом, я решил что она упакована вооружился
PEiD 0.95 просканил и получил ответ что компилятор VC++ 6.0
Возникает вопрос почему программа встает колом?
Кого не затруднит подскажите в чем проблема, а лучше где можно про это подробно почитать)

| Сообщение посчитали полезным:

Lokos пишет:
PEiD 0.95 просканил и получил ответ что компилятор VC++ 6.0
Возникает вопрос почему программа встает колом?

1) die
2) Для использования антиотладочных трюков упаковка не нужна.

| Сообщение посчитали полезным:

Lokos пишет:
ADD ESP,4 я так понял что то ложится в регистр ESP
Вам бы не мешало активно подучить теорию (матчасть, ... называйте, как хотите) и английский язык. Регистр ESP в 99,9% случаях-указатель стека, ADD - операция сложения, соответственно стек уходит "вниз" на 4 байта (1 двойное слово), т.е. очевидно, эта инструкция идет после __stdcall вызова функции, которой передается один аргумент.
Для справки: ложиться в регистр командами типа MOV, MOVS, movsx, LEA...
Каким отладчиком пользуйтесь? Будет ли ссылка на программу? Или как называется подопытная программа? Есть ли обращения к WInAPI функции IsDebuggerPresent, что в kernel32?

| Сообщение посчитали полезным: Gideon Vi

--> Тыцъ <--



| Сообщение посчитали полезным: Gideon Vi