1) В ходе реверсного инжиниринга над странной программой постоянно при входе в пространства библиотек ntdll.dll и mfc42.dll перезагружается компьютер.
В логах ошибка Windows XP доступа к защищенной области ввода-вывода.

Можно ли отключить эту защиту или хотя бы запретить перезагружаться Windows XP?

2) OllyDBG показывает функции библиотек ntdll.dll и mfc42.dll в виде номерных функций соответствующих библиотек (в программе над которой работаю).
W32DASM может показать эти функции немного в другом виде, но тоже ничего особо понятного кроме индекса, по которому можно как-то отличить функции одну от другой.
Душа просит нормального кода этих стандратных системных dll.
Так будет легче разобраться что происходит в программе в данный момент.

Вопрос: стоит ли надеятся что кто-то знает где можно достать такие описания библиотек?

| Сообщение посчитали полезным:

8bit пишет:
при входе в пространства библиотек ntdll.dll и mfc42.dll перезагружается компьютер.
Ну MFC42 скорее всего не при чем, если конечно у тебя параллельно с отладкой не крутится плеер какой-нибудь. А вот с ntdll.dll работать надо аккуратно. Стоит тебе поставить там бряк на функции, которая часто используется - я не знаю что будет. И вообще нафига туда лезть. Большинство функций ntdll описано и изучение их внутренней работы ничем тебе не поможет - это уже будет реверсинг Виндов.
Функции MFC42 действительно имеют только номера - ординалы. Существует метОда сопоставления их с нормальными именами, но она муторная и мне не понравилась. Советую пока оставить эту программу в покое и исследовать те, которые kernel32 юзают.

| Сообщение посчитали полезным:

tundra37 пишет:
А вот с ntdll.dll работать надо аккуратно. Стоит тебе поставить там бряк на функции, которая часто используется - я не знаю что будет.
Тогда бы софтайс сдох неродившись...

8bit хоть бы название проги сказал...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

tundra37 пишет:
Советую пока оставить эту программу в покое и исследовать те, которые kernel32 юзают.

Скоро рассвет, выбора нет ... очень хочется проучить негодяйку-программу написанную специально под железяку для видеонаблюдения.
Бряков я там наставить не решился, все они находятся внутри основной проги.
Никак нельзя чтобы комп не падал в обморок от просмотра содержимого библиотек?

tundra37 пишет:
Ну MFC42 скорее всего не при чем, если конечно у тебя параллельно с отладкой не крутится плеер какой-нибудь.
Ничего нету, все выношу, остается только Оля 8)

| Сообщение посчитали полезным:

PE_Kill пишет:
хоть бы название проги сказал

IL DVR Server

| Сообщение посчитали полезным:

предположу, что возможно у тебя глючит драйвер этой железяки
можно отrлючить перезагрузку винды через My Computer -> Properties -> Advanced -> Startup & Rercovery
но в этом случае ты будешь видеть BSOD

| Сообщение посчитали полезным:

В первом случае что используешь? Soft-Ice по-моему после установки снимают какую-то защиту с доступа к физической памяти для хакерских целей. Всего один ключ реестра, толи EnforceWriteProtection или ещё чего.

| Сообщение посчитали полезным:

PE_Kill пишет:
Тогда бы софтайс сдох неродившись...
Я просто был уверен, что там олля была. Айс очень аккуратно ntdll использует.

8bit пишет:
IL DVR Server
Видимо очень редкий зверь - ни гугл, ни яху ничего про него не знают

| Сообщение посчитали полезным:

NullSession пишет:
В первом случае что используешь?

Olly
Хотя и Софтайс тоже стоит, но уж очень он для неподготовленных моих глаз и мозгов страшный...

tundra37 пишет:
Видимо очень редкий зверь

Да

| Сообщение посчитали полезным:

Myk пишет:
можно отrлючить перезагрузку винды через My Computer -> Properties -> Advanced -> Startup & Rercovery

BSODов нет, остались перезагрузки

| Сообщение посчитали полезным:

8bit пишет:
BSODов нет, остались перезагрузки
Если ты не ошибся - значит в проге есть защита от отладчика. А раз очень редкий зверь - ссылку надо давать, а не название. Или хотя бы "краткую сущность необыкновеного явления"

| Сообщение посчитали полезным:

tundra37 пишет:
ссылку надо давать

Прямой ссылки нет
Пришла на диске
Предназначена для специального вида плат видеозахвата

| Сообщение посчитали полезным:

А такую функцию в проге искать не пробовал - ExitWindowsEx

| Сообщение посчитали полезным:

Medsft пишет:
А такую функцию в проге искать не пробовал - ExitWindowsEx
А что даст? Перезагрузка жёсткая, значит, если и использована Api-функция, то это NotifyBootConfigStatus(0).

| Сообщение посчитали полезным:

Тов. 8bit какой-то странный. Под одну прогу завел две темы
http://www.exelab.ru/f/action=vthread&forum=2&topic=5628&p age=0#6
Вместо того, чтобы слушать советы и ставить бряки он
8bit пишет:
очень хочется проучить негодяйку-программу написанную специально под железяку для видеонаблюдения.
Бряков я там наставить не решился, все они находятся внутри основной проги.
Сомневаюсь я, что он из чистого любопытства все это делает. И темнит очень сильно.

| Сообщение посчитали полезным:

Да какая байда разница NullSession, вопрос в том что первично а что вторично вызов ребута самой прогой (вернее кодом проги в том числе рамом платы- т.е. всем что относится к проге) или это первичный процесс.
И вообче tundra37 прав не дай божа кто нибудь возьмется за конкретный взлом.

| Сообщение посчитали полезным:

А чего тут первичного и ли вторичного? Чел лезет в ядро не понимая что нужно делать,ну и система реагирует соответственно! Чего тут удивительного?

| Сообщение посчитали полезным:

Medsft пишет:
в том числе рамом платы-
Я вчера уже об этом же подумал. Защита может быть аппаратной, а может просто произошло обращение к плате и сработал таймаут в драйвере или самой плате. Система расчитана на автономную работу, а это предполагает при сбоях перезагрузку - это штатный режим.

| Сообщение посчитали полезным:

Medsft пишет:
А такую функцию в проге искать не пробовал - ExitWindowsEx

Есть 3 точки, где появляется этот код, но что делать с ним не знаю...

tundra37 пишет:
Тов. 8bit какой-то странный. Под одну прогу завел две темы

По моему мнению, я завел две темы на два разных технических момента.
Я хотел побороть программу сам, поэтому и задавал те вопросы, на которые не мог найти ответ самостоятельно.
Архив форума читал - в тех местах, которые мне показались нужными (например, защиты кода в программе нет, поэтому я это и не смотрел и все такое).
К сожалению, статей с иенно методами взлома (подходами), которые бы мне показались полезными, я видел мало...

pavka пишет:
Чел лезет в ядро не понимая
Не понимаю - скорее всего да, но не в ядро.
Все что делаю - копаюсь в коде программы.
Модули боюсь трогать, хочу понять какие функции из основных библиотек используются...

Вобщем, всем спасибо

Если есть кто из Киевской области, который может сделать то, что надо, пишите (подробности на --> тут <--)

| Сообщение посчитали полезным:

8bit пишет:
Модули боюсь трогать, хочу понять какие функции из основных библиотек используются...
У тебя явно или по русскому двойка была или мозги туго соображают. Чтобы понять, какие функции и как используются надо лезть именно в модули программы. Залезая внутрь функций из билиотек, ты рано или поздно залезешь в ядро У тебя программа все равно перезагружает комп - чего же ты боишься ?!
=====================================
Далее : я слабо представляю устройство шины PCI и возможности платы по управлению компом, но вместе с драйвером плата запросто может перезагружать комп просто, когда ее загоняют в плохой режим : например, послали команду , остановили программу и долго-долго "копаются" в стандартных функциях
===============================
8bit пишет: В ходе реверсного инжиниринга , а сам смотрит статьи по взлому. В твоем случае надо идти на сайты по обработке видео и изучать теорию и форматы. А у тебя кроме общих слов, вопроса собственно и нет, точнее тот, что был - уже исчерпан. Во второй теме то же самое. Просишь конкретику, а сам на редкость расплывчато все описываешь. Для того, чтобы сказать "хочу сломать, но не умею", не надо много слов - все сюда обычно с этим приходят.

| Сообщение посчитали полезным:

tundra37 пишет:
Чтобы понять, какие функции и как используются надо лезть именно в модули программы

Ну и много ты поймешь что за функция из названия типа MFC42.<nechtotipacallfunction#4756>?
Мне не важно как именно она работает.
Я не лезу в их середину.
Иногда конечно сама Олли заходит в режиме автоматической трассировки (в режиме не заходить во все подпрограммы даже почему-то...), но там я ее никогдла не останавливал, да и перезагружается она не в одном и том же месте, иногда все прекрасно - иногда почему-то рестарт...

tundra37 пишет:
8bit пишет: В ходе реверсного инжиниринга , а сам смотрит статьи по взлому
Что ж, возможно, попутал термины.
Форматы и теорию мне не надо - это точно.
Я не собираюсь переделывать алгоритм программы.
Я хочу сделать так, чтобы она работала на других платах.
Я точно знаю что защита основана на внешнем обновляемом файле, который просто дописывается с выходом новой версии программы\карт...

Персонально для tundra37: "не учи меня жить, лучше помоги материально"
Да, человек, задающий вопрос, чтобы получить на него ответ, должен сделать его в виде, чтобы ему ответили. Если ответа нет - вопрос задан не в той форме.
Что ж, никто не застрахован от ошибки.
Только мне кажется, что отвечать мне tundra37 и не думал, а преследовал какие-то свои цели...
Не нравятся вопросы нуба - в игнор, я же в персональное общение не лезу и не спамлю?

| Сообщение посчитали полезным: