Есть программа Interpreter NewWave.
interpreternw.nm.ru/Downloads/InterpreterNW.zip.
Вот возник такой вопрос:
PEid сказала Ste@lth PE 1.01 -> BGCorp.
Решил не отступать и попробовал снять. PEid теперь пишет Borland C++ 1999. Первый раз снимал, надеюсь первый блин не комом.
Проблема в том, что когда я гружу программу в Олю, она пишет что EP выходит за пределы кода.
Второе, что она пишет, это что кодовая секция сжата, криптована и т.д.
Может после снятия надо ещё что нить сделать или ещё какой секрет есть?

| Сообщение посчитали полезным:

Nukimi пишет:
Проблема в том, что когда я гружу программу в Олю, она пишет что EP выходит за пределы кода.

Это информационное сообщение, можно не обращать внимания

Nukimi пишет:
Второе, что она пишет, это что кодовая секция сжата, криптована и т.д.
Это только предположение отладчика. В незапакованных программах такого сообщения не будет,а в запакованых или даже распакованых будет. В распакованных программах оно может быть из-за того,что в дампе много мусора осталось из-за распаковки(иногда мусор можно вычистить ,иногда нельзя,но это только для эстетики). Поэтому распакованность легче всего проверять просто запустив дамп

| Сообщение посчитали полезным:

Распаковывал ты её скорее всего с помощью QuickUnpack? Для этой проги можно вообще больше ничего не делать после распаковки. Грузи её в IDA, там более понятно будет. По правилам ООП - первая форма в проекте является главной, поэтому в функции WinMain измени порядок создания форм (там сначала создается frmFlash, а потом frmMain, нам естественно надо будет поменять порядок) и программка начинает отлично запускаться. Останется только ещё в процедуре _TfrmMain_FormShow убрать проверку, после которой прога вырубается. И больше вроде бы никаких проблем нет

| Сообщение посчитали полезным:

tempread пишет:
Это информационное сообщение, можно не обращать внимания
Я бы на всё это не обращал конечно внимание, только вот беспокоят меня, скажем так, "прыгающие адресса"
Например:
//Эта строчка появляется, когда гружу программу
004017EC > EB 10 JMP SHORT interpre.004017FE
//А вот это появляется, когда я крутну чуть колесо мыши
004017EB 00EB ADD BL,CH
004017ED 1066 62 ADC BYTE PTR DS:[ESI+62],AH
И так во многих местах. Но самое противное, что при установке бряка вылазит сообщение что, бряк находится вне секции кода и он не сработает или повлияет на отлаживаемую программу. Бряки конечно срабатывают, но немного раздражает это сообщение.

tihiy_grom пишет:
Распаковывал ты её скорее всего с помощью QuickUnpack?
Распаковывал вручную. Всё ж учусь и хочется понимать процесс. "Распаковка: от самого простого к чуть более сложному" by MozgC [TSRh] помогла.

Спасибо за совет. Работает программа. Так как IDA практически не пользовался, хочу уточнить. IDA всегда для Borland C++ определяет всё так подробно? Другую программу скачал, тоже определил всё. А вот для других компиляторов не определяет так подробно.

| Сообщение посчитали полезным:

Если у тебя есть сигнатуры - то всё нормально определяется

| Сообщение посчитали полезным:

А реально ли в этой программе найти место обработки введённого ключа?

| Сообщение посчитали полезным:

Реально. Скачай DeDe, и в нём посмотришь все процедуры (а так же их адреса) в окне frmFlash, в том числе и процедуры кнопок и процедуры таймеров на форме

| Сообщение посчитали полезным:

DeDe разве не для Delphi?
У меня DeDe не определил ничего. Процедуры кнопок я нашёл ч/з IDA. Но это ничего не дало. Пытался ставить бряки на свой пароль в Memory Map. Не помогло. А при разборе процедуры кнопки, сдесь

00436B04 E8 1B7A0600 CALL interpre.0049E524

он заходит в ntdll и Terminated

| Сообщение посчитали полезным:

значит так, качаешь с моего сайта hellspawn.nm.ru/tools/xpelister_04b.zip открываешь в нём
распакованную прогу, потом жмёшь Tools->RepairPE->Minimum RepairPE всё)

там не дельфи, а Borland C++

з.ы. разраб с юмором

Found strings are, item 488
Address=0043BCC8
Disassembly=MOV EDX,dump_.005946A2
Text string=ASCII "HeavyMetal forever!!!"

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Скачал, попробовал - это типа какой то востановитель файлов?

Ну вроде трасировка идёт, но только если в
0049E535 JNZ
заменить на JZ

А в этой программе нет никаких антиотладок? А то я с ними ещё никогда не сталкивался и если она есть, то я врят ли её замечу.

| Сообщение посчитали полезным:

DeDe неплохо находит процедуры в программах, сделанных на Borland (хоть Borland Delphi, хоть Borland Cи) - так что не представляю, почему у тебя он ничего не показал.

| Сообщение посчитали полезным:

Nukimi пишет:
Скачал, попробовал - это типа какой то востановитель файлов?

не только, разбирайся, смотри прикольный инструмент для работы с ПЕ.
антиотладки вроде нету, но вот заломать врядли у тебя получиться

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
но вот заломать врядли у тебя получиться
Да мы ж. Да я ж...


Ну может тогда вектор дадите, что почитать, что поискать, чтоб всковырнуть программку? Хотя бы со временем всковырнуть. В каком направлении идти?

| Сообщение посчитали полезным: