При анализе программы с помощью OllyDBG происходит остановка на строке Call MSVBVM60. Вызывается, как я понял, ThunRTMain. Дальнейшие попытки трассировки не дают результата, т.к. анализируемая программа не вызывается.
1. Значит ли это, что программа написана на VB
2. Применим ли для исследования такой программы OllyDBG или применить что-нибудь другое
3. Что можно почитать в этой ситуации, в частности, о MSVBVM60. dll и ThunRTMain
4. По возможности, подскажите алгоритм действий на 1-м этапе
5. Где и что можно почитать о крекинге программ, написанных на VB

| Сообщение посчитали полезным:

kservice пишет:
1. Значит ли это, что программа написана на VB
значит
kservice пишет:
Применим ли для исследования такой программы OllyDBG или применить что-нибудь другое
если не пикод то ни чего другого и не нужно
kservice пишет:
По возможности, подскажите алгоритм действий на 1-м этапе
зависит от ответа на второй вопрос и от того что конкретно тебе нужно сломать!
kservice пишет:
Где и что можно почитать о крекинге программ, написанных на VB
У краклатинос полно туторов про этот хлам на AR Team посмотри там была неплохая серия трюков
kservice пишет:
Дальнейшие попытки трассировки не дают результата, т.к. анализируемая программа не вызывается.
так ты чего F7 тычешь? ;)

| Сообщение посчитали полезным:

Декомпиль лучше поюзай, от ГПЧ в частности, он скажет, P-Code там или натив. Если натив-можно и олькой работать. Если пикод-проще в декомпиле. Ну и выложить прогу не помешает.

| Сообщение посчитали полезным:

pavka пишет:
если не пикод то ни чего другого и не нужн
как узнать?
pavka пишет:
и от того что конкретно тебе нужно сломать!
сломать - громко сказано. Скорее всего убедиться в том, что я ничего не смогу сделать. А программа эта CAPS 3.8. Пока хотелось бы определиться, где и что она смотрит в реестре при инсталляции. Не могу нормально установить. В инете решения своих проблем не нашел
pavka пишет:
про этот хлам на AR Team посмотри
Подскажи адрес. Поиск дает слишком много страниц
pavka пишет:
так ты чего F7 тычешь? ;)
Имелось ввиду нажатие F9. Назначение F7 знаю

| Сообщение посчитали полезным:

Archer пишет:
Декомпиль лучше поюзай, от ГПЧ в частности, он скажет, P-Code там или натив
По-моему ясно, что я новичок в этом вопросе, поэтому желательно, что бы ответы были написаны без жаргона. "Декомпиль от ГПЧ " - это декомпилятор, а какой и где скачать?
Archer пишет:
Ну и выложить прогу не помешает.
В архиве это около 100 МБ, если полностью (setup 55kb, exe -316). Что выложить?

| Сообщение посчитали полезным:

kservice пишет:
про этот хлам на AR Team посмотри
Подскажи адрес. Поиск дает слишком много страниц
Этот вопрос снят. Сайт нашел, изучаю

| Сообщение посчитали полезным:

kservice
VBReFormer Professional
vb_decompiler_pro_v3.2
Поройся ты в поисковиках, там много чего можно найти про VB

| Сообщение посчитали полезным:

tihiy_grom
Спасибо, что "научил" пользоваться поисковиком. Мне нужно было только правильное название программы. У него есть какие-нибудь бесплатные аналоги? Если есть советы по-существу, буду рад. Флуд разводить не хочется. Может есть желающие посмотреть на програмку поближе и помочь реально?
Да, PEid показывает, что это VB 5/6. Чем и как посмотреть насчет p-codes?

| Сообщение посчитали полезным:

kservice пишет:
"Декомпиль от ГПЧ " - это декомпилятор, а какой и где скачать?

--> Йа ссцылко <-- http://www.vb-decompiler.org/

kservice пишет:
(setup 55kb, exe -316
Эм, это как? Что то у меня с математикой не то... 55 Кб - Килобайты, не много... 316 - хз что... С любыми приставками складывал эти 2 числа (55 Кб + 316 [Kb, Mb, Gb, Tb]), но так в результате 100 метров не вышло...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
С математикой у тебя как раз ТО. Дистрибутив может быть кроме setup еще что-то содержит, как думаешь? 316 - это Kb.

| Сообщение посчитали полезным:

kservice пишет:
Чем и как посмотреть насчет p-codes?
В ольке открой секцию кода

| Сообщение посчитали полезным:

kservice, ппц, ну залей ты наконец уже эти файлы! Как я понял, там и метра не наберется

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

kservice пишет:
Чем и как посмотреть насчет p-codes?
DiE может показать что там пикод или натив.

| Сообщение посчитали полезным:

KingSise пишет:
kservice, ппц, ну залей ты наконец уже эти файлы! Как я понял, там и метра не наберется
Вот это уже разговор.

4f28_20.03.2008_CRACKLAB.rU.tgz - Setup.exe

| Сообщение посчитали полезным:

В конце инсталляции появляется надпись SEVERE с красным крестом (типа пи...ц). А после запуска программы сообщения типа CopyControl protection error-28. Мои предположения, что это реакция на бесплодные попытки установки в прошлом. Кроме того, есть ограничения по времени. И хотя перед каждой инсталляцией чистил реестр и менял системную дату - результат один и тот же. Вот я и решил покапаться в надежде найти те разделы реестра, куда она обращается.

c1a5_20.03.2008_CRACKLAB.rU.tgz - CAPS31.exe

| Сообщение посчитали полезным:

Вот так выглядят сообщения

b143_20.03.2008_CRACKLAB.rU.tgz - Установка CAPS.rar

| Сообщение посчитали полезным:

А с чего ты взял, что она к реестру обращается? =)
RegMon, FileMon тебе в руки, если уж ты решил посмотреть реестр.

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

Executioner пишет:
А с чего ты взял, что она к реестру обращается?
Это мои домыслы и результат анализа форумов, посвященных этой программе
Executioner пишет:
RegMon, FileMon
Вечером попробую, не догадался.

| Сообщение посчитали полезным:

Не утерпел, попробовал (надо бежать на работу). Вопрос: можно ли поставить в RegMon какой-нибудь фильтр, так чтобы наблюдать только один процесс (речь о setup), так чтобы точно отследить начало обращений к реестру? Вечером конечно посмотрю подробно Help.

| Сообщение посчитали полезным:

Чё там смотреть, когда RegMon запускаешь, сразу же окошко фильтра выскакивает. Там и пиши имя экзешника

| Сообщение посчитали полезным:

tihiy_grom прав. И кнопочка фильтра там есть.

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

Ничего полезного для себя с помощью RegMon и FileMon я найти не смог. Тот же результат от VBdecompilerGPcH_lite. Не хватает силенок. Кто-нибудь смотрел файлы?

| Сообщение посчитали полезным:

На счет VBdecompilerGPcH_lite я поспешил. Попался какой-то неправильный VBdecompilerGPcH_lite всего 390KB в архиве. Скачал новый, версия 3.4. Разбираюсь. Куда все пропали?

| Сообщение посчитали полезным:

Спать все пошли. Или все должны ночевать в этом топике? Хорош посты плодить, есть кнопка правка, учитесь пользоваться, чтоб подряд посты не фигачить, а то я буду править, а это чревато снижением ранга.

| Сообщение посчитали полезным:

Есть такая программа WKTVBDE от Mr.Silver . Скачал, открываю в ней CAPS31.exe. После этого появляется
сообщение

Compiled with VB6
Address of table 1: 402ed4
Searching at \SYSTEM directory ...
-->VM Located on SYSTEM directory.
Offset Of Opcode Table: 734dfa58
Version: 6.00.9690
File loaded sucessfully press the RUN button to run the debugger.

нажимаю RUN, запускается CAPS, а WKTVBDE не переходит в режим отладчика и зависает. В чем проблема и что я делаю неправильно?

P.S. Может та программа, которая у меня, это не отладчик (хотя в ссылках для скачивания названа отладчиком)? В окне About написано: P-code Loader v.4.2 by Mr.Silver Mr.Snow. Если это не отладчик, то подскажите ссылку.

| Сообщение посчитали полезным:

Archer пишет:
Спать все пошли.
Спите и дальше. Спокойной ночи

| Сообщение посчитали полезным:

WKTVBDE это отладчик, да. Нужно закрыть все сообщения достаточно быстро, тогда запустится отладка, иначе программа стартует сама. Но он вроде только для win98.

| Сообщение посчитали полезным: