Нужно отловить момент чтения значения(REG_SZ) из реестра. RegQueryValue(Ex) - мимо.
Можно ли это зделать в OllyDbg, если значение точно известно? Если да, то как?

| Сообщение посчитали полезным:

для начала отследи при помощи ProcessMonitor http://download.sysinternals.com/Files/ProcessMonitor.zip , какая конкретно ф-ция читает значение из реестра - а потом уже смотри где она в проге вызывается

-----
EnJoy!

| Сообщение посчитали полезным:

Дело в том, что когда прога запакована значение читает - RegQueryValueEx. Но когда я прогу распаковал в нужный момент эта функция больше не ловится. Наверное плохо распаковал? Лучше не могу.
Как то же это значение читается? Так что, вопрос остаётся.

| Сообщение посчитали полезным:

т.е. ты хочешь сказать, что при запуске распакованной программы, ProcessMonitor больше не показывает, что прога читает это значение?
у меня ощущение, что ты ProcessMonitor даже не запускал ))

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter
Не запускал. Сейчас попробую.

| Сообщение посчитали полезным:

Process Monitor requires Windows XP SP2 or higher.
т.е. ты хочешь сказать, что при запуске распакованной программы, ProcessMonitor больше не показывает, что прога читает это значение?
Я хочу сказать, что Breakpoint в запакованной проге срабатывает на нужном RegQueryValueEx, а в распакованной - нет.

| Сообщение посчитали полезным:

vg пишет:
а в распакованной - нет
А ты таблицу импорта востонавливал? И как вариант ставь BP название функции потом дойдешь до ретн и ты в проге откуда функция вызвалась.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

vg пишет:
Process Monitor requires Windows XP SP2 or higher.

поддерживаемые ОСи:
Process Monitor runs on Windows 2000 SP4 with Update Rollup 1, Windows XP SP2, Windows Server 2003 SP1, and Windows Vista as well as x64 versions of Windows XP, Windows Server 2003 SP1 and Windows Vista.

если у тя по какой-то причине не установлен SP2 на XP, то используй не Process Monitor http://technet.microsoft.com/ru-ru/sysinternals/bb896645(en-us).aspx , а RegMon http://technet.microsoft.com/ru-ru/sysinternals/bb896652(en-us).aspx .

RegMon works on Windows NT/2000/XP/2003, Windows 95/98/Me and Windows 64-bit for x64.

Download Regmon (271 KB) http://download.sysinternals.com/Files/Regmon.zip

vg пишет:
Я хочу сказать, что Breakpoint в запакованной проге срабатывает на нужном RegQueryValueEx, а в распакованной - нет.
вероятно, что данная ф-ция используется протектором, если в распакованном файле она не вызывается.
напиши, о какой программе идёт речь.

-----
EnJoy!

| Сообщение посчитали полезным:

Stack пишет:
А ты таблицу импорта востонавливал?
Востановил.
Stack пишет:
И как вариант ставь BP название функции потом дойдешь до ретн и ты в проге откуда функция вызвалась.
Я так и делаю.
Jupiter
RegMon показал, что в запакованной проге значение читается, а в распакованной - нет.
Как такое может быть?
Пакер по версии PETools - ASProtect 1.22 - 1.23 Beta 21
Ещё хочу добавить, что пакер работает следующим образом: распаковка(27 исключений) => показ нага => распаковка(2 исключения).
Для регистрации нужно ввести серийник после чего перезагрузить прогу. Серийник сохраняется в реестре. Во время запуска перед показам нага прога читает ключ с серийником из реестра и проверяет его валидность.
Самому в ручную распаковать не получается. Руководствуясь статьёй Распаковка ASProtect 1.22 - 1.23 Beta 21 для начинающих нахожу OEP. Импорт восстановить не получается. Тем более, что непонятно как OEP может находиться перед показам нага, если после нага продолжается распаковка.
Частично удалось распаковать при помощи Stripper 2.11 RC2 – показывается наг, после нажатия «далее» прога вылетает.

| Сообщение посчитали полезным:

vg пишет:
если после нага продолжается распаковка.
Скорее всего серийником занимаеться сам ASProtect. Гдето на сайте я видел статью на подобную тему

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным: