Имею минимальный опыт начинающего в деле риверсинга, поэтому прошу не судить строго, если мои вопросы кому-то покажутся тупыми.
При исследовании “экзешника” русифицированной проги в Hacker`s Disassembler, он показывает мне как русские, так и английские строки и диалоги. Интересующий меня диалог на русском и имеет ID - 12C4. Загружаю этот файл в “Ольку”, но нахожу строки только на английском, хотя ищу как в ASII так и в UNICODE. Куда исчезают строки на русском?
Как мне отловить в отладчике обращения к диалогу, если я знаю его идентификатор? Или в моем случае это невозможно и ID – 12C4 мне ничего не дает?

| Сообщение посчитали полезным:

Svan пишет:
Как мне отловить в отладчике обращения к диалогу

Ставь бряк на CreateDialogParamA(W) :

HWND CreateDialogParam(
HINSTANCE hInstance,
LPCTSTR lpTemplateName,
HWND hWndParent,
DLGPROC lpDialogFunc,
LPARAM dwInitParam
);

Если lpTemplateName равен 0x12C4, то будет создан твой диалог.

| Сообщение посчитали полезным:

>>Как мне отловить в отладчике обращения к диалогу, если я знаю его идентификатор? Или в моем случае это невозможно и ID – 12C4 мне ничего не дает?

можно еще поискать инструкцию push 12C4 в ольке. Если ничего не даст, то можно искать не инструкцию, а константу - 12C4. По близости должен быть вызов функции создания диалога )

| Сообщение посчитали полезным:

Спасибо, дали новый толчок для исследований. А то за неимением опыта зашел в тупик. И все-таки интересует вопрос - почему олька не показывает мне русских строк?

| Сообщение посчитали полезным:

>> почему олька не показывает мне русских строк?

Поставь в Appearance->Font->Couirer (UNICODE)

| Сообщение посчитали полезным:

Бряк на CreateDialogParam не срабатывает. Удалось найти несколько команд PUSH 12C4.
Ниже обязательно идет вызов некой функции MovieEdi. Описания не смог найти, буду разбираться. Шрифты в ольке менять пробовал – русских строк все равно не нахожу.

| Сообщение посчитали полезным:

Тогда прогу выкладывай.
Кстати, имя твоего экзешника случайно не с MovieEdi начинается

| Сообщение посчитали полезным:

Точно! Прога называется Magic Video Deluxe, а вот экзешник MovieEdit. Начинаю тупить. Видимо надо сделать перерыв. Ну а прогу рад бы выложить, да вот инсталлятор весит около 120 MB. Для моего диалапа неподъемно. Сей видеоредактор лежит на диске к журналу Computer Bild № 16 за 2008 год и имеет триал на 60 суток. Хотел это дело подправить, но видимо пока мне это не по зубам.

| Сообщение посчитали полезным:

Svan пишет:
Прога называется Magic Video Deluxe
Может ты имел в виду MAGIX Video deLuxe (версия наверно 13 или 14)?

Svan пишет:
Ну а прогу рад бы выложить, да вот инсталлятор весит около 120 MB
Значит просто экзешник пока выложи. Кстати, нормальная версия этой проги весит как минимум на порядок больше

| Сообщение посчитали полезным:

Да, именно эту прогу я и пытаюсь ковырять. MAGIX Video deLuxe 14. _ruzmaz_ , извиняй может опять задаю дурацкий вопрос, а выложить то куда? А то качать то файлы я качаю, а вот заливать ни разу еще не приходилось.

| Сообщение посчитали полезным:

Заходи, допустим, на rapidshare.com/ -> кнопка "Обзор" -> выбирай файл -> кнопка "Upload" -> жди ссылку
Либо здесь в аттач помещай (если влезает)

| Сообщение посчитали полезным:

Был в командировке, поэтому не мог сразу ответить. Похоже, что рапида rar архивы не поддерживает, а незархивированный exe весит около 15 MB. Оченочное время загрузки - около 30 часов! Вообщем архивный экзешник удалось залить сюда: www.ziddu.com/download/6170544/MovieEdit.rar.html

| Сообщение посчитали полезным:

Что за диалог тебе нужен? А то что-то в этом экзешнике диалога с id=12C4 я не вижу.
Так или иначе, попробуй поставить бряк на 00616B50 и смотри последний помещенный в стек параметр - там находится id диалога, который должен быть создан.

| Сообщение посчитали полезным:

Ок. Спасибо! Как я могу приаттачить screen shot's в свои ответы, так мне было бы проще объяснять?

| Сообщение посчитали полезным:

жми кнопку с разноцветными фигурками ))) над полем для ввода ответа и вставляй ссылку на скрин между тэгами
Но можно и в аттач поместить, конечно.

| Сообщение посчитали полезным:

Svan пишет:
Что за диалог тебе нужен? А то что-то в этом экзешнике диалога с id=12C4 я не вижу.
Это диалог о неправильно введенном коде активации. Я пытался отыскать место в проге , где выводится окно с этим диалогом, так как оно не MessageBox. И вроде как нашел , это вызов процедуры по адресу 0040EF52 . Пытаюсь ее анализировать, но благополучно в ней тону.
Вообщем, как пишет CyberManiac : “чтобы прибрести опыт, нужно ломать программы….а ломать их не получается из-за недостатка опыта.

| Сообщение посчитали полезным:

Ясно, это диалог 0x1331. Анализировать функу 00CCC810, вызывающуюся с 0040EF52 не стоит - она стандартная, вызывается для многих диалогов из этого экзешника. Лучше посмотри при каких условиях вызывается функа 0040EEB0 (в ней вызовы функ 00616B50 и 00CCC810 для нужного диалога 0x1331).

| Сообщение посчитали полезным:

Подскажите, можно ли прицепить Run Script ... на горячую клавишу?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Подскажите ка пропатчить Олли, что бы бряк на память ( BP ON ACCESS ) был только по исполнению, а то у Нарвахи упоминание есть..... а как сделать?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

срaвни кaк сдeлaно у Рикa и пропaтч в чём проблeмa?

| Сообщение посчитали полезным:

Насколько я понял у Рикка патч был не только для этого, но и для скрытия от обнаружения , во вторых у меня Олли совсем другая и вычислять разницу из разници, видимо не получится, либо это большой гемморой, хотелось бы получить "готовый рецепт" , где, как и почему.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

43022D нопишь этот пeрeход и будeт бряк нa исполнeниe.
gena-m пишет:
Сасибо
Незачто

| Сообщение посчитали полезным:

Выложил rghost.ru/1339791

Обалдеть, работает. Сасибо NikolayD

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Зравствуйте. Подскажите как в Ольке сделать чтобы она по умолчанию показывала в окне регистров именно отладочные регистры. Правую кнопку мыши не предлагать об этом я и сам знаю, просто может есть какая опция или ини файл подправить.

| Сообщение посчитали полезным:

Ещё один лентяй а самому посмотреть не судьба? Тебе же интересней будет.



В есх должна быть 4, уже это то сделать сможешь.

| Сообщение посчитали полезным:

NikolayD большущее спасибо выручил!

| Сообщение посчитали полезным:

У меня вопрос.
При открытии программы в OLLY появляется сообщение "Bad or unknown of 32-bit executable file" , что это значит?

и еще "OllyDbg is unable to attach to process 000005A4 as a "just-in-time" debugger".

| Сообщение посчитали полезным:

Bad or unknown of 32-bit executable file
Олли говорит что ты ей подсовывываешь не 32-битный исполняемый файл, но это не значит что он таковым является, это легко проверить если система его запускает нормально.
Второе высказывание что Олли не может подключится к процессу как системный отладчик.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

sfd43 пишет:
Bad or unknown of 32-bit executable file
В PeTools запихни exe и посмотри значение Number of Rva and Sizes. Если оно большое тогда эт антиотладко. выстави соответствующую галку (Kill NumOfRvaBug) в плаге Olly Advanced или поменяй значение на 10.

| Сообщение посчитали полезным:

MasterSoft
PEToois показал, что этот параметр =10, а где взять плагин Olly Advanced, не могу найти? Дайте, пожалуйста, ссылку.

| Сообщение посчитали полезным: