Собственно может что посоветуете.

Работаю с Olly, программка защищена сабжем, пытаюсь снять защиту (защищен только код).
В режиме отладчика дошел до предполагаемого OEP (пару операндов собственно до самого запуска ПО), снял дамп, поправил импорт с помощью Import Reconstructor.

теперь собственно о проблемках:

1. При попытке запуска востановленный из дампа файл циклится в памяти одной из подгруженных DLL., если в режиме отладки уже ломаной программы ставлю туда RET, все запускается.

2. Собственно сам pc гард., скачал, запаковал мой условно рабочий дамп (странно, при запаковке говорит что он уже защищен), после этого чудо он стал запускаться без манипуляций в отладчике.

Собственно про востановленный из дампа файл, при запуске уже могу работать с LikeRusXP Localization ,
появились все формы и текст, но снова фигня какаято, при изменении текста файл становится не исполняемым.

| Сообщение посчитали полезным:

webzzter пишет:
При попытке запуска востановленный из дампа файл циклится в памяти одной из подгруженных DLL
поставь бряк на CreateFile открывает ли дамп сам себя. у меня была похожая ситуация и именно с pc guard, зависал гдето в imagehlp

-----
zzz

| Сообщение посчитали полезным:

да, в imagehlp где то висит.

| Сообщение посчитали полезным:

тут мне подсказали что
крипто еще снять нужно попутно, может тоже мешать, вот только не совсем понял, где-то говорят что их просто NOP'ом забиваешь и все.

00494596 6A 1E PUSH 1E
00494598 E8 C0C70000 CALL file.004A0D5D
0049459D 68 FF000000 PUSH 0FF
004945A2 E8 077F0000 CALL file.0049C4AE

| Сообщение посчитали полезным:

Файл где? И твои наработки тоже где? Нам гадать?
И кнопка Правка тут есть.

| Сообщение посчитали полезным:

файл любой, просто решил поучиться именно с этой защитой, хоть calc.exe запаковать.
наработки, сделаю сегодня флеш видео, могу выложить.

мне самому интересно, если кто-то сломает за меня, так ничему и не научусь.

| Сообщение посчитали полезным:

webzzter пишет:
да, в imagehlp где то висит.
я говорю он открывает сам себя и чекает на распакованность. попробуй подсунь в крэйтфаил оригинальныйй exe и зависона не должно быть.

-----
zzz

| Сообщение посчитали полезным:

файл нашел, в нем вообще не OEP выхожу, делаю дамп, смотрю PEID - написано что защищен.

вот сообственно само по которое пробую рассмотреть и скрин выхода на OEP (похоже что подставной):

поправил файлы (включил DLL), лежат на моем сервере (так удобнее напрямую скачивать)

http://195.88.192.4/olly1.JPG
http://195.88.192.4/test.rar

| Сообщение посчитали полезным:

Во-первых, есть подозрение, что ОЕП не тот.
Во-вторых, файл не запускается и просит длл. Неужто нельзя было его упаковать в архив, не все горят желанием сливать по метру, и проверить, рабочий ли он вообще.
В-третьих, нельзя ли юзать нормальные обменники, а не непонятные компы с непонятно чем?

| Сообщение посчитали полезным:

судя по фоту прога написана MSVC++8,9 оеп ты немного проскочил в стеке лежит адрес возврата через который можно выйти на него
00499D4E

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

код по трейсу до самого 499D4E не доходит, предполагал что это 4A3E37

| Сообщение посчитали полезным:

499D4E oep, всё там нормально останавливается.
Часть кода накрыта ВМ, косяки скорее всего в нём.

| Сообщение посчитали полезным:

где то пролетало что после установки на OEP куски функций дешифрации находятся под по маске push xx, call адрес... #68????0000E8????1E00#.

по части кода сразу выхожу на :
00499B6E 6A 60 PUSH 60
00499B70 68 78234D00 PUSH 004D2378
00499B75 E8 76230000 CALL 0049BEF0
00499B7A 8365 FC 00 AND DWORD PTR SS:[EBP-4],0
00499B7E 8D45 90 LEA EAX,DWORD PTR SS:[EBP-70]
00499B81 50 PUSH EAX
00499B82 FF15 CC914B00 CALL DWORD PTR DS:[4B91CC] ; kernel32.GetStartupInfoA
00499B88 C745 FC FEFFFFF>MOV DWORD PTR SS:[EBP-4],-2

но это как бы непохоже на требуемый вызов декрипта .


особо не ругайте, патаюсь вспомнить старое, последний раз этим занимался более 10 лет назад.

| Сообщение посчитали полезным: