Помогите убрать наглый наг

Сейчас на форуме: asfa, bartolomeo (+7 невидимых)

Посл.ответ	Сообщение
evggrig Ранг: 19.9 (новичок), 31thx Активность: 0.03↘0.01 Статус: Участник	Создано: 05 июля 2012 10:37 · Личное сообщение · #1 Есть програмулина 10-Strike Connection Monitor 3.01r http://www.network-map.com/download-rus/connectionmonitor-pro.exe После распаковки ASProtect в эбауте пишется что прога зарегистрирована. ПРи патче по адресу 00521A84 условного перехода на безусловный получается вечный триал. Все вроде хорошо но мешает наг. Подскажите пожалуйста пошагово как отловить его появление?

Konstantin Ранг: 42.9 (посетитель), 33thx Активность: 0.04↘0 Статус: Участник	Создано: 05 июля 2012 11:55 · Поправил: Konstantin · Личное сообщение · #2 Поставь бряки в районах пошифрованных кусков кода. Так отловишь место где надо патчить. evggrig пишет: После распаковки ASProtect в эбауте пишется что прога зарегистрирована. Она и триальная пишет что зарегистрирована, когда первый раз смотришь эбаут. Если открыть окно повторно, то она уже незарегистрирована.
sivorog Ранг: 49.7 (посетитель), 19thx Активность: 0.05↘0 Статус: Участник	Создано: 05 июля 2012 12:11 · Поправил: sivorog · Личное сообщение · #3 -
Konstantin Ранг: 42.9 (посетитель), 33thx Активность: 0.04↘0 Статус: Участник	Создано: 05 июля 2012 12:14 · Поправил: Konstantin · Личное сообщение · #4 sivorog пишет: криптованного кода вроде нет Да ну? Там вся защита на нём построена, восстанови код и прожка зарегистрирована. Пристутствуют два куска.
evggrig Ранг: 19.9 (новичок), 31thx Активность: 0.03↘0.01 Статус: Участник	Создано: 05 июля 2012 12:17 · Личное сообщение · #5 Если код не покриптован наг можно убрать изменив переходы. Тут это не получается.
sivorog Ранг: 49.7 (посетитель), 19thx Активность: 0.05↘0 Статус: Участник	Создано: 05 июля 2012 12:18 · Поправил: sivorog · Личное сообщение · #6 -
AKAB Ранг: 79.4 (постоянный), 183thx Активность: 0.11↘0 Статус: Участник	Создано: 05 июля 2012 12:18 · Поправил: AKAB · Личное сообщение · #7 наг 004907FB /75 0A JNZ SHORT ConnMon_.00490807 to >>>>> jmp -------- or 005076F4 FF92 EC000000 CALL DWORD PTR DS:[EDX+EC] to >>>>>>>> nop
Konstantin Ранг: 42.9 (посетитель), 33thx Активность: 0.04↘0 Статус: Участник	Создано: 05 июля 2012 12:25 · Личное сообщение · #8 AKAB Так не интересно, слил весь компромат.
evggrig Ранг: 19.9 (новичок), 31thx Активность: 0.03↘0.01 Статус: Участник	Создано: 05 июля 2012 12:41 · Личное сообщение · #9 AKAB Запускается но нет значка в трее как в непатченом варианте И если в 2 словах как добрались к этому переходу?
AKAB Ранг: 79.4 (постоянный), 183thx Активность: 0.11↘0 Статус: Участник	Создано: 05 июля 2012 13:01 · Личное сообщение · #10 evggrig пишет: Запускается но нет значка в трее как в непатченом варианте И если в 2 словах как добрались к этому переходу? tutorial just for your pass=123e http://ar.rghost.net/39048040 \| Сообщение посчитали полезным: evggrig
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 05 июля 2012 13:05 · Личное сообщение · #11 sivorog пишет: с 00521430 по 005218FF - крипто Это таблица инициализации Code: /507690/ MOV EAX,[EBP-4] /507693/ MOV EAX,[EAX+3D4] /507699/ MOV EAX,[EAX+68] /50769C/ CALL 005165F8 /5076A1/ JMP 005076CF =========>JMP 005076FA ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
evggrig Ранг: 19.9 (новичок), 31thx Активность: 0.03↘0.01 Статус: Участник	Создано: 05 июля 2012 13:26 · Поправил: evggrig · Личное сообщение · #12 В службе никаких проверок нету? Файл CMsrvc. Зачем-то его тоже накрыли ASProtect /5076A1/ JMP 005076CF =========>JMP 005076FA Отлично! И нага нет и значек в трее появился.
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 05 июля 2012 13:34 · Личное сообщение · #13 evggrig пишет: Зачем-то его тоже накрыли ASProtect Просто надо уметь правильно накрывать протом программы ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

Для печати