При открытии проги в OllyDbg появляится окно с надписью A debugger has been found running in your system.
Please, unload it from memory and restart your program.


Я так понимаю- это прога раскрыла что она в отладчике и все.
Текст что в окне в самой программе отсуцтвует, во всяком случае через
SEARCH FOR-ALL REFERENCED TEXT STRING
надпись не, находитса.

CreateWindow Не находитса тоже. (в Names.)


Друзья и просто форумчане, в каком направлении искать? Как создаётся окно?

Ведь это же сообщение, что программа обнаружела дебаггер- отладка накрылась, да?

9f89_07.09.2014_EXELAB.rU.tgz - Сообщение.JPG

| Сообщение посчитали полезным:

Забей, не осилишь. Лучше сразу в запросы кидай

| Сообщение посчитали полезным:

Не знаю.. Если можно, все таки посоветуйте.

| Сообщение посчитали полезным:

Рано тебе еще ВМпрот ковырять.

| Сообщение посчитали полезным:

Матчасть слабовата у Вас. Занимайтесь базой, только потом лезьте анпакать/патчить вмпрот.

| Сообщение посчитали полезным:

Да вобщем знаю я.. Но хочу попробовать.

..Вот окно с надписью той. Можно к нему скажем привязатся? Чем оно создается?

Появляется текст этот для ввода в окно, стало быть на каком то этапе. Кажетя, можно брякнуться бы где то было. Думаю...

| Сообщение посчитали полезным:

Это стандартное окно VMProtect. Кроме VMP там еще есть сюрпризы, так что лучше через годик вернуться к этому с новыми знаниями.

| Сообщение посчитали полезным:

Представь, что ты механик, который всю сознательную жизнь работал с москвичами, а тут тебе пригоняют бугатти. Вроде и колеса тоже круглые, и руль слева и даже двери так же открываются, но это не москвич! И твоих знаний по работе с москвичами не хватит для ремонта бугатти.

Поэтому у тебя есть 2 варианта:
1) Ты отправляешь эту бугатти в сервис, где ее смогут отремонтировать https://exelab.ru/f/action=vthread&forum=1&topic=17633
2) Либо идешь учиться и приобретать знания в данной области https://exelab.ru/art/ https://exelab.ru/rar/

| Сообщение посчитали полезным: Dimon-tseburaska

Пытаюсь поставить брейкпойнт на ShowWindow.

как в OllyDbg 2.1 астроить сохранение брейкпойнта после рестарта?

Добавлено спустя 1 минуту
Ага, ответ выше вижу.

Добавлено спустя 7 минут
2) Либо идешь учиться и приобретать знания в данной области https://exelab.ru/art/ https://exelab.ru/rar/



Web site has rejected a request to display the web page HTTP 403

Добавлено спустя 15 минут
Все, всюду вхожу.

| Сообщение посчитали полезным:

Dimon-tseburaska пишет:
Все, всюду вхожу.
После этой фразы я упал с кресла.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: sivorog

Vovan666 пишет:
Рано тебе еще ВМпрот ковырять.
Вот вместо этого лучше бы посоветовал бы ему фантом плагин поставить. Также зайти в тему про вмпрот, там есть парочка туторов по снятию этого прота. По антиотладке там вроде IsDebuggerPresent, ZwSystemInformationProcess.

Большая база статей по протам есть на tuts4you.

| Сообщение посчитали полезным: Dimon-tseburaska

kola1357 пишет:
Вот вместо этого лучше бы посоветовал бы ему фантом плагин поставить.
Всё ему верно подсказали. Если человек создает тему " A debugger has been found running in your system." и речь о ВМП, то прикиньте, что будет дальше, начиная с проблем с распаковкой (скриптом конечно, руками вообще молчу) и заканчивая тем, что он увидит после распаковки в коде

По первому посту понятно, что тут до ковыряния ВМПрота пару лет скиллы подымать.

Добавлено спустя 3 минуты
p.s. после переезда смайлы "поломались" ?! Что за х... ?

-----
ds

| Сообщение посчитали полезным:

DimitarSerg пишет:
ВМПрота пару лет скиллы подымать
Мы рождены чтоб сказку сделать былью/////

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: plutos, sivorog

DimitarSerg пишет:
скриптом конечно
Ну вот сначала скриптом научится, а потом и скрипт изучит, если надо.
DimitarSerg пишет:
По первому посту понятно
Не факт, на сайте особо нигде не пишут какие функции антиотладки использует такой-то прот. Поэтому и возникают вопросы.

| Сообщение посчитали полезным:

DimitarSerg пишет:
p.s. после переезда смайлы "поломались"
Все из-за принудительного ssl.
kola1357 пишет:
Не факт, на сайте особо нигде не пишут какие функции антиотладки использует такой-то прот.
Ну так для этого руками и исследуются защищенные софты, чтобы понять где, как и что.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject пишет:
Ну так для этого руками и исследуются защищенные софты
Для этого лучше под апи-монитором смотреть какие прога апи использует, а потом уже решать тактику обхода. Только хорошо бы, чтобы про каждый прот висела инфа на сайте, в том числе и про функции антиотладки.

| Сообщение посчитали полезным:

kola1357 пишет:
Для этого лучше под апи-монитором смотреть какие прога апи использует, а потом уже решать тактику обхода. Только хорошо бы, чтобы про каждый прот висела инфа на сайте, в том числе и про функции антиотладки.
Есть такой прот.Могу в скайпе скинуть.Там чисто есть перечень антиотладочных апи, которые можно задействовать.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: kola1357

kola1357 пишет:
Для этого лучше под апи-монитором смотреть какие прога апи использует, а потом уже решать тактику обхода. Только хорошо бы, чтобы про каждый прот висела инфа на сайте, в том числе и про функции антиотладки.
Не все антиотладочные методы являются API-BASED, вам следует это учитывать при реверсе ПО.

| Сообщение посчитали полезным: ARCHANGEL

Спасибо!!

Для этого лучше под апи-монитором смотреть какие прога апи использует, а потом уже решать тактику обхода.

Ого!!!!!! посмотрел

Там 1817 разных вызовов- вот это прикол- огого....

Ну вот к примеру

29d9_15.09.2014_EXELAB.rU.tgz - Logfile.CSV

| Сообщение посчитали полезным: