Есть программка (выкладывать на всеобщий не могу) упакованная UPXом. Распаковал им же ну и как-бы не запускается - тупо идет на ExitProcess. Запускал в Ольге упакованную и руками распаковывал - результат тот же. Простой обход ExitProcess не помог... истина где-то глубже. Приаттачивается прекрасно ну и то что я задумал собственно сделал, но цель всетаки научиться а не тупо паламать... так что прошу подсказки. Еще пробовал поменять хексом байтик в заголовке упакованной - тоже выходит... вот думаю где-то есть проверка на целостность... но тут я что-то в тупик зашел.
Кто готов подсказать новичку скину прогу в личку (800кило)

Но и другое меня смутило... взял прогу левую и запаковал ее UPXом. проверил работает. Потом распаковал ее опять же UPXом - а она не работает. Взял другую - тоже самое. Я что то не догоню... распаковщик то вообще работает?

За тему прошу понять и простить

| Сообщение посчитали полезным:

Экстрасенсов здесь нет. Или выкладываешь или --> тебе сюда <--

| Сообщение посчитали полезным:

Ссылка для скачивания файла: http://rusfolder.com/42588557

| Сообщение посчитали полезным:

После возврата из 004CF96C должна вернуться единица.

| Сообщение посчитали полезным: Reversize

Чтоб человеку понятнее:
Бряк на CreateFileA (файл читать будет себя) , смотришь вызов
...
004CF9AD . E8 5EDEFFFF CALL <JMP.&IMAGEHLP.MapFileAndCheckSumA>
...

Название говорит само за себя.

Добавлено спустя 12 минут
а, ну и
004CF5F9 . 8B45 F4 MOV EAX, DWORD PTR [EBP-0xC]
004CF5FC . 8B55 F0 MOV EDX, DWORD PTR [EBP-0x10]
004CF5FF . E8 405BF3FF CALL <System.@LStrCmp>


знаменитое StrCmp в явном виде

-----
ds

| Сообщение посчитали полезным: Reversize

я думал там вообще StarForce - он ведь тоже упх пакуется

| Сообщение посчитали полезным:

Спасибо за помощь random и DimitarSerg! Уже есть над чем покурить.
Со System.@LStrCmp я разобрался еще на стадии аттача... а вот как найти чексум... не сталкивался никогда почти.
В любом случае выводы я походу правильно сделал в первом посте что идет проверка на целостность.
Осталось только догнать как обойти Но это я думаю справлюсь

Добавлено спустя 1 час 39 минут
Вроде обошел правкой двух джампов 004D2E77 и 004D2E84 - но хоть убейте не пойму что я сделал. Чисто на шару... уже некое чутье появляется у меня на всякие такие джампы...
Помогите пожалуйста с MapFileAndCheckSumA. Я не могу понять как она работает применительно к этой программе. MSDN вроде открыл но приложить к тому что вижу в отладчике не могу...

| Сообщение посчитали полезным:

Reversize а что непонятно? вот тут можно почитать http://www.delphikingdom.com/asp/viewitem.asp?catalogid=763

функция мапит PE файл и считает для него CRC потом в софте сравнивает с оригинальной.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Reversize пишет:
Вроде обошел правкой двух джампов 004D2E77 и 004D2E84
Предлагаю подумать. Смотри:



Усиленно думаем и наверное нужно что бы CALL 004CF96C ВСЕГДА возвращал AL == 1.
Окей, дальше нужно пропатчить функцию 004CF96C. Должно быть примерно так -> кладём в AL единицу и выходим из функции.
Поместить что либо в регистр можно через MOV .
Вернуться из функции можно через RET. А теперь подумай как это записать на асме и перенести в олю.

| Сообщение посчитали полезным:

vovanre, как излечить я понял и уже удачно излечил. Вариантов лечения навалом.
Я не могу понять как в отладчике увидеть как MapFileAndCheckSumA передаются параметры, куда она их вернет, где идет сверка с контрольной суммой которая записана в программе...
Вижу только что MapFileAndCheckSumA возвращает 0 - типа все ок. Но где сама црц?

| Сообщение посчитали полезным:

http://msdn.microsoft.com/en-us/library/windows/desktop/ms680355(v=vs.85).aspx

| Сообщение посчитали полезным: