Продолжается нешуточная борьба с разработчиками сабжа типа "кто - кого".
В последней версии они добавили проверку целостности исполняемого файла: любое изменение кода при попытке запуска приводит к появлению нага: "File corrupted!..", и прога закрывается не запустившись.
При попытке загрузить в Olly - такой же облом, однако в стеке можно увидеть, что наг вызывается API MessageBoxExW.
На обычные bp MessageBoxExW реакции нет - всё то же наг, причём и при попытке загрузить оригинальный (нетронутый) экзешник. На hardware bp оригинальный файл реагирует, там в точке останова много разных API, но при выборе MessageBoxExW - тот же вылет.

Как найти место, где обходится (отключается) защита целостности?

Olly в Win7 и пока только два плагина: CommandBar и StrongOD.

Конечная цель - распаковать сабж.

--> Victim <--

| Сообщение посчитали полезным:

Там в импорте куча длл, толку от экзешника нет.

Обнаружить загрузку можно несколькими путями, это стартап процедуры длл и тлс. Последний имеется в этом бинаре.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Там в импорте куча длл, толку от экзешника нет.
Вроде как зашито в экзешнике. Проверял так: экзешник последней версии вставлял в папку старой - не запускается. И наоборот: старый экзешник в новой папке работает исправно.

| Сообщение посчитали полезным:

.vmp0
.vmp1

| Сообщение посчитали полезным: Chris

Chris
пользуйся готовым или разбирайся в патче крк вмпрота3

| Сообщение посчитали полезным:

r99 пишет:
.vmp0
.vmp1

Спасибо за инфо!!
В голову и прийти не могло - там всю жизнь был ASProtect...

Jaa пишет:
пользуйся готовым или разбирайся в патче крк вмпрота3

Спасибо! Готовый мне не нужен, буду разбираться с LCF-AT...

| Сообщение посчитали полезным: