Добрый день, ситуация следующая - исследую защиту одной игры. При наличии ПО выскакивает мессаджбокс с текстом, что обнаружено ПО.
Что интересно - текст мессаджбокса (и собственно код(лежит за пределами секции кода), который показывает сообщение) появляется в памяти только при запущеном ПО, причём еще до точки входа.

код примерно такой

Откуда передается управление я понять не могу. Искал в памяти адрес, где срабатывает бряк, но ничего не нашёл..

| Сообщение посчитали полезным:

tls

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: just_simple

just_simple

Вы хотите узнать загрузчик, опенсурсный и его механизмы ?

-----
vx

| Сообщение посчитали полезным:

void были мысли, что что то подобное. как с таким бороться? есть где нибудь почитать об этом?
difexacaw меня интересует механизм работы защиты по большему счёту. загрузчик врядли опенсурсный. длл, в которой реализован модуль защиты накрыт starforce-ом.

| Сообщение посчитали полезным:

just_simple пишет:
есть где нибудь почитать об этом?

https://msdn.microsoft.com/en-us/library/windows/desktop/ms686749(v=vs.85).aspx
https://msdn.microsoft.com/en-us/library/ms686991(v=vs.85).aspx

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: just_simple

осталось только брякнуться где надо..

| Сообщение посчитали полезным:

just_simple пишет:
осталось только брякнуться где надо..

http://resources.infosecinstitute.com/debugging-tls-callbacks/

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos предложенный там вариант не сработал.
я так же пробовал плагины для ollydbg(advanced, tlscatch), но с моей сборкой (odbg 9in1 for phantom) они не заработали.

вот peid


| Сообщение посчитали полезным:

Значит у вас кривая ольга. Жертву с минимальным комплектом для запуска в студию!

| Сообщение посчитали полезным:

жертва с минимальным комплектом весит ~20гб, если не смущает - могу залить.
ольга - единственная под которой удалось запустить.
плагины не переваривает потому что сборная, наверное...

| Сообщение посчитали полезным:

Судя по названию секции это starforce.

| Сообщение посчитали полезным:

inf1
я об этом выше писал

мне вот что интересно, а как бы выйти туда, откуда передаётся управление?
я пробовал искать указатель на эту инструкцию, но найти ничего не получилось, что там может быть?
может, адрес как то вычисляется, затем осуществляется прыжок на него?

| Сообщение посчитали полезным:

Вам стоит почитать про динамические библиотеки и таблицу импорта, и вообще про пе формат в целом, какие поля, какие таблицы и какую информацию в себе содержит. У Вас уже тут дыра, что уж там говорить про всякое там "наличие ПО".

| Сообщение посчитали полезным:

Всю жизнь там все в protect.dll (и под другими именами бывает) было.Переходы в вм и обратно в код запакованного эксешника.Первый раз вм будет вызвана для передачи управления на настоящую точку входа.При особом желании можно заменить все коллы в код вм старфорса адресами при выходе из оного, тогда бОльшую часть говносекций можно будет срезать.Иногда там на выходе тупо следующая инструкция попадается.Если там просто похеренный импорт и версия бэйсик, то старфорс морфит один и тот же набор функций всегда, только в разном кол-ве.Но если там еще SFFS, то будет несколько труднее.Хотя в этом случае можно подсунуть файлы из международной версии, если игра буржуйская. А если есть демка той же версии, то можно взять импорт из нее .

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: Beo4ever