Всем Привет.
На руках программа от крякера,с кучей антиотладочного мусора)
===========================================
1)Для начала гружу в стоковую олии получаю пустое окно при попытке приатачится получаю мессадж мол уже дебажется,(в атаче первая пикча.) вот и первый вопрос не стал заморачиваться с настройкой спрошу у вас как и что настроить в олли чтоб не моросила?

2) Взял уже годную олли сборку от шадова,так же приатачится недаёт но уже не пустое окно,что радует,гружу в shadov olly программу она уходит в ntdll произвожу патч:
7C921D7B 0F8C DDE50100 JL ntdll.7C94035E на
7C921D7B 0F8C DDE50100 Jmp ntdll.7C94035E жму F9 поподаю сюда

004A7862 > EB 08 JMP SHORT Crackme.004A786C
004A7864 5C DB 5C ; CHAR ''
004A7865 E6 DB E6
004A7866 2D DB 2D ; CHAR '-'
004A7867 00 DB 00
004A7868 00 DB 00
004A7869 00 DB 00
004A786A 00 DB 00
004A786B 00 DB 00
004A786C > 60 PUSHAD

жму опять рун поподаю на наг и рег окно не знаю как на них выйти,
через поиск по ctrl+b нахожу текст
в вертикаль
W
r
o
n
g
и это только текст на который ссылается проверочный код,а где окно вызова которое его считывает найти не могу не знаю как

пока что два вопроса как на окна в таких случаях выходить и как настроить стоковую ольгу чтоб открывала файл без вылетов да и в шадове не подсвечиваются красными стрелками jmp хз облазил весь не вижу где там можно включить это,а в стоковой есть подсветка с ней видно чё и куда идёт но она улетает при запуске этой программы.

8f39_28.11.2016_EXELAB.rU.tgz - screen.7z


да и еще в 010 edit есть адреса, в ольге тоже есть.- понятно что они разные, напомните как их высчитывать: например в ольге пропатчим мы 004AABBE, а в эдиторе это будет 04aoh
\ может калькулятор есть какой чтоб не заморачиваться?- бывает очень нужно когда программа накрыта говнопротом ,с проверкой на целостность( crc ) и через отладчик можно только увидеть переход, а править приходится в heiw, hex, 010edit , и искать опкоды по сигнатурам "хексовым" тяжко <спросил сразу так как это будет 3-й вопрос.>

| Сообщение посчитали полезным:

SDK пишет:
в ntdll произвожу патч
Зачем ? Не трогайте никогда системные библиотеки.
SDK пишет:
да и еще в 010 edit есть адреса, в ольге тоже есть.- понятно что они разные, напомните как их высчитывать
Адреса в hex-редакторах - это физические смещения, т.е. позиции от начала файла.
Адреса в отладчике - это позиции в памяти процесса, которые отсчитываются от базы.Соответственно, чтобы найти физическое смещение в файле, нужно вычесть базовый адрес.И учесть релоки, если они есть.
SDK пишет:
искать опкоды по сигнатурам "хексовым" тяжко
Тяжести в этом никакой нет.Сигнатуру(набор байт) надо подбирать таким образом, чтобы она встречалась минимальное кол-во раз в файле, тогда ее будет легко найти.Самый простой способ - искать ее относительно какой-нибудь строки.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

SDK

> как настроить стоковую ольгу чтоб открывала файл без вылетов да и в шадове не подсвечиваются красными стрелками jmp

Наверно никак, так как если вылетает, значит там антидебаг. Не подсвечивается из за проблем анализа, вы хотите от этого инструмента невозможного - выполнить корректный анализ морфленного кода или который на лету изменяется.

> в ntdll произвожу патч
> JL ntdll.7C94035E

Хрустальный шар сломался, но можно предположить что вы пытаетесь обойти системную ошибку. Статусные коды делятся на 4 группы и обычно JL это проверка на фейл системной функции.

> где окно вызова которое его считывает

В общем случае к окну можно соотнести некий код, который обрабатывает события для этого окна, но это очень условно. Наверно нужно отследить выборку найденной строки - поставить останов на память.

-----
vx

| Сообщение посчитали полезным: