Изучаю программку proga.exe запакованную сабжевым криптором.

Нашел OEP главного процесса. Снял дамп. Восстановил импорт. Переименовал prog_.exe.
Далее идет запуск "отлаживаемого" процесса в суспенд мод, при этом подсовываю модул нэйм, комманд лайн и немного позже энтри поинт оригинального exe. Так работает, но понятно все с тем же триальным окном, и это еще очень мало, если не сказать ничто.

После запуска "отлаживаемого" процесса в суспенд мод:
- патч для зацикливания на оеп
- разморозка
- создание "отладочного" треда
- подключение в нем в качестве отладчика к "отладочному" процессу
- заморозка
- восстановление оригинального кода на oep
- разморозка
- и дальше "отладка" WaitFor DebygEvent, т.е. помощь "отладочному" процессу в прорыве сквозь вероятно исключения и int3, расставленные самим пакером в код запакованной проги

Наконец к вопросу. Ранее и сейчас использую OllyDbg, но он не может подключиться к "отлаживаемому" процессу в то время как тот отлаживается главным, а посмотреть его вроде как сильно хочется. Предоставит ли SoftIce бОльшие возможности для просмотра-отладки процесса, уже запущенного в отладочном режиме другой прогой? Или как с помощью Olly все же проделать подобный трюк?

| Сообщение посчитали полезным:

в ольке:
стандартный "трюк", который можешь увидеть во всех статьях, после writeprocessmemory пишешь "сыну" EBFE на eip, потом push id_сына call DebugActiveProccessStop и можешь аттачиться к "сыну" олькой(свежезапущенной), восстанавливать байты на eip и делать что надо =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

acue пишет:
Предоставит ли SoftIce бОльшие возможности для просмотра-отладки процесса, уже запущенного в отладочном режиме другой прогой
Да, предоставит, потому как является отладчиком режима ядра и не использует DebugAPI для отладки только одного конкретного процесса.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log lord_Phoenix Спасибо за разъяснения вопрос закрыт.

| Сообщение посчитали полезным: