У меня есть программа, триал которой заключается в том, что она дает запусткаться только 30 раз. Через filemon я нашел dll, в которой после замены 4 байт программа продолжает вываливать окно, что это триал, но теперь дает запускаться сколько-то там милионов раз. Теперь мне хочется ее доломать красива, чтобы никакого окна она вообще не запускала. Проблема в том, что сам exe-шник практически не содержит кода. Как я понял, он стартует, загружает dll, и все функции по работе с программой идут через эту dll (это уже совсем другая dll). При завершении работы прога снова "выходит" в основной модуль и вызывает ExitProcess. Соответственно и окно с сообщение о триале вызывается из dll.
Так вот, я не знаю, как мне поставить бряк на точке входа в dll. Это первое.
А второе, я все-таки научился тормозить прогу на работе в dll (правда, очень коряво), вижу там MessageBox, другие участки кода, которые нужно исследовать на предмет лома. Ставлю на все это дело бряки, но после рестарта программы ничего не происходит, все установленные точки куда-то теряются, как будто я ничего и не ставил на бряк.
А "торможу" прогу в dll я так: в olly запускаю анимацию без входа в call, и как только в отладчике в надписи окна вижу, что выполняется код моей dll, жму F12. Соответственно кучу команд отладчик уже отработал, попытка поставить на этот код бряки и рестарт дает проблему номер2, описанную выше...
Может кто-то может дать ссылку на хорошую статью по отладке dll под мои задачи? - без разницы, под оли или айс. Олли я использую пока просто потому, что читаю книгу "Реверсинг и защита программ от взлома", где автор все делает на олли и довольно хорошо описывает этот отладчик. Вот дойду до Касперски, сяду за айс ))

| Сообщение посчитали полезным:

Тыкаешь на длл правой кнопкой мыши и жмёшь Open with OllyDbg. Такой пункт появится в менюшке если в оле в Options->Add to Explorer нажать на Add OllyDbg to menu in Windows Explorer

| Сообщение посчитали полезным:

Юзай Hardware Brakpoint в Оле. Они будут работать даже после перезапуска самого отладчика
Breakpoint>>Hardware, on execution

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Icelot пишет:
Юзай Hardware Brakpoint в Оле. Они будут работать даже после перезапуска самого отладчика
Будет полезно если только DLL загрузится по тому же адресу - прим.

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ так точно Но желательно конечно отладчик не перезапускать, а перед перезапуском программы фотошоп не загружать

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Icelot пишет:
Но желательно конечно отладчик не перезапускать, а перед перезапуском программы фотошоп не загружать
Причём здесь это? Ни разу не видел, чтобы на одной и той же машине в одной и той же проге библы грузились по разным адресам.

| Сообщение посчитали полезным:

asd у меня такого тоже не было. Но я на всякий случай сказал, мало ли бывает..

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

asd пишет:
Ни разу не видел, чтобы на одной и той же машине в одной и той же проге библы грузились по разным адресам.
После первой загрузки (до перезагрузки форточек) очень часто dll размещается не по ImageBase.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Bitfry
Спецефичная ситуация , надо как-нибудь посмотреть.

А вообще я не про это говорил, а про зависимость от запуска фотошопов разных.

| Сообщение посчитали полезным:

asd пишет:
А вообще я не про это говорил, а про зависимость от запуска фотошопов разных.
Это конечно.
По идее адреса в пространстве каждого процесса можно формировать любые (в допустимых пределах для user mode), так что зависимости VA между процессами быть не должно.
А вот внутри процесса по непонятным для меня причинам dll в первый раз проецируется на ImageBase, а при следующей загрузке куда угодно, только не туда же. Уже писал об этом не один раз, так и не понял в чём фокус. Может быть, тупая дефрагментация VA или по какой-то причине загрузчику удобнее связывать VA с кешированной dll без учёта ImageBase.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным: