Вопрос может и ламерский но для меня жизненно необходимый
Прога обнаруживает Хасп Эмулятор и перестаёт работать. Как только переименовываю или стираю в реестре папку Emulator в ветке HKEY_LOCAL_MACHINE\SYSTEM\Controlset003\Services\Emulator она опять работает но проблема в том что после перезагрузки перестаёт работать сам эмулятор. Что делать?
Как переместить или переименовать папку Emulator чтобы эмулятор работал? Буду очень признателен за помощь.

| Сообщение посчитали полезным:

Не понятно - это у ключа триал такой на один запуск или глюк?

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

У ключа триала нет я его одолжил (сдампил) на время а теперь надо чтобы программа работала без ключа, с эмулятором. Еще раз поясняю программа начинает работать как только в реестре windows я переименовываю или стираю директорию HKEY_LOCAL_MACHINE\SYSTEM\Controlset003\Services\Emulator
видимо у программы есть своя защита на присутствие в системе эмулятора. (А сам эмулятор работает до перезагрузки компьютера потому что после теряется связь с реестром)Как обойти? Ребята пишите всё что знаете, хотя бы наводку а дальше я сам. Заранее всем спасибо за помощь!

| Сообщение посчитали полезным:

Варианта 2. Можно встроить код, который будет килять ключ при запуске программы. Но хз, как эмуль будет работать. ИМХО проще пропатчить программу на месте проверки ключа в реестре. Грузи в OllyDBG ставь бряк на RegOpenKey или др. ф-ии реестра и ищи "не правильный" код.

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Icelot пишет:
Можно встроить код, который будет килять ключ при запуске программы
а не гемморно ли это ? Ведь можно же написать программку для удаления именно этой ветки реестра, а саму прожку поставить в автозагрузку

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

HandMill пишет:
а не гемморно ли это
нет. Надежнее и проще к тому же, чем автозагрузка. Там гемороя то на пять минут.

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Icelot пишет:
Грузи в OllyDBG ставь бряк на RegOpenKey или др. ф-ии реестра и ищи "не правильный" код.
А вот отсюда по подробнее, в Win Dasmме И Олли я нашел что то подобное в двух местах
первый пример из Win Dasm второй из Олли)
1)
Possible StringData Ref From Data Obj HKEY_LOCAL_MACHINE\SYSTEM\Controlset003\Services\Emulator
0064CEC1 |. B8 805E8100 MOV EAX,Copy_of_.00815E80

2)
0064CFB4 |> 8B4424 14 /MOV EAX,DWORD PTR SS:[ESP+14]
0064CFB8 |. 40 |INC EAX
0064CFB9 |. 894424 14 |MOV DWORD PTR SS:[ESP+14],EAX
0064CFBD |. EB 09 |JMP SHORT wob.0064CFC8
0064CFBF |> B8 01000000 MOV EAX,1
0064CFC4 |. 894424 14 |MOV DWORD PTR SS:[ESP+14],EAX
0064CFC8 |> 83F8 0A |CMP EAX,0A
0064CFCB |. 7F 73 |JG SHORT wob.0064D040
0064CFCD |. E8 8CCFE5FF |CALL wob.004A9F5E
0064CFD2 |. B8 EC5E8100 |MOV EAX,wob.00815EEC ; ASCII "P###P"
0064CFD7 |. E8 CC2CE6FF |CALL wob.004AFCA8
0064CFDC |. B8 F45E8100 |MOV EAX,wob.00815EF4 ; ASCII "SYSTEM\ControlSet"
0064CFE1 |. BB 11000000 |MOV EBX,11
0064CFE6 |. E8 BD30E6FF |CALL wob.004B00A8
0064CFEB |. E8 B025E6FF |CALL wob.004AF5A0
0064CFF0 |. B8 085F8100 |MOV EAX,wob.00815F08 ; ASCII "\Services\Emulator\HASP"
0064CFF5 |. BB 17000000 |MOV EBX,17
0064CFFA |. E8 A930E6FF |CALL wob.004B00A8
0064CFFF |. E8 1427E6FF |CALL wob.004AF718
0064D004 |. 89F8 |MOV EAX,EDI
0064D006 |. BB 64000000 |MOV EBX,64
0064D00B |. E8 6431E6FF |CALL wob.004B0174
0064D010 |. 89F0 |MOV EAX,ESI
0064D012 |. 50 |PUSH EAX ; /pHandle
0064D013 |. 6A 01 |PUSH 1 ; |Access = KEY_QUERY_VALUE
0064D015 |. 6A 00 |PUSH 0 ; |Reserved = 0
0064D017 |. 89F8 |MOV EAX,EDI ; |
0064D019 |. 50 |PUSH EAX ; |Subkey
0064D01A |. 68 02000080 |PUSH 80000002 ; |hKey = HKEY_LOCAL_MACHINE
0064D01F |. E8 FC3FDBFF |CALL <JMP.&ADVAPI32.RegOpenKeyExA> ; \RegOpenKeyExA
0064D024 |. 83F8 00 |CMP EAX,0
0064D027 |.^75 8B \JNZ SHORT wob.0064CFB4
0064D029 |. 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064D02D |. 8B40 64 MOV EAX,DWORD PTR DS:[EAX+64]
0064D030 |. 50 PUSH EAX ; /hKey
0064D031 |. E8 CA3FDBFF CALL <JMP.&ADVAPI32.RegCloseKey> ; \RegCloseKey

Занопил всё что видишь здесь но не помогает. может что не так подскажи

| Сообщение посчитали полезным:

Striker200 пишет:
0064D027 |.^75 8B \JNZ SHORT wob.0064CFB4
Ну так и занопь

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Bitfry пишет:
Ну так и занопь
Прикалываешся? НЕПОМОГАЕТ причина в другом, но пока докопаюсь...

| Сообщение посчитали полезным:

Вот полная картина Bitfry вся надежда на тебя . чувствую что здесь надо подправить какуюто мелочь
но какую?
0064CF2E 90 NOP
0064CF2F 90 NOP
0064CF30 /$ 83EC 08 SUB ESP,8
0064CF33 |. 53 PUSH EBX
0064CF34 |. 51 PUSH ECX
0064CF35 |. 52 PUSH EDX
0064CF36 |. 56 PUSH ESI
0064CF37 |. 57 PUSH EDI
0064CF38 |. B8 0B030000 MOV EAX,30B
0064CF3D |. E8 9A16F6FF CALL wob.005AE5DC
0064CF42 |. 894424 18 MOV DWORD PTR SS:[ESP+18],EAX
0064CF46 |. 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064CF4A |. BB 785F8100 MOV EBX,wob.00815F78
0064CF4F |. B9 00000000 MOV ECX,0
0064CF54 |. E8 8B0BE6FF CALL wob.004ADAE4
0064CF59 |. B8 00000000 MOV EAX,0
0064CF5E |. 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064CF62 |. 8D38 LEA EDI,DWORD PTR DS:[EAX]
0064CF64 |. 89F8 MOV EAX,EDI
0064CF66 |. BB 64000000 MOV EBX,64
0064CF6B |. B9 BC5E8100 MOV ECX,wob.00815EBC ; ASCII "SYSTEM\CurrentControlSet\Services\Emulator\HASP"
0064CF70 |. BA 2F000000 MOV EDX,2F
0064CF75 |. E8 7ED8E5FF CALL wob.004AA7F8
0064CF7A |. 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064CF7E |. 8D70 64 LEA ESI,DWORD PTR DS:[EAX+64]
0064CF81 |. 89F0 MOV EAX,ESI
0064CF83 |. 50 PUSH EAX ; /pHandle
0064CF84 |. 6A 01 PUSH 1 ; |Access = KEY_QUERY_VALUE
0064CF86 |. 6A 00 PUSH 0 ; |Reserved = 0
0064CF88 |. 89F8 MOV EAX,EDI ; |
0064CF8A |. 50 PUSH EAX ; |Subkey
0064CF8B |. 68 02000080 PUSH 80000002 ; |hKey = HKEY_LOCAL_MACHINE
0064CF90 |. E8 8B40DBFF CALL <JMP.&ADVAPI32.RegOpenKeyExA> ; \RegOpenKeyExA
0064CF95 |. 83F8 00 CMP EAX,0
0064CF98 |. 75 25 JNZ SHORT wob.0064CFBF
0064CF9A |. 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064CF9E |. 8B40 64 MOV EAX,DWORD PTR DS:[EAX+64]
0064CFA1 |. 50 PUSH EAX ; /hKey
0064CFA2 |. E8 5940DBFF CALL <JMP.&ADVAPI32.RegCloseKey> ; \RegCloseKey
0064CFA7 |. 83F8 00 CMP EAX,0
0064CFAA |. BB 01000000 MOV EBX,1
0064CFAF |. E9 91000000 JMP wob.0064D045
0064CFB4 |> 8B4424 14 /MOV EAX,DWORD PTR SS:[ESP+14]
0064CFB8 |. 40 |INC EAX
0064CFB9 |. 894424 14 |MOV DWORD PTR SS:[ESP+14],EAX
0064CFBD |. EB 09 |JMP SHORT wob.0064CFC8
0064CFBF |> B8 01000000 MOV EAX,1
0064CFC4 |. 894424 14 |MOV DWORD PTR SS:[ESP+14],EAX
0064CFC8 |> 83F8 0A |CMP EAX,0A
0064CFCB |. 7F 73 |JG SHORT wob.0064D040
0064CFCD |. E8 8CCFE5FF |CALL wob.004A9F5E
0064CFD2 |. B8 EC5E8100 |MOV EAX,wob.00815EEC ; ASCII "P###P"
0064CFD7 |. E8 CC2CE6FF |CALL wob.004AFCA8
0064CFDC |. B8 F45E8100 |MOV EAX,wob.00815EF4 ; ASCII "SYSTEM\ControlSet"
0064CFE1 |. BB 11000000 |MOV EBX,11
0064CFE6 |. E8 BD30E6FF |CALL wob.004B00A8
0064CFEB |. E8 B025E6FF |CALL wob.004AF5A0
0064CFF0 |. B8 085F8100 |MOV EAX,wob.00815F08 ; ASCII "\Services\Emulator\HASP"
0064CFF5 |. BB 17000000 |MOV EBX,17
0064CFFA |. E8 A930E6FF |CALL wob.004B00A8
0064CFFF |. E8 1427E6FF |CALL wob.004AF718
0064D004 |. 89F8 |MOV EAX,EDI
0064D006 |. BB 64000000 |MOV EBX,64
0064D00B |. E8 6431E6FF |CALL wob.004B0174
0064D010 |. 89F0 |MOV EAX,ESI
0064D012 |. 50 |PUSH EAX ; /pHandle
0064D013 |. 6A 01 |PUSH 1 ; |Access = KEY_QUERY_VALUE
0064D015 |. 6A 00 |PUSH 0 ; |Reserved = 0
0064D017 |. 89F8 |MOV EAX,EDI ; |
0064D019 |. 50 |PUSH EAX ; |Subkey
0064D01A |. 68 02000080 |PUSH 80000002 ; |hKey = HKEY_LOCAL_MACHINE
0064D01F |. E8 FC3FDBFF |CALL <JMP.&ADVAPI32.RegOpenKeyExA> ; \RegOpenKeyExA
0064D024 |. 83F8 00 |CMP EAX,0
0064D027 |.^75 8B \JNZ SHORT wob.0064CFB4
0064D029 |. 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064D02D |. 8B40 64 MOV EAX,DWORD PTR DS:[EAX+64]
0064D030 |. 50 PUSH EAX ; /hKey
0064D031 |. E8 CA3FDBFF CALL <JMP.&ADVAPI32.RegCloseKey> ; \RegCloseKey
0064D036 |. 83F8 00 CMP EAX,0
0064D039 |. BB 01000000 MOV EBX,1
0064D03E |. EB 05 JMP SHORT wob.0064D045
0064D040 |> BB 00000000 MOV EBX,0
0064D045 |> 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064D049 |. E8 160DF6FF CALL wob.005ADD64
0064D04E |. 89D8 MOV EAX,EBX
0064D050 |. 5F POP EDI
0064D051 |. 5E POP ESI
0064D052 |. 5A POP EDX
0064D053 |. 59 POP ECX
0064D054 |. 5B POP EBX
0064D055 |. 83C4 08 ADD ESP,8
0064D058 \. C3 RETN
0064D059 90 NOP
0064D05A 90 NOP
0064D05B 90 NOP
0064D05C /$ 83EC 10 SUB ESP,10
0064D05F |. 53 PUSH EBX
0064D060 |. 51 PUSH ECX
0064D061 |. DD05 68608100 FLD QWORD PTR DS:[816068]
0064D067 |. DD5C24 10 FSTP QWORD PTR SS:[ESP+10]
0064D06B |. B8 01000000 MOV EAX,1
0064D070 |. E8 3B2DE6FF CALL wob.004AFDB0
0064D075 |. B8 2C718500 MOV EAX,wob.0085712C
0064D07A |. BB 00000000 MOV EBX,0
0064D07F |. E8 60AD0400 CALL wob.00697DE4
0064D084 |. DD05 356C7800 FLD QWORD PTR DS:[786C35]
0064D08A |. DD05 70608100 FLD QWORD PTR DS:[816070]
0064D090 |. DEC1 FADDP ST(1),ST
0064D092 |. DD1D 356C7800 FSTP QWORD PTR DS:[786C35]
0064D098 |. 8D4424 10 LEA EAX,DWORD PTR SS:[ESP+10]
0064D09C |. B3 09 MOV BL,9
0064D09E |. B9 01000000 MOV ECX,1
0064D0A3 |. E8 E00AE6FF CALL wob.004ADB88
0064D0A8 |. 83EC 08 SUB ESP,8
0064D0AB |. DD05 356C7800 FLD QWORD PTR DS:[786C35]
0064D0B1 |. DD1C24 FSTP QWORD PTR SS:[ESP]
0064D0B4 |. 83EC 08 SUB ESP,8
0064D0B7 |. DD4424 20 FLD QWORD PTR SS:[ESP+20] ; |
0064D0BB |. DD1C24 FSTP QWORD PTR SS:[ESP] ; |
0064D0BE |. E8 BD5CE5FF CALL wob.004A2D80 ; \wob.004A2D80
0064D0C3 |. 83F8 00 CMP EAX,0
0064D0C6 |. 75 0C JNZ SHORT wob.0064D0D4
0064D0C8 |. DD05 78608100 FLD QWORD PTR DS:[816078]
0064D0CE |. DD1D 356C7800 FSTP QWORD PTR DS:[786C35]
0064D0D4 |> B8 2C718500 MOV EAX,wob.0085712C
0064D0D9 |. BB 00000000 MOV EBX,0
0064D0DE |. B1 01 MOV CL,1
0064D0E0 |. E8 C3AB0400 CALL wob.00697CA8
0064D0E5 |. DD05 356C7800 FLD QWORD PTR DS:[786C35]
0064D0EB |. DD5C24 08 FSTP QWORD PTR SS:[ESP+8]
0064D0EF |. DD4424 08 FLD QWORD PTR SS:[ESP+8]
0064D0F3 |. 59 POP ECX
0064D0F4 |. 5B POP EBX
0064D0F5 |. 83C4 10 ADD ESP,10
0064D0F8 \. C3 RETN
0064D0F9 90 NOP
0064D0FA 90 NOP

| Сообщение посчитали полезным:

Striker200 пишет:
чувствую что здесь надо подправить какуюто мелочь
но какую?
Да способов-то куча.
К примеру измени саму строку. Кажется она в секции данных статично вбита:
Striker200 пишет:
00815EBC ; ASCII "SYSTEM\CurrentControlSet\Services\Emulator\HASP"

Вообще лень вглядываться в код. Под отладчиком сразу будет понятно что да как.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Bitfry я бы тебя расцеловал !!! ЗАРАБОТАЛО тоько умоляю сравни эти два кода может я кое чего лишнего убрал программа всётаки имеет дело с финансами
0064CF2E 90 NOP
0064CF2F 90 NOP
0064CF30 $ 83EC 08 SUB ESP,8
0064CF33 . 53 PUSH EBX
0064CF34 . 51 PUSH ECX
0064CF35 . 52 PUSH EDX
0064CF36 . 56 PUSH ESI
0064CF37 . 57 PUSH EDI
0064CF38 . B8 0B030000 MOV EAX,30B
0064CF3D . E8 9A16F6FF CALL 001.005AE5DC
0064CF42 . 894424 18 MOV DWORD PTR SS:[ESP+18],EAX
0064CF46 . 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064CF4A . BB 785F8100 MOV EBX,001.00815F78
0064CF4F . B9 00000000 MOV ECX,0
0064CF54 . E8 8B0BE6FF CALL 001.004ADAE4
0064CF59 . B8 00000000 MOV EAX,0
0064CF5E . 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064CF62 . 8D38 LEA EDI,DWORD PTR DS:[EAX]
0064CF64 . 89F8 MOV EAX,EDI
0064CF66 . BB 64000000 MOV EBX,64
0064CF6B . 90 NOP
0064CF6C . 90909090 DD 90909090
0064CF70 . BA 2F000000 MOV EDX,2F
0064CF75 . E8 7ED8E5FF CALL 001.004AA7F8
0064CF7A . 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064CF7E . 8D70 64 LEA ESI,DWORD PTR DS:[EAX+64]
0064CF81 . 89F0 MOV EAX,ESI
0064CF83 . 90 NOP
0064CF84 . 90 NOP
0064CF85 . 90 NOP
0064CF86 . 90 NOP
0064CF87 . 90 NOP
0064CF88 . 90 NOP
0064CF89 . 90 NOP
0064CF8A . 90 NOP
0064CF8B . 90 NOP
0064CF8C . 90 NOP
0064CF8D . 90 NOP
0064CF8E . 90 NOP
0064CF8F . 90 NOP
0064CF90 . 90 NOP
0064CF91 . 90 NOP
0064CF92 . 90 NOP
0064CF93 . 90 NOP
0064CF94 . 90 NOP
0064CF95 . 83F8 00 CMP EAX,0
0064CF98 . 75 25 JNZ SHORT 001.0064CFBF
0064CF9A . 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064CF9E . 8B40 64 MOV EAX,DWORD PTR DS:[EAX+64]
0064CFA1 . 50 PUSH EAX ; /hKey
0064CFA2 . E8 5940DBFF CALL <JMP.&ADVAPI32.RegCloseKey> ; \RegCloseKey
0064CFA7 . 83F8 00 CMP EAX,0
0064CFAA . BB 01000000 MOV EBX,1
0064CFAF . E9 91000000 JMP 001.0064D045
0064CFB4 > 8B4424 14 MOV EAX,DWORD PTR SS:[ESP+14]
0064CFB8 . 40 INC EAX
0064CFB9 . 894424 14 MOV DWORD PTR SS:[ESP+14],EAX
0064CFBD . EB 09 JMP SHORT 001.0064CFC8
0064CFBF > B8 01000000 MOV EAX,1
0064CFC4 . 894424 14 MOV DWORD PTR SS:[ESP+14],EAX
0064CFC8 > 83F8 0A CMP EAX,0A
0064CFCB . 7F 73 JG SHORT 001.0064D040
0064CFCD . E8 8CCFE5FF CALL 001.004A9F5E
0064CFD2 . B8 EC5E8100 MOV EAX,001.00815EEC ; ASCII "P###P"
0064CFD7 . E8 CC2CE6FF CALL 001.004AFCA8
0064CFDC . 90 NOP
0064CFDD . 90909090 DD 90909090
0064CFE1 . BB 11000000 MOV EBX,11
0064CFE6 . E8 BD30E6FF CALL 001.004B00A8
0064CFEB . E8 B025E6FF CALL 001.004AF5A0
0064CFF0 . B8 085F8100 MOV EAX,001.00815F08 ; ASCII "\Services\Emulator\HASP"
0064CFF5 . BB 17000000 MOV EBX,17
0064CFFA . E8 A930E6FF CALL 001.004B00A8
0064CFFF . E8 1427E6FF CALL 001.004AF718
0064D004 . 89F8 MOV EAX,EDI
0064D006 . BB 64000000 MOV EBX,64
0064D00B . E8 6431E6FF CALL 001.004B0174
0064D010 . 89F0 MOV EAX,ESI
0064D012 . 90 NOP
0064D013 . 90 NOP
0064D014 . 90 NOP
0064D015 . 90 NOP
0064D016 . 90 NOP
0064D017 . 90 NOP
0064D018 . 90 NOP
0064D019 . 90 NOP
0064D01A . 90 NOP
0064D01B . 90 NOP
0064D01C . 90 NOP
0064D01D . 90 NOP
0064D01E . 90 NOP
0064D01F . 90 NOP
0064D020 . 90 NOP
0064D021 . 90 NOP
0064D022 . 90 NOP
0064D023 . 90 NOP
0064D024 . 83F8 00 CMP EAX,0
0064D027 .^75 8B JNZ SHORT 001.0064CFB4
0064D029 . 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064D02D . 8B40 64 MOV EAX,DWORD PTR DS:[EAX+64]
0064D030 . 50 PUSH EAX ; /hKey
0064D031 . E8 CA3FDBFF CALL <JMP.&ADVAPI32.RegCloseKey> ; \RegCloseKey
0064D036 . 83F8 00 CMP EAX,0
0064D039 . BB 01000000 MOV EBX,1
0064D03E . EB 05 JMP SHORT 001.0064D045
0064D040 > BB 00000000 MOV EBX,0
0064D045 > 8B4424 18 MOV EAX,DWORD PTR SS:[ESP+18]
0064D049 . E8 160DF6FF CALL 001.005ADD64
0064D04E . 89D8 MOV EAX,EBX
0064D050 . 5F POP EDI
0064D051 . 5E POP ESI
0064D052 . 5A POP EDX
0064D053 . 59 POP ECX
0064D054 . 5B POP EBX
0064D055 . 83C4 08 ADD ESP,8
0064D058 . C3 RETN
0064D059 90 NOP
0064D05A 90 NOP
0064D05B 90 NOP
0064D05C /$ 83EC 10 SUB ESP,10
0064D05F |. 53 PUSH EBX
0064D060 |. 51 PUSH ECX
0064D061 |. DD05 68608100 FLD QWORD PTR DS:[816068]
0064D067 |. DD5C24 10 FSTP QWORD PTR SS:[ESP+10]
0064D06B |. B8 01000000 MOV EAX,1
0064D070 |. E8 3B2DE6FF CALL 001.004AFDB0
0064D075 |. B8 2C718500 MOV EAX,001.0085712C
0064D07A |. BB 00000000 MOV EBX,0
0064D07F |. E8 60AD0400 CALL 001.00697DE4
0064D084 |. DD05 356C7800 FLD QWORD PTR DS:[786C35]
0064D08A |. DD05 70608100 FLD QWORD PTR DS:[816070]
0064D090 |. DEC1 FADDP ST(1),ST
0064D092 |. DD1D 356C7800 FSTP QWORD PTR DS:[786C35]
0064D098 |. 8D4424 10 LEA EAX,DWORD PTR SS:[ESP+10]
0064D09C |. B3 09 MOV BL,9
0064D09E |. B9 01000000 MOV ECX,1
0064D0A3 |. E8 E00AE6FF CALL 001.004ADB88
0064D0A8 |. 83EC 08 SUB ESP,8
0064D0AB |. DD05 356C7800 FLD QWORD PTR DS:[786C35]
0064D0B1 |. DD1C24 FSTP QWORD PTR SS:[ESP]
0064D0B4 |. 83EC 08 SUB ESP,8
0064D0B7 |. DD4424 20 FLD QWORD PTR SS:[ESP+20] ; |
0064D0BB |. DD1C24 FSTP QWORD PTR SS:[ESP] ; |
0064D0BE |. E8 BD5CE5FF CALL 001.004A2D80 ; \001.004A2D80
0064D0C3 |. 83F8 00 CMP EAX,0
0064D0C6 |. 75 0C JNZ SHORT 001.0064D0D4
0064D0C8 |. DD05 78608100 FLD QWORD PTR DS:[816078]
0064D0CE |. DD1D 356C7800 FSTP QWORD PTR DS:[786C35]
0064D0D4 |> B8 2C718500 MOV EAX,001.0085712C
0064D0D9 |. BB 00000000 MOV EBX,0
0064D0DE |. B1 01 MOV CL,1
0064D0E0 |. E8 C3AB0400 CALL 001.00697CA8
0064D0E5 |. DD05 356C7800 FLD QWORD PTR DS:[786C35]
0064D0EB |. DD5C24 08 FSTP QWORD PTR SS:[ESP+8]
0064D0EF |. DD4424 08 FLD QWORD PTR SS:[ESP+8]
0064D0F3 |. 59 POP ECX
0064D0F4 |. 5B POP EBX
0064D0F5 |. 83C4 10 ADD ESP,10
0064D0F8 \. C3 RETN
0064D0F9 90 NOP
0064D0FA 90 NOP

| Сообщение посчитали полезным:

Да чуть не забыл я ничего не коректировал только занопил кое какие строки (чтобы было легче сравнивать:s2

| Сообщение посчитали полезным:

Striker200 жестоко ты с ней Чем нопить вызов ф-ии лучше же переход исправить... Или вместо ф-ии mov EAX,0 или mov EAX,1. Ф-ия возвращает 0 в случае ошибки. Ошибка если ключа в реестре нет. Вот и думай че тут делать. А нопить всё подряд не надо... Почитай пару статей для новичков и всё станет ясно.

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Striker200 пишет:
тоько умоляю сравни эти два кода может я кое чего лишнего убрал программа всётаки имеет дело с финансами
А вот гарантий никаких быть не может.
Скорее всего, всё будет хорошо... Но теоретически в программе, например, может быть CRC (проверка целостности кода) и если код исправлен, то, допустим, в пятницу 13-го все суммы будут в 13 раз больше. Но это мало вероятно, так как при случайном искажении кода (системой или вирусом) авторы проги получат по шапке.

Я бы патчил так:
0064CF81 jmp 0064CF9A

0064D010 jmp 0064D029

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Bitfry пишет:
Я бы патчил так:
0064CF81 jmp 0064CF9A

0064D010 jmp 0064D029
Если патчить только эти переходы то программа всё равно не работает или ты имеешь в виду уже мной пропатченный код?

| Сообщение посчитали полезным:

Имелось ввиду патчить оригинальный код. Проверки могут быть еще где-то.. Сделай так:
Bitfry пишет:измени саму строку.
Надежнее будет. Например так:

\SYSTEM\Controlset003\Services\Emul@tor

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Icelot пишет:
Например так:

\SYSTEM\Controlset003\Services\Emul@tor
Кстати до того как написать на форуме я так и сделал но не помогло а что касается других проверок я эту программу уже как свои 5 пальцев знаю нету там больше ничего. проверка реестра была привязанна к функции "смены анализного периода" то есть если до этого не глючила то стоило мне перенести дату (месяц, квартал програмаа бухгалтерская) выскакивало сообщение и после этого уже ничего не помогало если в реестре не стирал любое упоминание эмулятора. Однако всё это уже в прошлом до сих пор работаю и всё в порядке, хотя опятьже к слову чтоб не стереть ничего лишнего можно методом исключения по одиночку оживлять занопленные строки и смотреть что будет(будет время проверю) Ну да ладно Всем ОГРОМНОЕ СПАСИБО! за наводки они мне реально помогли. Icelot Bittfry вы отличные ребята!

| Сообщение посчитали полезным:

ICELOT как редактировать ASCII строку в Olly? по моему до этого я изменял коментарий а не саму строку

| Сообщение посчитали полезным:

Striker200 пишет:
по моему до этого я изменял коментарий
Ты это имел ввиду:
0064CFD2 . B8 EC5E8100 MOV EAX,001.00815EEC ; ASCII "P###P"


Вот я идумаю, если изменить строку, то программа просто обязана ошибиться.
Судя по этим строкам:
0064CFF0 . B8 085F8100 MOV EAX,001.00815F08 ; ASCII "\Services\Emulator\HASP"
строка просто лежит в секции данных. Для начала запусти программу в Ольке и попробуй поискать так:
жмешь M на верх на тулбаре. Появится окошко Memory map. На первой строчке правой кнопкой и "Search". Попробуй поискать и в ASCII и в Unicode. Найдется (может и не раз) посмотри адрес, где она начинается. Возвращайся в окно CPU Main thread, module ...основное окно. Щелкай правой в поле дампа памяти (внизу) Go to>Expression и вводи адрес строки. Слева в Hex dump увидишь свою строку. Измени её (постарайся не менять размер) и запусти программу. Если всё ок, сохраняй изменения в файл.

Или грузи сюда W32Dasm и ищи в ней (кнопичка StrRef).

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

00867000 1871 46 SBB BYTE PTR DS:[ECX+46],DH

нашел это в поле дампа а как изменить ? тамже Assemble/ SBB BYTE PTR DS:[ECX+46],DH
на допустим SBB BYTE PTR DS:[ECX+47],DH ?

| Сообщение посчитали полезным:

Striker200 опять че-т о не то ты нашел... Выложи отдельно exe-файл я посмотрю.

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Ааааааааа просто не там смотрел. исправил всё работает спасибо!

| Сообщение посчитали полезным:

Фу ты черт работать то работает но ни как не могу сохранить... (Copy/ All Modificatios не помогает)

| Сообщение посчитали полезным:

Striker200 пишет:
Фу ты черт работать то работает но ни как не могу сохранить...
Тогда, возможно строка всё-таки создаётся динамически, а ты нашел просто буфер в памяти.
Striker200 пишет:
Copy/ All Modificatios не помогает
А может быть, просто нет такого пункта в контекстном меню?
Если есть, то ты что-то не так делаешь.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Icelot пишет:
Выложи отдельно exe-файл я посмотрю.

Icelot будь другом посмотри а то уже замучался совсем
www.rapidshare.ru/306680

| Сообщение посчитали полезным:

Striker200 посмотрю, но ты хоть пожми чем-нибудь 7 метров качать с диалапа проблем..

Bitfry пишет:
Тогда, возможно строка всё-таки создаётся динамически, а ты нашел просто буфер в памяти.
А что делать в этом случае? Писать загрузчик, который будет править строку
Striker200 попробуй загрузить программу в ResHack и поищи строки, вдруг всё совсем просто

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Bitfry пишет:
Copy/ All Modificatios не помогает
А может быть, просто нет такого пункта в контекстном меню?
Всё верно в этом то и дело...когда исправляю в слове Emulator букву "a" на "b" (61 to 62)

00815F16 61 POPAD

становится

00815F16 62746F 72 BOUND ESI,QWORD PTR DS:[EDI+EBP*2+72]

пишет красным и нельзя сохранить

| Сообщение посчитали полезным:

Эх, не обязательно же было саму программу рихтовать Можно было бы и наоборот

-----
The one derivative you manage is the one I abhore (c) Slipknot

| Сообщение посчитали полезным:

Вариантов вообще море.. Можно даже было и эмулятор подправить

-----
radio uno in ibisa ...

| Сообщение посчитали полезным: