Всем привет. Значит есть программа - PatchBreeze. В незарегистрированной версии программы есть некоторые ограничения: триал на 15 дней, патчи создаются с нагом, нельзя выставить свой логотип и иконку в патче и нельзя выставить свои адрес сайта и Email. Запаковано это все раньше было ASProtect 2.x SKE, но добрые люди помогли это дело снять. Триал исчез. Дальше я выдрал из екзешника STUB, пропатчил его, и теперь созданные патчи создаются без наг окна, появилась возможность выставить свой логотип и иконку. Осталась единственная проблема - это наги во время открытия самой программы и во время работы в ней. Сам я в дела крекерские суюсь редко, поэтому не силен в этом. Искал места где вылезает наг везде, но так ничего путного не нашел. Поставил бряк на ShowWindow он сработал:
7E36D8A4 > B8 2B120000 MOV EAX,122B - вОТ ЗДЕСЬ СРАБОТАЛ БРЯК
7E36D8A9 BA 0003FE7F MOV EDX,7FFE0300
7E36D8AE FF12 CALL DWORD PTR DS:[EDX]
7E36D8B0 C2 0800 RET 8
7E36D8B3 837D 14 00 CMP DWORD PTR SS:[EBP+14],0
7E36D8B7 ^ 0F84 76DAFFFF JE 7E36B333
7E36D8BD E9 D1D20200 JMP 7E39AB93
7E36D8C2 90 NOP
7E36D8C3 90 NOP
7E36D8C4 90 NOP
7E36D8C5 90 NOP
7E36D8C6 90 NOP
7E36D8C7 > B8 7D110000 MOV EAX,117D
7E36D8CC BA 0003FE7F MOV EDX,7FFE0300
7E36D8D1 FF12 CALL DWORD PTR DS:[EDX]
7E36D8D3 C2 0800 RET 8

Я так понимаю, что это облась системных библиотек. А вот где начинается сама проверка в упор найти не могу найти.
Решил пойти другим путем, найти те строки, которые в наге и поставить на них бряк.
Строка вот эта вылазает:
This is an unregistered version of PatchBreeze. Project saving and loading are disabled. Added and deleted files are not processed. To unlock all the features of the program, please register! This message will not popup in the registered copy.
Нашел ее и поставил бряк:
005E95BC E8 E380E8FF CALL 004716A4
005E95C1 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
005E95C4 8B80 04030000 MOV EAX,DWORD PTR DS:[EAX+304]
005E95CA 8B10 MOV EDX,DWORD PTR DS:[EAX]
005E95CC FF92 C4000000 CALL DWORD PTR DS:[EDX+C4]
005E95D2 ^ E9 EBFDFFFF JMP 005E93C2
005E95D7 CC INT3
005E95D8 BA 54F05300 MOV EDX,0053F054 - ОСТАНОВИЛИСЬ ЗДЕСЬ ; ASCII "This is an unregistered version of PatchBreeze.",CR,LF,"Project saving and loading are disabled. Added and deleted files are not processed.",CR,LF,"To unlock all the features of the program, please register! This message will not popup i"...
005E95DD 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
005E95E0 8B80 00030000 MOV EAX,DWORD PTR DS:[EAX+300]
005E95E6 E8 B980E8FF CALL 004716A4
005E95EB A1 70FA5500 MOV EAX,DWORD PTR DS:[55FA70]
005E95F0 8338 00 CMP DWORD PTR DS:[EAX],0
005E95F3 75 2F JNZ SHORT 005E9624
005E95F5 BA 54F15300 MOV EDX,0053F154 ; ASCII "Register"
005E95FA 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
005E95FD 8B80 F8020000 MOV EAX,DWORD PTR DS:[EAX+2F8]
005E9603 E8 9C80E8FF CALL 004716A4
005E9608 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
005E960B 8B80 F8020000 MOV EAX,DWORD PTR DS:[EAX+2F8]
005E9611 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4]
005E9614 8990 24010000 MOV DWORD PTR DS:[EAX+124],EDX
005E961A C780 20010000 B>MOV DWORD PTR DS:[EAX+120],0053EFBC
005E9624 59 POP ECX
005E9625 59 POP ECX
005E9626 5D POP EBP
005E9627 C3 RET
005E9628 CC INT3

Отследив откуда примерно начинается проверка наткнулся на это место:
00472FF0 /$ 55 PUSH EBP
00472FF1 |. 8BEC MOV EBP,ESP
00472FF3 |. 81C4 E4FEFFFF ADD ESP,-11C
00472FF9 |. 53 PUSH EBX
00472FFA |. 56 PUSH ESI
00472FFB |. 8955 E8 MOV DWORD PTR SS:[EBP-18],EDX
00472FFE |. 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
00473001 |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
00473004 |. F640 1C 10 TEST BYTE PTR DS:[EAX+1C],10
00473008 |. 74 39 JE SHORT 00473043
0047300A |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
0047300D |. E8 6EAB0100 CALL 0048DB80
00473012 |. 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX
00473015 |. 837D E4 00 CMP DWORD PTR SS:[EBP-1C],0
00473019 |. 74 28 JE SHORT 00473043
0047301B |. 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
0047301E |. 83B8 50020000>CMP DWORD PTR DS:[EAX+250],0
00473025 |. 74 1C JE SHORT 00473043
00473027 |. 8B4D E8 MOV ECX,DWORD PTR SS:[EBP-18]
0047302A |. 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
0047302D |. 8B80 50020000 MOV EAX,DWORD PTR DS:[EAX+250]
00473033 |. 8B55 EC MOV EDX,DWORD PTR SS:[EBP-14]
00473036 |. 8B18 MOV EBX,DWORD PTR DS:[EAX]
00473038 |. FF53 24 CALL DWORD PTR DS:[EBX+24]
0047303B |. 84C0 TEST AL,AL
0047303D |. 0F85 8F010000 JNZ 004731D2
00473043 |> 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
00473046 |. 8138 00010000 CMP DWORD PTR DS:[EAX],100
0047304C |. 72 3E JB SHORT 0047308C
0047304E |. 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
00473051 |. 8138 08010000 CMP DWORD PTR DS:[EAX],108
00473057 77 33 JA SHORT 0047308C
00473059 |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
0047305C |. E8 1FAB0100 CALL 0048DB80
00473061 |. 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX
00473064 |. 837D E4 00 CMP DWORD PTR SS:[EBP-1C],0
00473068 |. 0F84 59010000 JE 004731C7
0047306E |. 8B4D E8 MOV ECX,DWORD PTR SS:[EBP-18]
00473071 |. 8B55 EC MOV EDX,DWORD PTR SS:[EBP-14]
00473074 |. 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
00473077 |. 8B18 MOV EBX,DWORD PTR DS:[EAX]
00473079 |. FF93 F0000000 CALL DWORD PTR DS:[EBX+F0]
0047307F |. 84C0 TEST AL,AL
00473081 |. 0F85 4B010000 JNZ 004731D2
00473087 |. E9 3B010000 JMP 004731C7
0047308C |> 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
0047308F |. 8138 00020000 CMP DWORD PTR DS:[EAX],200
00473095 |. 0F82 07010000 JB 004731A2
0047309B |. 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
0047309E |. 8138 0A020000 CMP DWORD PTR DS:[EAX],20A
004730A4 |. 0F87 F8000000 JA 004731A2
004730AA |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
004730AD |. F640 50 80 TEST BYTE PTR DS:[EAX+50],80
004730B1 |. 75 1C JNZ SHORT 004730CF
004730B3 |. 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
004730B6 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
004730B8 |. 2D 03020000 SUB EAX,203
004730BD |. 74 0A JE SHORT 004730C9
004730BF |. 83E8 03 SUB EAX,3
004730C2 |. 74 05 JE SHORT 004730C9
004730C4 |. 83E8 03 SUB EAX,3
004730C7 |. 75 06 JNZ SHORT 004730CF
004730C9 |> 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
004730CC |. 8328 02 SUB DWORD PTR DS:[EAX],2
004730CF |> 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
004730D2 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
004730D4 |. 2D 00020000 SUB EAX,200 ; Switch (cases 200..203)
004730D9 |. 74 0B JE SHORT 004730E6
004730DB |. 48 DEC EAX
004730DC |. 74 1F JE SHORT 004730FD
004730DE |. 48 DEC EAX
004730DF |. 74 43 JE SHORT 00473124
004730E1 |. 48 DEC EAX
004730E2 |. 74 19 JE SHORT 004730FD
004730E4 |. EB 4B JMP SHORT 00473131
004730E6 |> 8B4D E8 MOV ECX,DWORD PTR SS:[EBP-18] ; Case 200 (WM_MOUSEMOVE) of switch 004730D4
004730E9 |. A1 04FE5500 MOV EAX,DWORD PTR DS:[55FE04]
004730EE |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
004730F0 |. 8B55 EC MOV EDX,DWORD PTR SS:[EBP-14]
004730F3 |. E8 04680200 CALL 004998FC
004730F8 |. E9 CA000000 JMP 004731C7
004730FD |> 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14] ; Cases 201 (WM_LBUTTONDOWN),203 (WM_LBUTTONDBLCLK) of switch 004730D4
00473100 |. 8078 5D 01 CMP BYTE PTR DS:[EAX+5D],1
00473104 |. 75 11 JNZ SHORT 00473117
00473106 |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
00473109 |. 66:BE EDFF MOV SI,0FFED
0047310D |. E8 2605F9FF CALL 00403638
00473112 |. E9 BB000000 JMP 004731D2
00473117 |> 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
0047311A |. 66:8348 54 01 OR WORD PTR DS:[EAX+54],1
0047311F |. E9 A3000000 JMP 004731C7
00473124 |> 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14] ; Case 202 (WM_LBUTTONUP) of switch 004730D4
00473127 |. 66:8360 54 FE AND WORD PTR DS:[EAX+54],0FFFE
0047312C |. E9 96000000 JMP 004731C7
00473131 |> A1 701B5600 MOV EAX,DWORD PTR DS:[561B70] ; Default case of switch 004730D4
00473136 |. 8078 20 00 CMP BYTE PTR DS:[EAX+20],0
0047313A |. 0F84 87000000 JE 004731C7
00473140 |. A1 701B5600 MOV EAX,DWORD PTR DS:[561B70]
00473145 |. 8378 1C 00 CMP DWORD PTR DS:[EAX+1C],0
00473149 |. 74 7C JE SHORT 004731C7
0047314B |. 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
0047314E |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00473150 |. 8B15 701B5600 MOV EDX,DWORD PTR DS:[561B70]
00473156 |. 3B42 1C CMP EAX,DWORD PTR DS:[EDX+1C]
00473159 |. 75 6C JNZ SHORT 004731C7
0047315B |. 8D85 E4FEFFFF LEA EAX,DWORD PTR SS:[EBP-11C]
00473161 |. 50 PUSH EAX ; /pState
00473162 |. E8 E944F9FF CALL <JMP.&user32.GetKeyboardState> ; \GetKeyboardState
00473167 |. 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
0047316A |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
0047316C |. 8945 F0 MOV DWORD PTR SS:[EBP-10],EAX
0047316F |. 8D85 E4FEFFFF LEA EAX,DWORD PTR SS:[EBP-11C]
00473175 |. E8 F6A80100 CALL 0048DA70
0047317A |. 8845 F4 MOV BYTE PTR SS:[EBP-C],AL
0047317D |. 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
00473180 |. 66:8B40 04 MOV AX,WORD PTR DS:[EAX+4]
00473184 |. 66:8945

| Сообщение посчитали полезным:

Не поместилось полностью, вот продолжение:
00473184 |. 66:8945 F6 MOV WORD PTR SS:[EBP-A],AX
00473188 |. 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
0047318B |. 8B40 08 MOV EAX,DWORD PTR DS:[EAX+8]
0047318E |. 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX
00473191 |. 8D55 F0 LEA EDX,DWORD PTR SS:[EBP-10]
00473194 |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
00473197 |. 66:BE C9FF MOV SI,0FFC9
0047319B |. E8 9804F9FF CALL 00403638
004731A0 |. EB 30 JMP SHORT 004731D2
004731A2 |> 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
004731A5 |. 8138 0BB00000 CMP DWORD PTR DS:[EAX],0B00B
004731AB |. 75 1A JNZ SHORT 004731C7
004731AD |. 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18]
004731B0 |. 8B40 08 MOV EAX,DWORD PTR DS:[EAX+8]
004731B3 |. 50 PUSH EAX ; /Arg1
004731B4 |. 8B4D E8 MOV ECX,DWORD PTR SS:[EBP-18] ; |
004731B7 |. 8B49 04 MOV ECX,DWORD PTR DS:[ECX+4] ; |
004731BA |. 8B55 E8 MOV EDX,DWORD PTR SS:[EBP-18] ; |
004731BD |. 8B12 MOV EDX,DWORD PTR DS:[EDX] ; |
004731BF |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14] ; |
004731C2 |. E8 81DEFFFF CALL 00471048 ; \pb.00471048
004731C7 |> 8B55 E8 MOV EDX,DWORD PTR SS:[EBP-18]
004731CA |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
004731CD |. 8B08 MOV ECX,DWORD PTR DS:[EAX]
004731CF |. FF51 EC CALL DWORD PTR DS:[ECX-14]
004731D2 |> 5E POP ESI
004731D3 |. 5B POP EBX
004731D4 |. 8BE5 MOV ESP,EBP
004731D6 |. 5D POP EBP
004731D7 \. C3 RET

Перепробовал уже практически все, даже начал уже наугад менять джампы, ничего не могу сделать.
Так вот прошу вашей помощи, чтобы направили меня в нужном направлении.
Прогу прошу НЕ ВЗЛАМЫВАТЬ И НЕ ДАВАТЬ КОНЕЧНОГО РЕЗУЛЬТАТА. Мне хочется дойти до всего этого самому. Просто большая просьба указать где я что не так делаю.
Файл небольшой (659 Кб) прилагается.
hxxp://openfile.ru/335

| Сообщение посчитали полезным:

В след раз пости только инструкции и адреса...
Ну дык прога же в делфи написана, заюзай Delphi Decompiler
Там есть такая NagForm...
В данной форме вызывается функция FormActivate смотришь в декомпилере ее адрес,записываешь его,в отладчике ставишь бряк на него и дальше уже ищешь откуда она вызывается и исследуешь...
Так как те не нужна прога без нага,то ковырять дальше не стал
Have Fun

| Сообщение посчитали полезным:

El_Diablo
Вот процедура самой формы. Но там одни DB (неизвестные функции) стоят. Что делать в этом случае?
0053EFE8 . 55 PUSH EBP
0053EFE9 . 8BEC MOV EBP,ESP
0053EFEB . 83C4 F8 ADD ESP,-8
0053EFEE . 8955 F8 MOV DWORD PTR SS:[EBP-8],EDX
0053EFF1 . 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
0053EFF4 . E9 01000000 JMP 0053EFFA
0053EFF9 19 DB 19
0053EFFA >- E9 D9A50A00 JMP 005E95D8
0053EFFF D7 DB D7
0053F000 36 DB 36 ; CHAR '6'
0053F001 5F DB 5F ; CHAR '_'
0053F002 3F DB 3F ; CHAR '?'

| Сообщение посчитали полезным:

Ставь бряк на PUSH EBP
Далее в правом нижнем окне ollyDbg при останове видишь строчку
0165F730 00492E4D RETURN to pb.00492E4D
переходишь по этому адресу -> 00492E4D
Далее ставишь бряк на инструкцию -> 00492E10 PUSH EBP
По срабатыванию этого бряка ты увидишь откуда вызывается функция, вызывающая окно SharewareReminder
Но там одни DB (неизвестные функции) стоят. Что делать в этом случае?
В твоем случае главное узнать откуда вызывается процедура инициализацци NagForm...
Вроде все сводится к процедуре.начинающейся с адреса 00472FF0
Проследи там за инструкциями условного и безслвоного перехода...
З.Ы.: Вообще иногда ползено посмотреть прогу Resource Hacker'ом,т.к. многие варианты нагов находятся и удалсятся этой прогой...

| Сообщение посчитали полезным:

El_Diablo
Ни хрена не получается. Я в этой процедуру уже лазил раньше (в первом посте описал), но так ничего вразумительного и не получилось.

| Сообщение посчитали полезным:

00493FAA . 55 PUSH EBP
Ставь бряк сюда,а дальше смотри на je/jnz инструкции
З.Ы.:если те нужна уже патченая прога,то отпиши

| Сообщение посчитали полезным:

El_Diablo пишет:
если те нужна уже патченая прога,то отпиши
А другому человеку вы можете дать патч?

| Сообщение посчитали полезным:

А другому человеку вы можете дать патч?
напиши ТС в ПМ насчет патченной версии этой проги,т.к. я удалил.
Если же тебе нужен патч к другой проге,то пиши в ПМ

| Сообщение посчитали полезным:

El_Diablo пишет:
напиши ТС в ПМ
Извини за тупость. Что такое ТС и ПМ?

| Сообщение посчитали полезным:

Что такое ТС и ПМ?
ТС от английского слова TopicStarter,что можно перевести на русский как автор/создатель топика
ПМ от англ PM == Private Messages, на данном форуме это ЛС...=\

| Сообщение посчитали полезным: