кто знает - это один из самых удобных помощников работы в VisualStudio. Поставил я себе вчера Vs2010 и вот этот вот ассист. Но триал не радует, решил обследовать что да как. у кого есть желание поковырять вместе - постьте тут. по мере процесса также буду обновлять. офсайт даунлод: http://wholetomato.com/binaries/VA_X_Setup1823.vsix копия(вдруг проапят билд): http://www.sendspace.com/file/mde67k копия2 http://www.rapidshare.ru/1483181 (vsix это тотже zip, только для установщика из студии - просто меняем расширение чтобы открыть)
-= VA X 10.6.1823 RESEARCH =- =============================================== welcome dialog (выбор trial/enter key/etc): стек при вызове: 0012F1AC 1ED00000 |hInst = 1ED00000 0012F1B0 1F61546C |pTemplate = va_x.1F61546C 0012F1B4 00060A02 |hOwner = 00060A02 ('Microsoft Visual Studio (Admi...',class='HwndWrapper[DefaultDomain;;a8...') 0012F1B8 1EF9118D |pDlgProc = va_x.1EF9118D 0012F1BC 00000000 \lParam = 0 сам вызов: 1EF91811 FF15 2877041F call dword ptr ds:[1F047728] ; USER32.CreateDialogIndirectParamA Но! Конечно этого кода нет при старте длл (DllMain) (как и в дизасме с диска) --> va_x.dll запакована, хоть пеид и говорит что это VC++ 8.0 DLL Method2. =============================================== тогда ставлю хардварный бряк на доступ прямо на этот адрес (1EF91811) и запускаю на исполнение. исключение не заставляет себя ждать. 076C2D17 66:0F7F4F 10 movq qword ptr ds:[edi+10],mm1 -> 076C2D1C 66:0F7F57 20 movq qword ptr ds:[edi+20],mm2 076C2D21 66:0F7F5F 30 movq qword ptr ds:[edi+30],mm3 по видимому анпакер ммховый
на руборде был универсальный инлайн патчер. или он уже не работает? и чем она сейчас упакована? раньше была армадила. пс: то что у тебя вывалилось врядли распаковка. адреса системных либ. смотри в стеке кто вызвал этот код и как зовется функция.
все норм, но еще не смотрел. 076C2D17 66:0F7F4F 10 movq qword ptr ds:[edi+10],mm1 -> 076C2D1C 66:0F7F57 20 movq qword ptr ds:[edi+20],mm2 076C2D21 66:0F7F5F 30 movq qword ptr ds:[edi+30],mm3 это кааакраз таки распаковка. причем этот сегмент адресов (076) содержит в себе и хардварные привязки, там тупо по PhysicalDisk, версии биоса и чето еще - забыл
хм. нолик не доглядел. ну надо смотреть что там - раньше была арма. када в ней ковырялся - такой распаковки не было. вполне вероятно они сменили инструменты.
>>триал не радует, решил обследовать что да как. а я уже https://cracklab.ru/f/index.php?action=vthread&forum=3&topic=3534&page=2#24 23 наверное также пройдёт add: http://www.wholetomato.com/support/history.asp. Ну нафиг 23. **спалил ник
а теперь прочитал предыдущие посты >>--> va_x.dll запакована, хоть пеид и говорит что это VC++ 8.0 DLL Method2. армадилла там, но покрыто кусками, так что мне удавалось так неплохо поресёрчить где и почему софт у меня бажил. >> 076C2D17 66:0F7F4F 10 movq qword ptr ds:[edi+10],mm1 >> 076C2D1C 66:0F7F57 20 movq qword ptr ds:[edi+20],mm2 >> 076C2D21 66:0F7F5F 30 movq qword ptr ds:[edi+30],mm3 арма,арма. там явно названия библиотечек армовских даже прописаны. А триал убивается патчем перехода. Я заюзал загружающую va_x библиотеку, и прям после LoadLibrary дописал патчер свежезагруженной и уже распакованной va_x.
да арма, ты прав. я до этого с ним не работал, поэтому лазил присматривался что да как в этой длл. оказалось есть еще и длл который можно извлечь, пропатчить и снова туда внедрить.