21.07.2009, 11:09
|
|
Познающий
Регистрация: 02.09.2008
Сообщений: 38
Провел на форуме:
88361
Репутация:
0
|
|
Сообщение от neprovad
делал так: ставил memory breakpoint на секцию с vm и когда сработало, посмотрел откуда был переход.
upd:
Код:
.text:00408959 call dword ptr [eax+88h] ; check
.text:0040895F test al, al
.text:00408961 jz loc_408C2C
.text:00408967 mov ecx, [ebp+0ED60h]
.text:0040896D mov [esp+0ECh+var_64], ebx
.text:00408974 lea edx, [esp+0ECh+var_64]
.text:0040897B mov eax, [ecx]
.text:0040897D push edx
.text:0040897E call dword ptr [eax+88h] ; save to registry
.text:00408984 test al, al
.text:00408986 jz loc_408BDD
предлагаю также обратить внимание на данный участок кода, может оказаться весьма важным при взломе У меня ключик уже есть,только не могу разобратся с vm. 
Neprovad а именно сколько байтов копировать ???
Последний раз редактировалось cryptX; 21.07.2009 в 11:14..
|
|
|