кинь ссылку, посмотрим. При запуске GUI приложений обычно оно устанавливает значения текстовых полей функцией SetWindowText, ставь бряки на всех и ищи когда будет текст похожий на текст поля для MAC, то есть как я понимаю, скорее всего пустой "".

BOOL SetWindowText
(
HWND hWnd, // дескриптор окна или элемента управления
LPCTSTR lpString // адрес строчки
);

Меняем соответственно push "адрес первого аргумента для SetWindowText" на push твой mac, посмотри свободные байты, найдеш - запиши туда свой mac и push его адрес.

Че то не могу никак найти где вызывается MessageBox

Сама программа (упакованная FSG 2.0):

http://multi-up.com/137749

Распакованная программа (она же токо распак. вроде как):

http://dump.ru/file/3371134

Подскажите что не так делаю?(и так искал поиском MessageBox, по титлу/тексту messagebox'а, ничего не помогает) Я чую что-то не так намудрил с распаковкой (распаковывал этим: http://www.opensc.ws/trojan-malware-releases/5386-fsg-unpacker-plugin-peid.html)

(при нажатии на кнопку "Начать" вылезает окно о авторизации)(сейчас задача стоит найти откуда вызывается MessageBox!)

потому что это и не MessageBox вовсе, а окно обыкновенное

Щас все будет ...

прога на дельфи и это дельфовский showmessage. И я хз как он работает).
вызывается из процедуры по адресу
0055684C
а сам вызов вот тут
00556977
возьми например GODUP Plugin и примени дельфовские сигнатуры из иды. и тогда у тебя определится этот шоу меседж.
пс: кстати программа походу сама себе кейген)

ну вот не успел)

Начало процедуры, как уже заметил zeppe1in, рекспект ему и уважуха по адресу: 0055684C. Брекйпоинт туда и трассируем по F8:

Первый раз мы видим верный серийный номер:
Процедура проверки:
Проверка условия:
А ниже если не было прыжка мы можем увидеть сохранение в файл верного серийного номера:

Dosia, надо было хоть чегонить wolmer'у оставить)

Нужны опкоды MSIL (.NET), нашел 1 сайт, но он китайский http://www.asukaze.net/etc/cil/opcode.html
Есть что-нибудь полнее и хотя-бы на английском?

И что с того что китайский, пояснения же на английском

Dosia, хм... спасибо! а как вы нашли это окно обыкновенное? (искал по слову "JMP.&user32.ShowWindow","ShowWindow" ничего вроде не находило (искал в w32dasm,IDA))