Это мне понятно вроде

Но меня интересует сам момент как вы подцепили что именно от туда 0055690D проверка идет (т.е. как именно нашли эту проверку (я понимаю что по showwindow но подробней!))(ведь я же не могу всегда тыкать бряки на каждом углу)

Хороший вопрос, так как декомпилятор нам тут не поможет. Автор данной программы не шифрует строки и это его основная ошибка, именно при поиске строки: "79-81-80", я оказался тут:



Как видиш название файла выдает его с головой =)

Дальше я сходил по обоим адресам ( 556927, 556ACB )куда пушится строка "key.ini". Поставил бряки на начало данных процедур ( 55684C , 556A98 ). Перезапустил программу. Нажал "Старт", оказался по адресу 556A98, очевидно что там программа проверяла наличие файла или че то типо того, я не стал особо изучать процедуру, така как никаких переходов (вообще никаких ;D) я там не увидел, в общем, я протрассировал это процедуру по "F8". Потом - нажал "F9" (RUN). Всплывает форма (как мы уже выяснили в более ранних постах), текст в поле "ID" подозрительно похож на возвращаемое функцией GetVolumeInformation значение ;D, но это так, лирическое отступление, мы вводим что то типа "qwe123", чтобы потом если че посершить память (спорное конечно заявление ;D). Жмем , прерываемся по адресу 55684C. В процедуре всего 2 перехода:
1)2) Что мы делаем? мы трассируем процедуру по "F8", первый переход, какой то не понятный, ну и пофик на него, нас то интересует тот, после которого пушится в стек строка "key.ini". Заметьте, сразу после перехода, можно почти со 100% уверенностью сказать, что если перехода не будет - то будет что то интересное. По ходу трассировки этой процедуры до интересующего нас перехода ( 55690D ), как я уже писал можно увидеть настоящий пароль. Переход с адреса 55690D переносит нас по адресу 556972, выше видим безусловный переход ( JMP ), сомнений не остается, переход по адресу 55690D, именно то, что мы искали. Надеюсь теперь все понятно. =)

Dosia, почему при запуске из OllyDbg у меня не откр программу а выкидывает в отладку модуля kernel32? (в адрес 7C81EB33) (хотя к примеру если запустить крякми из под ollydbg то он запускается нормально)

Что если я столкнусь с программой которая шифрует строки? То как тогда искать эти строки/процедуру проверки?

Ставить брейкпоинты на GetWindowText, GetDlgItemText ...

Если сообщение - MessageBox

Поиск по памяти.

Также если знаеш что идет сохранение в файл, можно поставить бряки на: CreateFile, WriteFile.

Вообще все зависит от конкретной ситуации =)
Просто надо иметь справочник по функциям API и немного опыта, потому что иногда вызваются специфические функции (VisualBasic - rctMsgBox).

Хм, затрудняюсь оветить, да и время уже все, мне пора, буду вечером только

Щас zeppe1in еще дополнит =)

)) а я то чо?)
wolmer когда столкнёшся тогда и будеш думать что делать)
а внизу должен писать почему остановился. может у тя бряк хардварный стоит или ещо чонить.

Бряк токо на 0055690D (программа), а внизу пишет "Exception 406D1388 - use Shift+F7/F8/F9 to pass exception to program" (как открылся модуль kernel32)

хм, с этого и стоило начинать, теперь все понятно, у тебя не настроен отладчик (оля).

Вот тебе выдержка из моей статьи (нагло пропиарил тему ;D)

Настройка отладчика

Запускаем отладчик, идем в меню “Options” -> “Debugging options”. В появившемся окне выбираем вкладку "Exceptions" (Исключения), устанавливаем все переключатели (отмечаем их галочкой). Правее есть кнопка “Add range”, жмем, в поле “First exceptions in range“ вводим “00000000” (8 нулей), в поле “Last exceptions in range“ вводим “FFFFFFFF” (8 букв “F”), жмем “OK”.



Закрываем окно настроек отладчика нажатием “OK”. Теперь в случае возникновения исключения во время работы программы, она не будет прерываться и требовать нашего вмешательства ;D

Сделал все как ты описал в этом посте теперь пишет это "Don't know how to bypass command at address 77D3D4CC. Try to change EIP or pass exception to program"

(как сохранил настройки сразу же перезапустил ollydbg)

Хм странно, даже без плагинов оля его запускает (никакой антиотладки там нет), бряки убери все, перезагрузи прогу в отладчике "Ctrl+F2", запусти на выполнение, если не загрузится, то мб ошибки были при распаковке. Распакованная версия тут.