Набор статей и руководств по дизассемблеру IDA


1. Защита IDA.KEY - часть 4



.text:1006A369         jnz     short loc_0_1006A376


.text:1006A36B

Последний участок корректировки показан ниже:

001B:1006A340 0000              ADD     [EAX],AL


001B:1006A342 BA01000000        MOV     EDX,00000001


001B:1006A347 E800D40000        CALL    1007774C <-- этот вызов приводит к 1му листингу


001B:1006A34C 85C0              TEST    EAX,EAX


001B:1006A34E 741B              JZ      1006A36B


001B:1006A350 8B4008            MOV     EAX,[EAX+08]


001B:1006A353 8B1562AA0910      MOV     EDX,[1009AA62]


001B:1006A359 83FA20            CMP     EDX,20


001B:1006A35C 7D18              JGE     1006A376 <--исправить это на 'jmp'


001B:1006A35E 8BCA              MOV     ECX,EDX


001B:1006A360 BA01000000        MOV     EDX,00000001


001B:1006A365 D3E2              SHL     EDX,CL


001B:1006A367 85C2              TEST    EDX,EAX


001B:1006A369 750B              JNZ     1006A376


001B:1006A36B 6812770810        PUSH    10087712


001B:1006A370 E8F7CEFEFF        CALL    1005726C

Этот участок выполняется, когда IDA вызывает загрузчик, например, PE.LDW.  Эти модули используются для интерпретации типичных форматов файлов типа PE, NE, DOS и т.п...
Однако, перед Вами стоит огромная проблема, так как Вы не можете найти эти участки в IDAG.EXE.  Это совершенно естественно - ведь программа шифрована.  Дальше Вы с этим столкнетесь еще раз, в обоих случаях я буду пользоваться для исправлений различными подходами.  Первый из них был показан здесь с чисто учебными целями, и если Вы захотите им воспользоваться для удаления водяных знаков, то у Вас ничего не получится.  Почему?  Да потому, что IDAG.EXE зашифрован с помощью Вашей регистрационной информации, поэтому проще попытаться восстановить исходный файл приложения.
 




Начало  Назад  Вперед



Книжный магазин