1. Защита IDA.KEY - часть 4
.text:1006A369 jnz short loc_0_1006A376
.text:1006A36B
Последний участок корректировки показан ниже:
001B:1006A340 0000 ADD [EAX],AL
001B:1006A342 BA01000000 MOV EDX,00000001
001B:1006A347 E800D40000 CALL 1007774C <-- этот вызов приводит к 1му листингу
001B:1006A34C 85C0 TEST EAX,EAX
001B:1006A34E 741B JZ 1006A36B
001B:1006A350 8B4008 MOV EAX,[EAX+08]
001B:1006A353 8B1562AA0910 MOV EDX,[1009AA62]
001B:1006A359 83FA20 CMP EDX,20
001B:1006A35C 7D18 JGE 1006A376 <--исправить это на 'jmp'
001B:1006A35E 8BCA MOV ECX,EDX
001B:1006A360 BA01000000 MOV EDX,00000001
001B:1006A365 D3E2 SHL EDX,CL
001B:1006A367 85C2 TEST EDX,EAX
001B:1006A369 750B JNZ 1006A376
001B:1006A36B 6812770810 PUSH 10087712
001B:1006A370 E8F7CEFEFF CALL 1005726C
Этот участок выполняется, когда IDA вызывает загрузчик, например, PE.LDW. Эти модули используются для интерпретации типичных форматов файлов типа PE, NE, DOS и т.п...
Однако, перед Вами стоит огромная проблема, так как Вы не можете найти эти участки в IDAG.EXE. Это совершенно естественно - ведь программа шифрована. Дальше Вы с этим столкнетесь еще раз, в обоих случаях я буду пользоваться для исправлений различными подходами. Первый из них был показан здесь с чисто учебными целями, и если Вы захотите им воспользоваться для удаления водяных знаков, то у Вас ничего не получится. Почему? Да потому, что IDAG.EXE зашифрован с помощью Вашей регистрационной информации, поэтому проще попытаться восстановить исходный файл приложения.