Бери в аттаче простейший пример (фасм), ставь OllyDbg, исследуй этот пример в нем, если станет понятно переходи к своей проге. (с С++ я пас)
Да, я как-то не догнал, сайс жеж не запускает проги с DEBUG_PROCESS
Да, похоже он подойдет, там есть соотв. поля, но я никогда ним не пользовался з.ы. переборщик в аттаче :) [img] 1492075319__reglen.asm
А какую? Можно создать например такие ветки: path du '\Registry\Machine\SOFTWARE\Proga',0 path du '\Registry\Machine\SOFTWARE\Proga',0,0,0...
Кажется вот переделанный код, менявший параметр//==================================================================== ===================...
Ну ума хватило разобратся в дебагере и чуть исправить сишный код под себя, я делал так: KeyName.Length = wcslen( KeyNameBuffer ) *sizeof(WCHAR)+2;
man0war reghide на sysinternals.com, давай код если не помогает
Если есть прога, то лучше бряк на NtOpenKey и посмотреть в стек на параметры
Я тоже, но это не то Да именно его, проверь в юникоде ли текст ветки, и какова его реальная длина (для этого лучше посмотреть как прога его...
Хе, началось с этого, закончилось этим, думаю там все расписано (попробуй просто изменить длину ветки в дворде, смещение которого в...
Значит надо делать с компромисом по скорости\размеру :) И вообще, в первую очередь, меня интересует не сделать задачу для кого-то одного, а...
1. Сначало View\Run Trace ,потом правой кнопкой "log to file", запуск Ctrl+F11(into) или Ctrl+F12(over) 2. Alt+M, дабл клик на странице,...
S_T_A_S_ Свиснул у тебя идею, сократилось ещё на пару тактов :);========================================== buffer rb 8...
Часто может нехватает параметра для какой-то ф-ции, она убирает и адрес возврата, если в [esp] будет ноль, то вылетит на ret этой ф-ции
В олли Ctrl+T выставить "EIP is in range" равным 00000000...00000001, потом Ctrl+F8 и пождать, остановится например на jmp eax (eax=0)
Выдели buffer2 в стекеcall OpenProcess sub esp,6*4 mov ecx,esp push 0 push 6*4 push ecx push 0 push eax call...
Можно попробовать начать с этого, если работает правильно (0xFFFFFFFF='MWLQKWU'), то потом избавится от деления, переходов и т.д....
Судя по гуглу - скорее алгоритм компресии (причем бывает разных подвидов)
Хм, тогда пробуйте этим, мне на старых upx-ах помогал (fs -u packed.exe) http://www.exetools.com/files/file-analyzers/fs.zip
http://rusoft2001.narod.ru/upx/index-upx.html
Имена участников (разделяйте запятой).
