Здравствуйте, уважаемые. Есть некая дллка, автор которой страдает от жадности В процессе изучения наткнулся на такой кусок: Код (Text): --- POP EDX ---- После этой команды в EDX заносятся очень интересные данные (ключевой момент в обходе защиты). Вопрос: можно ли как-то отследить тот момент, когда в стек заносится это "интересное значение"? По всей видимости, где-то вызывается команда PUSH "что-то". Но кода тут на 1.5 МБ, каждый push отследить нереально.
vampir_infernal Это может быть даже не push, а просто mov или вовсе fst, fist и т.д. Поэтому там, где pop edx, нужно посмотреть адрес в стеке и поставить на него бряк, как советует asd. Любая попытка что-то записать по этому адресу будет выявлена. К сожалению, данная ячейка стека может использоваться сразу несколькими функциями, так что бряк лучше ставить как можно ближе к pop edx и учитывать только последнее срабатывание.
