Проблема со взломом программы

Привет,
Пытаюсь понять механизм защиты одной программулины японской.
Программа создает некий файл. Если его скопировать и удалить
старый и затем вместо удаленного вставить сохраненный программа
видит это дело и переустанавливается. Пробовал сохранять все даты
Создан, Открыт, Изменен ничего не получается. Смотрел не ставит
ли программа дров, тоже оказалось, что нет. Файл скопированный
абсолютно идентичный удаленному.
Можете подсказать в чем может быть дело? Прога небольшая рисовалка
японская. Взлом интереса ради. Если надо могу выложить на slil.ru

 

залил сюда:
http://slil.ru/29276386

 

Кстати, говоря наличие устанавливаемых драйвером не обнаружено.

 

neutronion

Лог API, особливо на FindFirst/FindNext? Что она делает с ним?

 

Щас гляну, а смысл их смотреть?

 

неа, вызывает вот это:
xxx.exe 004231A3 0948 FindFirstFileA(26A0FC14: "C:\Documents and Settings\All Users\Application Data\SYSTEMAX Software Development\xxx\thumbnail\???...", 26A0FACC) returns: FFFFFFFF
xxx.exe 00498D1D 097C GetAncestor(00080200, 00000002) returns: 00080230

где ххх - название проги.

 

Ф смысле? Ну проще же понять логику видя последовательность вызовов АПИ нежели ковыряццо в дизасме / или же если прога накрыта протом то так можно определить место куда ставить бряк.

 

Полный путь и название до критичного файла и все связанные с этим АПИ-вызовы? (CreateFile/FindFirst/etc) - ?

 

++ Сначало лог с заведомо работающей прогой а уже потом - когда файл сделан ручонками и работать перестало. Разница. Может детектить разницу по FindFirst/Next (порядок).

 

Ладно, сделаю 2 лога. Хороший и плохой... и злой

 

Здесь 2 лога
http://slil.ru/29276469

 

+++ Возможно также лог на инсталляцию. Ну типа он делает SomeParams(файлег) ?= function(SomeParams(ОсновнойМодуль))

 

Не думаю, так как тот плохой лог, который я дал доходит до мессадж бокса, который говорит, что обнаружена старая версия и сейчас будет
переустановка, т.е. прога уже обнаружила изменения в файле.

 

neutronion

Так в *bad* он не может найтить файло:

GetFileAttributesA( ... SAI\NotRemoveMe.s...") returns: FFFFFFFF

А в *Good* он его находит читает и перезаписывает. Вы же сказали что вы полностью восстанавливаете этот (?) файл?

Если файл незапротекчен можно также открыть код по адресу 45E3FB и начинать его курить (можно в отлатчеге тоже).

 

Да, ты наверное прав, после вызова
GetFileAttributesA пути хорошие разходятся с плохими существенно.

 

Восстанавливаю я файл, век воли не видать. Раз десять это сделал.

 

не то дал, вот новый вариант.
http://slil.ru/29276556

 

вот у плохого

Код (Text):

1. sai.exe      0045F387 0AC8 ReadFile(00000370, 0012DBB8, 00001000, 0012DBAC, 00000000) returns: 00000001
2. sai.exe      0045F815 0AC8 CreateFileA(00EA5978: "C:\Documents and Settings\All Users\Application Data\SYSTEMAX Software Development\SAI\NotRemoveMe.s...", C0000000, 00000000, 00000000, 00000003, 10000080, 00000000) returns: FFFFFFFF

Код (Text):

1. а это у хорошего
2. sai.exe      0045F387 097C ReadFile(00000374, 0012DBB8, 00001000, 0012DBAC, 00000000) returns: 00000001
3. sai.exe      00460584 097C GetSystemTime(0012EC50) returns: 0012EC50

 

Значит копать нужно между адресом 0045F387 и 00460584?
Что посоветуете? Трейс?

 

кстати, файл о котором идет речь
C:\Documents and Settings\All Users\Application Data\SYSTEMAX Software Development\SAI\NotRemoveMe.ssd