подскажите, откуда копать программы, отсылающие/проверяющие регинфу на удаленном сервере, как определять функции и т.п.

Интересный вопрос! Копать проги можно с многих точек. Например, ловить серийник в памяти, смотреть на ругательства и отслеживать код вверх и т.д, и т.п. Но я так понимаю, что интерестно именно посмотреть какими сетевыми функциями пользуется прога. Здесь все тоже элементарно. Смотрим таблицу импорта - должна импортироваться ws_32.dll или что-то близкое, короче - сокеты. Если прога написана на ЯВУ, то тогда она неизбежно скатится к Win32 SOCK API (смотреть в MSDN, откуда слить - указано!). В принципе, можно прогнать прогу под BoundsChecker - все сразу станет ясно. Также интересно поробовать TDIMon от Mark Russinovich (www.sysinternals.com). Прикольно также помучаться с файрволлом. Просто запретить траффик от этой программы и все - попробуй Seagate Firewall Pro. А сниффер покажет все http-запросы в декодированном виде. Попробуй Iris 4.00.6.
To Quantum or Asterix
Если нужно что-то из вышеперечисленных утилит - пишите мне. Дам. Так будет с каждым, кто хочет работать на благо wasm :-)

б-р-р... я только начинаю :), подскажите, книга Касперски "Образ мышления дизассемблер IDA" подойдет для начала...? И такой вопрос (не оффтопик?) - как с помощью Hiew подправить НЕ УСЛОВИЕ(JE/JNE b и т.п.), а адрес перехода, из листинга IDA, видно, на какую метку передается управление на вызов соединения с сервером, и куда из функции соединения - можно ли подправить просто адрес перехода - чтобы функция соединения и не вызывалась? Спасибо.

Думаю, книга для начала сложновата. Лучше взять "Философию". А как поживает знание ассемблера? Если плохо - то лучше с Юрова или Абеля.
HIEW - да, можно. В HIEW можно все. Известно, что такое RVA и Image Base? Если да - пишите. Нет - сначала прочтите, что это такое, а потом продолжим. Без этого объяснить затруднительно :-)

вчера прога сдалась :), а вообще форум классный, помогла Касперски 5 том, хоть оттуда и взял одну только строчку "заменить test на xor". А вот JNE на JE уже сам догадался, сэнкс. Теперь буду думать, как софтайс запустить-то... но это другим топиком после окончательного перебора доков...

как с помощью Hiew подправить НЕ УСЛОВИЕ(JE/JNE b и т.п.), а адрес перехода

Править нужно imm часть опкода.
Метод будет зависеть от режима адресации и формата
JCC (т.е. short, near)
Это влияет на размер этой части.
Считается как смещение от адреса следующей за JCC команды
(он принимается как нулевой относительно значения imm в переходе)к адресу команды на которую нужно сделать переход.
Дай строку дизассемблера (с адресом и опкодом)
в которой находится JCC который тебе нужно переправить.
И адрес метки на какую переправить.