Обычно я не создаю такие темы, но меня это уже достало, т.к. не даёт
нормально разобраться с прогой.
Короче вопрос в следующем, вбиваю первым байтом на EP исследуемой DLL CCh,
ставлю бряк bpint 3, и по первому запуску проги нормально всплываю, меняю
байт на родной и т.д.
При последующих перезапусках на EP уже не всплываю, в чём проблема, в SoftIce,
или Винда не выгружает Dll'ку и она так и остаётся в памяти с родным первым
байтом??
Да, это всё под XP и DS2.7.

Это всё кэширование, дампы вроде храняться в папке Windows\Prefetch. Делай лучше через Break&enter или сам напиши лоадер, который при каждой загрузке int3 на точку входа прописывает.

dragon

Я тоже думал что это что-то с кэшем связано, попробую поискать дампы, спасибо.
Какой Break&enter это мне для dll'ки нужно..

Да, с DLL сложнее, потому что винда сначала хранит дампы прямо в памяти для ускорения запуска прог, а если не хватает, то сбрасывает дампы в папку Windows\prefetch.

dragon

Мда.. я посмотрел там в этих дампах хрен разберёшься, какой килять не ясно.

Можешь их всех, чтобы не разбираться. Только говорю, если нужный дамп ещё в памяти, то толку не будет. Лучше тогда уж так, открой DLL в HEX-редакторе, и поменяй любой байт и сохрани. Потом опять впиши старый и сохрани. Тогда всё как надо будет работать.

Думаю после восстановления байта на int3 проще поставить поверх него bpx =)

А у меня нередко при проставке int3 в памяти программы оказывается запатченным и сам файл проги. Че за фигня?

[ Dr.Golova: Думаю после восстановления байта на int3 проще поставить поверх него bpx =)]

Кстати, это не катит :-(
Надо искать где-то в винде отключается кэширование, что-то я такое слыхал, но сам не пробовал.