Есть одна программа, запакована ASProtect 1.23 RC4! После ручной и автоматической распаковки программа не запускается, она вообще не выдает ни каких ошибок, просто место где она должна запускаться (call esi) пробегается и далее идет завершение процесса! Может кто сталкивался с подобным и подскажет как с этим бороться?

а ты уверен, что прога не юзает API, предоставляемый навесом??? или не читает себя с диска через какую нить длл из числа свих? ну а что тебе, выкинь бряк на TerminateProcess/ExitProces и посмотри затем по стеку вверх чего там творица и какие таки джампы всё дело портят ?
с таким уже сталкивался. только не понятно, прога возвращается после call esi или нет ? У меня было такое, что покорёженая распаковкой прога возвращалась после такого вызова и тонула в ExitProcess. Выставил бряк на оригинал, который нормальный был, прога запускалась, только вот возврата после этого call вообще ни при каких обстоятельствах не наблюдалось, и всё прекрасно работало/ Немного поковыряшись уговорил её отказаться от проверки своего образа на диске и всё заработало. Хотя, что в твоём случае...?

...либо прога может тихо скончаться используя SEH. и такое видели. так что будь осторожен.

это может случиться как минимум двумя путями, либо неправильно восстановлен иат, либо это изврат навеса, и то и это равновероятно...

Так и есть call esi+18 - из нее программа уже не должна вываливаться, но она это делает через ret и дальше натыкаетсся на ExitProces!
Так что скорее всего она считывает свой образ с диска, тем более что там в дирректории импорта используется version.dll
GetFileVersionInfoA
GetFileVersionInfoSizeA
А через какие функции еще она может читать себя с диска?

мля мля мля ... и еще раз мля

прикол оказался в том, что адрес процедуры по созданию окна читался из тела программы, а так как файл был распакован то call dword[xxxxxxxx] не работал!

эта фишка оказалась сложней самой зашиты, которая ломается в одну минуту!

програ эта называется HexCmp 2.3.1.27

спасибо за советы ...

Neo 2002 -=LavTeam=-

CreateFile, ReadFile, да господи, возьми файлмон Руссиновича, да посмотри, что там творится, а затем выставь брякив айсе на данные функции и гляди из какой длл они вызываются.

кстати, для этой проги кряка есть, как то ряз я ё вытягивал, где то на винте валяется, время будет , гляну.

Да, но этой версии нет в интернете, она только что появилась!

А после правки адреса с call dword[xxxxxxx]
прога загрузилась, а дальше дело техники - одна минута и программа окончательно вылечена!
Так что можешь не смотреть!

Мне интересна была не сама программа, а этот трюк!
А адрес легко можно увидеть во время отладки не распакованной программы!

да, ты прав, не от этой версии, немного обшибочка вышла

зачем создавать тему на нескольких форумах. непонятно...