¿Se para en el sentido de que te aparece el mensaje?

Proba poniendo un bp en MessageBoxA..

o sino cuando te sale el mensaje, te vas al oly y lo pauseas, despues presiona ALt+F9, te vas al mensaje y le das a OK, el oly se debe de parar justo despues de la llamada al mensaje.

slds

The SetTimer function creates a timer with the specified time-out value.

UINT SetTimer(

    HWND hWnd,   // handle of window for timer messages
    UINT nIDEvent,   // timer identifier
    UINT uElapse,   // time-out value
   TIMERPROC lpTimerFunc    // address of timer procedure <=== AQUI
   );

Para tracear el SetTimer debes ir a la direccion del procedimiento.

La verdad que no le entiendo nada a ese programita, parecen ejercicios pero baa,
la cosa es que vi que esta compilado con RealBasic...

Comparando con uno que vi hace poco este tambien crea una sección y me parece que la papusa esta ahi dentro.

Si queres caer cuando crea la ventana nomas ponele un bp en CreateWindowExA.

La primera vez que cae en el SetTimer si le cambias el tiempo a -1, despues al terminar una melodia se queda como tonto repitiendo un tono.

slds

Hola tena,

Ante todo muchas gracias por tu paciencia.

Este programita es el más sencillo de un lote de 33 dedicados a la Teoría de la Musica, (Armonia, claves, escalas, arpegios, inversiones, etc) aquí el alumno solo tiene que repetir los golpes que oye y aprender el ritmo. No son notas, es ritmo.
Como todos los programas tienen el mismo sistema de protección, pense que si aprendía a liberar uno, podría liberar los otros también. Me equivoque. Es más dificil de lo que pensaba.

Como me dijiste puse un bp, (Toggle breackpoint on import) a ShowWindow, pero cuando pulso F9 no me va directamente a la primera ventana (al menos yo no la veo) ¿Tengo que seguir pulsando F9 o F7/F8 o hay otra forma de tracear? Por otro lado necesitaría saber como se llega a 0040DAC5, (sin usar GO TO expresión) ya que al tener cada programa un tamaño diferente esta dirección seguramente cambiara. Por último, el cambio de JE a 0040DADA por un JMP no me sirvio de nada, tampoco el JMP a 0040DAE5. ¿Ayudaria algo el JMP a 0040DADA cambiando el MOV para que vuelva a poner EBX+80 en 0?

Tena, es muy fácil aprender contigo pero estoy empezando ahora y por lo tanto, comprendería perfectamente que no quieras perder tu tiempo conmigo.

Gracias de nuevo por todo lo que me has ayudado hasta ahora.

salu2 :-)

Hola
He encontrado otra forma mas facil... es un programa realmente sencillo
Lo comentaré por pasos:
1. Primero ponemos un break en SetTimer al arrancar, continuamos con F9
2. Rompemos en SetTimer, vemos que el tiempo es de 90000 ms. o sea, el minuto y medio de trial, cambiamos ese param por uno pequeño, con CTRL+E 90 00 00 00
3. Ponemos un bp tambien en la rutina a la que llamará cuando cumpla el tiempo(TimerProc) o sea, en 4725c0 y le damos a F9
4. Caemos en la rutina a la que llama el timer, sin embargo no la podemos bypasear porque es llamada por otros timers del programa, como puede ser esto? el codigo luce tal que así:

004725C0     PUSH EBX
004725C1     PUSH ESI
004725C2     PUSH EDI
004725C3   . PUSH EBP
004725C4   . SUB ESP,8
004725C7   . MOV EBX,DWORD PTR SS:[ESP+24]
004725CB   . PUSH EBX                                 ; /TimerID
004725CC   . PUSH DWORD PTR SS:[ESP+20]               ; |hWnd
004725D0   . CALL DWORD PTR DS:[<&USER32.KillTimer>]  ; \KillTimer
004725D6   . MOV EAX,DWORD PTR DS:[4CC234]
004725DB   . PUSH EAX
004725DC   . PUSH EBX
004725DD   .CALL Tap_It_I.004457D0
004725E2   . POP ECX
004725E3   . POP ECX
004725E4   . MOV DWORD PTR SS:[ESP+4],EAX
004725E8   . CMP WORD PTR DS:[EBX+1C],2
004725ED   . JE SHORT Tap_It_I.00472610
004725EF   . C743 28 000000>MOV DWORD PTR DS:[EBX+28],0
004725F6   .>MOV WORD PTR DS:[EBX+1C],0
004725FC   . TEST EAX,EAX
004725FE   . JE Tap_It_I.004726D1
00472604   . PUSH EBX
00472605   . CALL DWORD PTR SS:[ESP+8] <------------------OJO depende del parametro
00472609   . POP ECX
0047260A    JMP Tap_It_I.004726D1

bien pues parece que está escrito en un lenguaje OO de estos que tiene virtual table donde se almacenan las direcciones de los métodos (como dijo tena anteriormente esta posiblemente escrito en RealBasic el cual es orientado a objetos), por eso la primera llamada que salta a la vista es un call ss:[esp+8] en 472605, de hecho es la única que puiede ser dinámica, he rastreado la anterior y no parece que se use el valor del identificador del timer que podía ser otra posibilidad no?

Si no tocamos nada en el programa...(y poniendo 90 de tiempo al SetTimer no nos dara tiempo), el primer timer que saltara sera el del trial...

5. Nos metemos con F7 dentro de la llamada sospechosa esa, y ponemos un hardware break al principio(por alguna razon olly me desactiva el bp software quizas por estar fuera de la sección de codigo). Ahora si ejecutamos desde el comienzo el programa vemos que esa zona no se ejecuta cuando salta el timer por otras razones que no sean las del trial. Por tanto podemos deducir que esa es el corazon estatico culpable de la ventanita de trial y por ello vamos a eliminarla.

6. Si has reiniciado olly sigue de nuevo los pasos 1-4, y cuando entres en esa funcion, ensamblamos un retn (en 1843ed), y parece que funciona...

NOTA: no he podido probar el programa bien porque no me funciona el sonido en la máquina virtual, supongo que suena 

Saludos, es mi primer post, espero no haber metido mucho la gamba jejejee

Vale, a mi me funciona con lo que te dije, = es que no explique bien los pasos, donde tienes que poner el ret no es el lugar del "call ss:[esp+8]" sino en la funcion donde se mete, o sea, le das a F7 y luego espacio y retn. La funcion esa ha de ser la del trial, para llegar a ella tienes que esperar que pase el tiempo o hacer el hack al SetTimer, para que sea la primera en la que entra, si te intentas loguear romperas otra vez en ese call ss:[esp+8] peeero no debes parchear la funcion más veces, ya que esta cambia con el tiempo segun quien llame al procedimiento(no me refiero a que cambie el codigo, cambia solo la direccion a la que salta, recuerda que es un call [esp]).

He probado en otro ordenador y tienes razon, no encuentra esa direccion, me he dado cuenta de que es dinamica, ademas si la intentas buscar al principio de la ejecución no la encuentra tampoco, ¿horror? no tanto...

Despues de trazar un poco el programa me doy cuenta de que esa parte de codigo la carga en runtime, y para ello utiliza las funciones GlobalAlloc(para reservar el bloque de memoria donde va a escribir el codigo) y _lread, _lopen, _lseek para cargar el codigo....

No lo mire más pero parchearlo no deberia ser mas dificil que coger un numero suficientemente grande de bytes seguidos de la funcion a parchear y buscarlos en el fichero, asegurate de que no hay mas de una ocurrencia o tendras problemas.

Si quieres seguir la via honesta, descifra los parametros de _lseek y varios _lread y pista.

El lugar donde los encuentras es aqui:



Saludos.