Cita de: gastonp en Hoy a las 03:48
¿ como llegaste a saber que la rutina de 00F99640 es la que controla el periodo de prueba?
Adelanté la fecha de windows para ver el mensaje que salía al haber caducado. Luego puse un punto de ruptura en rtcMsgBox y vi que procedimiento era el que lo llamaba.
Saludos.
Hice lo mismo que vos PeterPunk77 pero al romper en rtcMsgBox no lo hace dentro de la rutina de 00F99640. Al principio me fije en la pila para ver a donde regresaba (las rutinas que habian llamado a esta) y no sabia muy bien como encararlo hasta que me di cuenta de que en la pila estaba el texto de que se modifico la fecha en el reloj del sistema y una direccion de retorno. Segui bajando en el stack hasta que encontre una direccion de retorno debajo de la cual ya no estaba ese mensaje y casualmente esa direccion de retorno estaba dentro de la rutina que vos mencionas. Todo esto es para preguntarte si es asi como se debe llegar a ese punto o si hay otra forma de hacerlo.
Con esos dos parches el programa ya da no caduca ni muestra el texto. Pero podemos quitar esa ventanita que al arrancar nos dice que nos quedan 30 días. Y ésta es la línea donde comienza el procedimiento que nos muestra dicha nag:
Código
012A5060 55 PUSH EBP
y basta, nuevamente, con convertir esa línea en un RET (0xC3)
Y si queréis que no os salga la ventana que pregunta qué tipo de versión queremos evaluar (por cierto yo no noto diferencia entre ellas), podéis nopear estas líneas:
Código
012A6A42 E8 09020000 CALL 012A6C50
012A6A47 3BC6 CMP EAX,ESI
012A6A49 7F 15 JG SHORT 012A6A60
¿Como rompes en esas ventanas para saber desde donde son llamadas, ya que por lo que veo no son MessageBox?
Gracias
Autor
En línea
