.text:00401088                 call    _fprintf

.text:0040108D                 push    0FFFFFFFFh      ; int

.text:0040108F                 call    _exit

.text:0040108F sub_401060      endp

Как нетрудно сообразить, условный переход, расположенный по адресу 0x401067, и есть тот самый «if», который нам нужен. Однако это не весь if, а только малая его часть. Хакер может и не трогать условного перехода, а заменить инструкцию test eax, eax на любую другую инструкцию, сбрасывающую флаг нуля. Также он может модифицировать защитную функцию sub_401000, которая и осуществляет проверку пароля. Словом, тут много разных вариантов и на этом несчастном условном переходе свет клином не сошелся, а потому для надежного распознавания взлома нам потребуются дополнительные проверки. Впрочем, это уже детали. Главное, что мы определили смещение контролируемого байта. Кстати, а почему именно байта? Ведь мы можем контролировать хоть целое двойное слово, расположенное по данному смещению! Особого смысла в этом нет, просто так проще.

Чтобы не работать с непосредственными смещениями (это неудобно и вообще некрасиво), давайте загоним их в специально на то предназначенную структуру:

union anti_hack

{

    char buf[MAX_CODE_SIZE];

    struct code_control

    {

           int     local_var_1;

           int     local_var_2;

           char    gag_1[OFFSET_1-sizeof(int)*2];

           int     x_val_1;

           char    gag_2[OFFSET_2 - OFFSET_1 - sizeof(int)];

           int     x_val_2;

    };