Несколько непонятная тема, зачем снимать upx через quickunpack, если сам upx одновременно является распаковщиком? Оеп на глаз в отладчике легко...
Я не то имел ввиду, сам юзаю 010 Editor как дефолтный hex редактор достаточно давно, а шаблоны файлов не раз выручали.
Боянчег собственно у нас 2 года тема висит ) http://cracklab.ru/f/index.php?action=vthread&forum=3&topic=8548 Крис, появляйтесь на cracklabe чаще!
А что конкретно пишет авира? Если xpack или zpack, то эвристик спалил, можно попробовать прикрутить манифест и иконку прицепить.
+ На разных системах разные начальные значения регистров. ТС, для антидебага хочешь заюзать?
С пульта от ТВ-тюнера включается, но там проводки дополнительные идут для этого.
))) MOV DWORD PTR DS:[409906],0EB
http://support.microsoft.com/kb/308538
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug] "Debugger"="\"D:\\Crack\\Отладчики\\ollydbg_1.10d\\OLLYDBG.exe\"...
http://nezumi-lab.org/
А почему название user37.dll ? Чем стандартная user32 не устраивает? Видимо windows считает данные библиотеки не родными и не разрешает им...
Сама PE-Tools ведь может это делать, по сабжу: lordpe CFF Explorer
Об я написал выше. Думаю, для начала тебе стоит покурить доки по PE формату.
Открываешь файл для чтения, читаешь указатель (PE offset = dword) на PE заголовок, он находится по смещению 3ch от начала файла. Далее к началу...
OpenProcess EnumProcessModules GetModuleFileNameExA Так получишь имя процесса по его PID что касается второй части вопроса, имя производителя...
Ну если код кривой окажется, точнее если eip будет указывать в середину инструкции (как в данном случае он указывал в середину инструкции int3),...
кликни правой на int 3 - New Origin Here
Оля просто криво опознала инструкции, прокрути код выше.
http://wasm.ru/baixado.php?mode=tool&id=242 http://www.wasm.ru/baixado.php?mode=src&id=153
Clerk Ну от вас, имхо, любой антидамп не спасет :) а от тулз то что я предложил самый простой вариант.
Имена участников (разделяйте запятой).
