Надоело разбираться в одиночку решил спросить мнение народа, итак что мы имеем:

Peid говорит: Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks

!- Protected Armadillo

<Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Nanomites Processing
Enable Memory-Patching Protections

<Backup Key Options>
Variable Backup Keys
Fixed Backup Keys

<Compression Options>
Better/Slower Compression
Best/Slowest Compression

MicroOLAP Database Designer for MySQL
www.microolap.com/downloads/files/mydesigner/mymdd.zip (6,6 мб)

итак распаковываю я эту программу пробовал вручную детачить дочерний процесс и программами, и вот аттачусь я к дочернему процессу, восстанавливаю EP, запускаю, выскаивает окошко:



делаю he CreateThread и... после запроса об ассоциации расширений фалов с программой(который уже мне кажется после ОЕР) брякаюсь на CreateThread, выхожу из него в таком месте:

www.everfall.com/paste/id.php?sowuqovkg1sd что на место рядом с ОЕР не похоже...

собственно вопрос, что я делаю не так? как найти ОЕР???

| Сообщение посчитали полезным:

Кино любишь?
Посмотри это: www.tuts4you.com/download.php?view.2003

| Сообщение посчитали полезным:

YDS пишет:
Кино любишь?
кино-то я люблю, только я уже видел это кино, оно никак сюда не катит.... я ж говорю CreateThread не позволяет найти OEP... просмотрел сейчас все бряки на CreateThread и до и после нага, ничего похожего на OEP нет...

| Сообщение посчитали полезным:

IHateWindows пишет:
просмотрел сейчас все бряки на CreateThread и до и после нага, ничего похожего на OEP нет...
Посмотри статью феурадера по арме, может что придумаешь

| Сообщение посчитали полезным:

Тыж сам написал CopyMem-II, а тут немного по другому чем просто с Debug-Blocker.
OEP=00A1A5FC

| Сообщение посчитали полезным:

Vovan666 пишет:
OEP=00A1A5FC
это ЕР child процесса, я аттачусь и нахожусь именно в этом месте, а мне нужен тот ОЕР.

| Сообщение посчитали полезным:

Это уже реальный ОЕП на этом месте тебе надо дампить, править импорт и т.д.
А то окошко, что в 1 сообщении к арме отношения не имеет.
Вот анпакнутый (наномиты и регистрацию не правил):
rapidshare.com/files/88688923/myMDD_dumped_.rar

| Сообщение посчитали полезным:

У кого-нибудь может есть кое-какая подборка Армы? Выше версии 2,85 не получается толком ничего найти.

| Сообщение посчитали полезным:

albatros отправил в Личные сообщения, забирай.

| Сообщение посчитали полезным:

stronglogic пишет:
отправил в Личные сообщения, забирай.
получил, спс.
а вот замечательная подборка от T**A**1* почему-то выдало Доступ к файлу запрещен, может rghost блокирует потенциальные антивире-восприимчевые архивы... тада надо бы запаролить что-ли...

| Сообщение посчитали полезным: