В программе PortExplorer в Optional_Header элемент NumberOfRvaAndSizes имеет следующее значение:

0040015C NumberOfRvaAndSizes = DFFFDDDE (в памяти)
0000015С NumberOfRvaAndSizes = DFFFDDDE (на диске)

тогда как в описаниях по PE формату указано, что там всегда должно быть 0х10.
В результате OLLY не может загрузить данную программу - пишет: файл поврежден и т.д., IDA обрабатывает нормально, сам файл также нормально запускается в винде.
Неправильное/нестандартное значение NumberOfRvaAndSizes содержится именно в дисковом образе программы, сама программа это значение во время своей загрузки в память не корректирует.
Есле в HIEW-e установить правильное значение NumberOfRvaAndSizes=0х10, PortExplorer начинает грузиться в OLLY, но перестает запускаться из винды, видимо проверяет NumberOfRvaAndSizes на модификацию.
Эксперементы с другими РЕ файлами показали, что если установить NumberOfRvaAndSizes = DFFFDDDE (в дисковом образе програмы) то данные файлы продолжают корректно загружаться в винду, но перестают загружаться в OLLY.
Кто нибуть с этим сталкивался ?
Имеется ли плагин для OLLY ?


54ab_09.10.2008_CRACKLAB.rU.tgz - mb_ok.exe

| Сообщение посчитали полезным:

этот трюк давно известен и использовался в нескольких протекторах, на памаять - в Dotfix-е например.

| Сообщение посчитали полезным:

wowan пишет:
Имеется ли плагин для OLLY ?

В плагине ollyadvanced, в разделе BugFix есть эта штука.

| Сообщение посчитали полезным:

Vovan666 пишет:
В плагине ollyadvanced, в разделе BugFix есть эта штука

Спасибо за инфу.

| Сообщение посчитали полезным: