У жертвы был покоцан импорт и как я понимаю (могу ошибаться) это после армы было. В общем импорт я восстановил, но программа падает с ошибкой. Это происходит в первой же подпрограмме после ОЕП. Есть старая версия по которой восстанавливал импорт. Импорт одинаков, разница в версиях не очень существенна. Старая версия проходит это место легко, а вот в распакованной мною возникает ошибка. Думаю что касается импорта сделал всё правильно, ибо уверен, что накосячил где-то в PE структуре.
Просьба указать на мою ошибку. Заранее благодарен!
Вложение 480 кб, обе версии.

p.s. И если кто кинет непогаженной версией того, что я капаю - буду очень благодарен!

4131_05.07.2009_CRACKLAB.rU.tgz - file.rar

| Сообщение посчитали полезным:

ToBad пишет:
Есть старая версия по которой восстанавливал импорт
А старую версию тоже сами распаковывали?

Это конечно очень профессионально восстанавливать импорт на основе другой версии программы. В таком случае может быть оригиналом поделитесь?

ToBad пишет:
Хочу в подполье !
Не возьмут...

| Сообщение посчитали полезным:

ToBad
падает на таблице инициализации, плохо распаковал

| Сообщение посчитали полезным:

У меня падает и раньше. Во врем загрузки образа.

| Сообщение посчитали полезным:

progopis пишет:
А старую версию тоже сами распаковывали?

Нет, не сам. Не знаю кто.

Работающей версии (для правильного восстановления импорта) у меня не было. Я понимаю, что такое восстановление не профессионально, но посмотрев оба файла я понял, что импорт не поменялся. Если Вы посмотрели файлы и видите ошибку в импорте - назовите адрес. Ткните пожалуйста меня носом.


progopis пишет:
ToBad пишет:
Хочу в подполье !
Не возьмут...

Спасибо, я уже знаю...

| Сообщение посчитали полезным:

progopis
видимо у фантома стоит "Remove EP-break"

| Сообщение посчитали полезным:

tihiy_grom
Я под IDA WinCE реверсил.

| Сообщение посчитали полезным:

Вот изначально из чего пытался сделать нормальный файл. dump.ru/file/3015376
progopis, tihiy_grom - спасибо, что посмотрели. В принципе я пофиксил только импорт и вызовы по телу программы, искал по FF25 и удалил мусорные секции. Теперь вроде как не в импорте дело, но с PE я накосячил?

| Сообщение посчитали полезным:

ToBad пишет:
Если Вы посмотрели файлы и видите ошибку в импорте - назовите адрес. Ткните пожалуйста меня носом.

Я не маг и волшебник. Если я увижу ИСХОДНЫЙ вариант файла - восстановлю для него импорт и проверю с тем что в атаче. Какая мне нафиг радость проверять параметры у сотен фунок импорта? Я и сам могу восстановить импорт - это гораздо проще чем искать ошибку. А дапм кривой - нужен оригинал чтобы сделать дамп.

Добавлено:
Ок, с этим можно работать.

| Сообщение посчитали полезным:

Сам код не пакован, только с импортом погажено. Всё, что было доделано к этому запускается как я понял через вызов winm0.dll вместо winmm.dll или из переходничков в ddraw.dll. Арма там точно есть.

| Сообщение посчитали полезным:

Сорри, запутался с файлами... Накосячил..... Сейчас вышлю ЕХЕ который был в архиве...
Прошу прощения...

Вот он... dump.ru/file/3015435
Этот файл с двумя длл запускается. По крайней мере переключает видеорежим, так что проходит то место где я накосячил...
Сейчас сам попытаюсь выкинуть оттуда арму. Мне всё что нужно это ЕХЕ без армы и этих длл...

| Сообщение посчитали полезным:

Кажется теперь распаковал всё и почистил корректно! Прошу прощения, что отвлёк на свой косяк... Так тупо ошибиться....
Единственное, что хотел бы ещё сделать, это поправить что-бы при загрузке в ольку не выскакивал месседж о том, что это плохой файл. Но думаю узнаю как это поправить воспользовавшись поиском по форуму или в гугле.


b21e_05.07.2009_CRACKLAB.rU.tgz - last_unp.rar

| Сообщение посчитали полезным:

И это получилось!...
Ricardo Narvaja на одном из форумов кому-то сказал: NumberOfRvaAndSizes = 10 (16.) Change the value to 10.

| Сообщение посчитали полезным:

Стало быть можно закрыть?

| Сообщение посчитали полезным: