мне тут прога попалась, порадовала немножко =)
Какой-то неизвестный пакер/протектор
Гружу в Olly, а она не остановливается на EP, прога запускается! Olly в обломе! Ну ладно, решил грузить в Sice, делаю Break&Enter в PETools а Sice не выскочил, хотя bpint3 был поставлен! Во блин. Ну я взял поменял бервый байт на EP на байт CC (int3) и сохранил это дело на диск. Запускаю, а она как-нивчём не бывало, грузится, а СС ему по*** =) Ну с прогой идёт dll-ка, я подумал что это наверно он во время инициализации проверяет всё ли на месте на EP, и если нет то правит это.. Распаковал dll (ASPack), хотел уже внутрь лезть, но решил попробовать поменять EP на пустое место в проге и туда написать jmp EP_address. И получиось, Олька наконец остановила прогу Распаковалось всё очень легко (BP на секцию кода и скоро остановитесь на OEP), и с импортами тоже проблем не было. Сейчас ищу серийник, но было прикольно, я такого еще не видел, нужно еще понять как это он делал такое Если заинтересовал - h**p://www.jpegimager.com , прога называется JPEG Imager, порядка 1 мб (не помню точно)..

| Сообщение посчитали полезным:

arnix Интересный метод .В олли есть другой метод встать на ЕР.Надо попробовать.

| Сообщение посчитали полезным:

Я бы не назвал это антиотладочным методом.... Такие феньки встречаются нередко (Starforce, напрмер... Фича в том, что ехе-шник может вообще не нести никакой нагрузки, а его суть заключается лишь в том, что в импорте есть либа, в которой и заключается работа проги... А так как управление передается на EP exe-шника только после инициализации всех импортируемых библиотек, то неизвестно, отдаст ли тебе либа управление в систему... Также, она может поправить EP, или же просто создать другой процесс, который и будет основным...

| Сообщение посчитали полезным:

без заморочек обходится если make first pause установить в sistem breakpoint.После retn уже в измененном EP .

.

| Сообщение посчитали полезным:

7b86__example.zip

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным: