Есть такая программа InternetAccess Monitor. Предназначена для учёта трафика через прокси сервер.
Скачать мона здесь http://internetaccessmonitor.ru/pub/iampplus_pro.exe
http://internetaccessmonitor.ru/pub/iampplus_pro.exe

PeID сказал что программа упакована UPX 0.80 - 0.84 -> Markus & Laszlo
Но взглянув на секции не очень это похоже на UPX.
Такое подозрение что это ExeCryptor.
Попытка открыть его через Olly не увенчалась успехом, изначально Olly сказала что EP находится за пределами code (specified in the PE header), сказала что этот файл наверное само-извлекающийся. И сразу после этого показала Exception C000001E (INVALID LOCK SEQUENCE) - Use Shift+F7.......
С чего можете посоветовать начать исследование данного проекта?


c001_ExeCryptor.gif

| Сообщение посчитали полезным:

SLayer пишет:
И сразу после этого показала Exception C000001E (INVALID LOCK SEQUENCE) - Use Shift+F7.......
Это экзэкриптор.

| Сообщение посчитали полезным:

далее покажет сообщение что обнаружен отладчик или просто завершится ;)

| Сообщение посчитали полезным:

SLayer пишет:
С чего можете посоветовать начать исследование данного проекта?
Кажется Quick Unpack экзэкриптор распаковывает, попробуй им

| Сообщение посчитали полезным:

Пробую распокавать используя Quick Unpack.
Quick Unpack v0.7
(c) stripper 2.11 rc3 engines by syd
(c) by FEUERRADER [AHTeam]

16:00:04 - Some OEP has been detected...0089B98B
16:00:18 - Unhandled break detected at 0089898A
16:00:18 - Unhandled single step at 00898C26
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
16:00:18 - Unhandled break alt detected at 008995CE
16:00:19 - ImageBase: 00400000
16:00:19
16:00:19 - OEP: 0089B98B
Unpacking routine started......

16:00:19 - Unhandled single step at 0089B49C
16:00:19 - Unhandled single step at 0089B6B1
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
16:00:21 - Unhandled break detected at 00709764
16:00:21 - Target was terminated!
16:00:21 - Unpacked file hasn`t been created
16:00:21 - Done

Не хочет

| Сообщение посчитали полезным:

SLayer пишет:
Не хочет
Тогда не знаю

| Сообщение посчитали полезным:

Asterix пишет:
далее покажет сообщение что обнаружен отладчик или просто завершится
на самом деле после многих Exceptions'ов программа просто завершается.
Как её отучить от этого? Может какой плагин для оли позволяет побороть это?

| Сообщение посчитали полезным:

SLayer
почитай форум что ли, инфа проходила, надо только поискать.

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

> Может какой плагин для оли позволяет побороть это?

может, для не самого свежего EXECryptor'а есть такой плагин, но он есть не у всех

| Сообщение посчитали полезным:

Разве что для Demo, полный не распаковывается в принципе.

| Сообщение посчитали полезным:

John Freeman пишет:
Разве что для Demo, полный не распаковывается в принципе.
А почему не распаковывается в принципе? Какова причина?
Я так думаю, если прога запускается и функционирует, то по крайней мереи распаковать её уж точно можно!

| Сообщение посчитали полезным:

Можно ссылочку обновить, а то эта не робит?

| Сообщение посчитали полезным:

-skiped-

| Сообщение посчитали полезным:

С ОЕР пока не всё ясно, похоже 004073A8. А вот с IAT можно делать так:
стоя на ОЕР делаем поиск #FF25#, видим:
/*6CFD43*/ JMP Internet.005E4003
/*6CFD48*/ CALL Internet.006D8727
/*6CFD4D*/ JMP DWORD PTR DS:[5C2930]
Ставим "New origin here" на 6CFD48 и F2 на 6CFD4D далее F9 и получаем:
006CFD43 - E9 BB42F1FF JMP Internet.005E4003
006CFD48 E8 DA890000 CALL Internet.006D8727
006CFD4D - FF25 30295C00 JMP DWORD PTR DS:[5C2930] ; user32.AdjustWindowRectEx
Смотрим таблица становится нормальной:
005C2928 34 EA 70 00 42 ED 6F 00 4кp.Bнo.
005C2930 D1 92 D3 77 DD 0E 71 00 С’УwЭq.
И т.д.

| Сообщение посчитали полезным:

Большое спасибо всем кто откликнулся.

| Сообщение посчитали полезным: