есть прога All My Movies
www.bolidesoft.com/software/amm_setup.exe
PEiD выдал что ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov.
подозревая что это aspr 2.x начинаю распаковывать, дохожу до OEP, он находится в секции code. она большая, и OEP в самом конце (значит не VM). смотрю как выглядят спертые келлы - 00F20000. Пока что все как надо. смотрю IAT - все как всегда. перехожу к первому спетрому келлу, ставлю бряк на RET в VirtualAlloc и жмакаю F9 (юзаю Olly). и получаю... фигу. прогу клинит и она выкидывает ошибку при обращении к памяти. Не отчаиваясь я пытаюсь узнать а вообще она эти келлы преобразует или нет. запускаю прогу полностью, делаю поиск intermodular calls и получаю от такую фичу.

00401227 CALL 0140523D
00401344 CALL 00F20000
00401354 CALL 00F20000
00401374 CALL 00F20000
0040138C CALL 00F20000
004013B4 CALL 00F20000
004013BC CALL 00F20000
004013CC CALL 00F20000
004013D4 CALL 00F20000
00401414 CALL 00F20000
00401434 CALL 00F20000
00401444 CALL 00F20000
0040149C CALL 00F20000
0040151B CALL ALLMYM~1.004014C8 kernel32.LocalAlloc
004016DB CALL ALLMYM~1.004014D8 kernel32.VirtualAlloc
00401702 CALL ALLMYM~1.004014E0 kernel32.VirtualFree
0040172E CALL ALLMYM~1.004014D8 kernel32.VirtualAlloc
00401753 CALL ALLMYM~1.004014D8 kernel32.VirtualAlloc


значит она их не преобразует а обрабатывает каким то образом внутри этой 00F20000. что это? новый тип защиты или... на этом мысль останавливается.

| Сообщение посчитали полезным:

tIce
На форуме уже проходила тема и есть скрипты по востановлению импорта, используй поиск

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice, само собой я предварительно искал. дело в том, что скрипты которые рассмотрены и в rar статьях и на форуме не подходят. тут скрипты не помогают, даже если руками трейсить ничего не дает.

| Сообщение посчитали полезным:

скачав свежий PEiD .094 он показал что это 2.1x SKE. буду ковырять по соответствующему топику. тему закрываю. всем спасибо.

| Сообщение посчитали полезным: