Пытаюсь распаковать прогу LearnWords. Дохожу до вроде бы OEP. (после кода с некоторый количеством mov.... ставлю бряк на секцию code и падаю здесь

$ 33C0 XOR EAX, EAX
00424661 |. 6A 00 PUSH 0 ; /MaximumSize = 0
00424663 |. 394424 08 CMP [DWORD SS:ESP+8], EAX ; |
00424667 |. 68 00100000 PUSH 1000 ; |InitialSize = 1000 (4096.)
0042466C |. 0F94C0 SETE AL ; |
0042466F |. 50 PUSH EAX ; |Flags = 0
00424670 |. FF15 7CB14400 CALL NEAR [DWORD DS:<&kernel32.HeapCr>; \HeapCreate
00424676 |. 85C0 TEST EAX, EAX
00424678 |. A3 84394600 MOV [DWORD DS:463984], EAX
0042467D |. 74 15 JE SHORT lw_.00424694
0042467F |. E8 B2130000 CALL lw_.00425A36
00424684 |. 85C0 TEST EAX, EAX
00424686 |. 75 0F JNZ SHORT lw_.00424697
00424688 |. FF35 84394600 PUSH [DWORD DS:463984] ; /hHeap = NULL
0042468E |. FF15 78B14400 CALL NEAR [DWORD DS:<&kernel32.HeapDe>; \HeapDestroy
00424694 |> 33C0 XOR EAX, EAX
00424696 |. C3 RET
00424697 |> 6A 01 PUSH 1
00424699 |. 58 POP EAX ; kernel32.7C816D4F
0042469A \. C3 RET

т.е. это не есть гуд. так где же она.. точка входа?

после ret возвращаюсь в код аспра. неужели VM?

| Сообщение посчитали полезным:

Программа LearnWords 2.04 _http://www.learnwords.ru/download/learnwords.exe

Нужна помощь в распаковке. Stripper ее не берет.
У меня руками не получилось. Собственно требуется дойти в ней до OEP. Дальше я сам.

| Сообщение посчитали полезным:

Мне качать прогу весом 2.5 Mb очень накладно (у меня GPRS), да и не разбираюсь я в аспре. Единственное чем могу помочь, это дать скрипты для ольки для автоматического нахождения OEP. Удачи ;)

a8ee_scripts.rar.zip

| Сообщение посчитали полезным:

Const спасибо, но тут скрипты не прокатили (ничего они не нашли), к тому же половина для нахождения OEP для aspr 1.3. а там 2.1x SKE (PEiD 0.94 показал). тут нужен другой подход...

| Сообщение посчитали полезным: