Привет! Распаковываю программу(Aspack 2.12!!!), а дамп - из 98 всё нормально, а из ХР - "Application Failed to initialize proprly". Вроде всё делаю правильно. И тем не мение, ничего не работает.

Вот чего я делаю (Вин98+СофтАйс) -
1. Break & Enter + bpint3
2. bpm esp-4 - Оказываюсь на POPAD, далее идёт push ХХХХХХ и ret. Ret - это и есть переход на ОЕП(?).
3. Оказавшись на ОЕП, делаю JMP EIP.
4. LordPE : Full Dumb
5. LordPE : Rebuild PE
6. Запускаю ImpRec, ввожу ОЕП-ИмиджБейс, Фикс Импорт.
7. Испровляю EBFE (Jmp EIP) на соотв. байты.
8. Из ХР ничего не работает.

Только пожалуйста не говорите мне читать статью про распаковку ! Я её читал!

И ещё, пара тупых вопросов.
1. Чисто ради интереса, распаковывал Win32Dasm. Делал всё по такой же схеме, а результат "Memory cannot be "read".
2. Иногда, при востановлении импорта ImpRec, он пишит что недостаточно места. Что делать ?

| Сообщение посчитали полезным:

Чё-то мне это напоминает. Чё за прога?

| Сообщение посчитали полезным:

Т.к. сам такой-же новичёк, как и ты, то не буду гнать тебя, мор RTFM и т.д. и т.п.
На счёт тупого вопроса №1: Вот как это делал я.
Пользуюсь Olly.к. с сайс у меня глючит, так что если чё не понятно, то извиняй.
1)Нахожe OEP=401000
2)Делаю дамп в Oll.
3)В ImpRec ввожу OEP=1000.
4)Жму IAI AutoSearch. Он мне выдеёт RVA=D45E0. Фикшу дамп. Но пофиксенный файл не работает.
5)Загружаю его в Olly. Запускаю. Возникает исключение при доступе в памяти

0045E49D . FF60 1C JMP DWORD PTR DS:[EAX+1C]

DS:[1004415C]=???
6)Сравниваю с исходным файлом
Там

0045E49D .-FF60 1C JMP DWORD PTR DS:[EAX+1C] ; W32Patch.100417CB
и
DS:[1004415C]=100417CB (W32Patch.100417CB)
7)Значит в импорте должен быть W32Patch
8)Далее - просто подгон. Считаю, что указатели на процедуры из W32Patch лежат где-то рядом с тем, что нашёл ImpRec. Делаю шаг 2, но после нажатия IAI AutoSearch вбиваю RVA=000D35E0 и size=0000255C(то есть расширяю на 1000h в обе стороны)
9)Вижу, что W32Patch есть среди импорта, но там ещё куча всякого хлама(чищу его). Фикшу дамп и
10)Всё работает!!!

| Сообщение посчитали полезным:

Novice пишет:
Вин98+СофтАйс

Как можно на таком раритете работать?

Загляни в рар статьи, там про распаковку аспака есть статья.

| Сообщение посчитали полезным:

NIKOLA пишет:
Как можно на таком раритете работать?

Я бы рад юзать XP+SoftICE. Только Айс не работает из под последнего.

А есть у кого-нибудь дагадки насчёт недостаки места при восстановлении импорта ? Что в этом случае делать ?

| Сообщение посчитали полезным:

Novice в имприке жми не Get imports, а правой кнопкой в окно с функциями, Advanced commands -> get api calls. Потом show invalid и правой по неопредилившимся функциям-> delete thunks. Обычно всегда помогает.

| Сообщение посчитали полезным: