Кто нибудь делал inline'ы для этого пакера (PEtite 2.x -> Ian Luck), если можно ссылочку или како-нибудь тутор. Зарание благодарен, а то сам че то порыл не смог.

| Сообщение посчитали полезным:

Лучше распаковать, хотя можно и патчить..

| Сообщение посчитали полезным:

Дык распаковать, то хорошо, но лучше заинлайнить и патч сделать, чем крякед.ехе распространять.

WaNDeR
А в чём именно проблема? Не можешь переход на ОЕР найти?

| Сообщение посчитали полезным:

Вот, нашёл у ся в дебрях винта ;)

_1582032370__petite_21.txt

| Сообщение посчитали полезным:

WELL
Да не OEP я нашел и распокавал, а вот как допустим исправить переход с правельного OEP на мой, я допустим не доганяю в UPX допустим все просто там по адресу лежит jmp OEP, взяли и исправили а здесь по адресу где должен быт jmp OEP, адреса нет так как он я понимаю еще упакован .
Asterix
Почитаю пасиб

Но я так понимаю на практике это ни кто не делал?

| Сообщение посчитали полезным:

WaNDeR пишет:
а здесь по адресу где должен быт jmp OEP, адреса нет так как он я понимаю еще упакован
jmp OEP вообще кажись только в УПИксе лежит открытым текстом.
Дай ссылку на прогу, я потом гляну.

| Сообщение посчитали полезным:

www.snapfiles.com/dlnow/rdir.dll?id=107553
прога Hmonitor

| Сообщение посчитали полезным:

Я делал инлайн для петита так:
в аттаче выше

0137:004DA047  682A1C4100          PUSH    00411C2A

0137:004DA04C  64FF3500000000      PUSH    DWORD PTR FS:[00000000]

0137:004DA053  64892500000000      MOV     FS:[00000000],ESP

Вот сразу после EP идет push 411c2a. Это указатель обработчика SEH. Петит после первого слоя распаковки вызывает кривой опкод, и попадает в это обработчик для проверки CRC. Просто заменяете этот адрес на свой, делаете свое дело (прога уже распакована) и передаете упарвление оригинальному SEH. Поправить мессаджбокс с сообщением о вирусе можно там же - думаю, разберетесь как, это несложно.

| Сообщение посчитали полезным: