PUSH EBP
MOV EBP,ESP
PUSH -1
PUSH yyl_.004768F0 <---- Это легко восстановить
PUSH yyl_.00406AD0 <---- Это легко восстановить
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,10
PUSH EBX
PUSH ESI
PUSH EDI
MOV DWORD PTR SS:[EBP-18],ESP
CALL DWORD PTR DS:[4761D8] ; kernel32.GetVersion <---- Это легко восстановить
XOR EDX,EDX
MOV DL,AH
MOV DWORD PTR DS:[40F49C],EDX <---- Х.З. как восстановить...
MOV ECX,EAX
AND ECX,0FF
MOV DWORD PTR DS:[40F498],ECX <---- Х.З. как восстановить...
SHL ECX,8
ADD ECX,EDX
MOV DWORD PTR DS:[40F494],ECX <---- Х.З. как восстановить...
SHR EAX,10
MOV DWORD PTR DS:[40F490],EAX <---- Х.З. как восстановить...
PUSH 0
CALL yyl_.0046C860 <---- Это легко восстановить
POP ECX
TEST EAX,EAX

В листинге приведено стандартное начало прог написанных на Microsoft Visual C++ 6.0. Снимал прот какой-то с одной проги, наткнулся на спёртые байты, т.к. я незнаю чё это за прот я даже не стал находить эти байты. Я просто скопировал байты из другой проги и поправил почти все адреса, но осталось ещё пару адресов которые в листинге я пометил как "Х.З. как восстановить..." Кто знает что это за адреса и как их восстановить?

-----
Research For Food

| Сообщение посчитали полезным:

пара адресов=4 (Х.З) ?
скорее всего неизвестен 1 ХЗ - смотри в теле прототипа куда они выходят

| Сообщение посчитали полезным:

r99 пишет:
смотри в теле прототипа куда они выходят
Можешь более понятными словами выразиться? А то голова уже не варит...

-----
Research For Food

| Сообщение посчитали полезным:

Посмотри ссылки на эти адреса в оригинале - найдёш код, который читает эти ячейки; потом ищи такой же код в восстанавливаемой проге - он будет читать из искомых адресов.

| Сообщение посчитали полезным:

daFix пишет:
MOV DWORD PTR DS:[40F49C],EDX <--
Эти адреса из секции дата , ставь мемори бряк на секцию дата да смотри когда оеп ищешь

| Сообщение посчитали полезным:

Спасибо) Spate мне уже подсказал как найти эти адреса Всем откликнувшимся огромное спасибо!

-----
Research For Food

| Сообщение посчитали полезным: