Здраствйте, есть программа SSWx65, надо распаковать, чтобы в дальнейшем покапаться в ней.

PEid выдает как UPX 0.80 - 0.84 -> Markus & Laszlo
DIE эврестическим анализом показывает ExeCryptor 2.1.x

В IDA посомтрел на EP сразу джамп а потом просто идет сигнатура UPX
По названиям секций тоже больше похоже на ExeCryptor


Прога старая и версия на самом деле может быть такая, навороченной антиатладки по ходу нет.
Т.к. у меня в olly shadow без игры с планиами ollyAdvanced и Phantom нормально работает

OEP - 4014A6

сдампил.

IAT - я считаю по адресам:
start 404190
end 4048FA
length 769

Решил попробывать восстановить импорт с помощью скрипта от PE_Kill, но тут загвоздка, как не пробую уже на второй записи пишет, что запись is bad и т.д.

Я понимаю, что проблема скорее всего с руками и где-то я туплю.
Не могли бы вы помочь мне разобраться с этой проблемой.Просьба сильно не ругаться Заранее благодарен.

Положил архив программы на разные файлообменники.

[url=http://rapidshare.com/files/53511010/SSWx65.rar.html] rapidshare.com/files/53511010/SSWx65.rar.html
[/url]
ifolder.ru/3235579
slil.ru/24815968

| Сообщение посчитали полезным:

kukuruku

start 404190
end 4048FA

вот это не правильно, и ваще прога не запакована, там только первая секция восстанавливается при старте, можно и так пропадчить. И импорт кстате там тоже целый.

Правильные адреса
start 240967c
end 240a2d4

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
И импорт кстате там тоже целый.

НЕт! в импорте сперто 3 функции из kernel32.dll, а остальное там уже не системные библы, поэтому все у них цело.

kukuruku
Там просто криптор с большенством отключеных опций ( таких как антиотладка и воровать OEP )

В аттаче распакованный + IAT

8d8c_05.09.2007_CRACKLAB.rU.tgz - unpacked.rar

| Сообщение посчитали полезным:

Спасибо, разобрался с приложенным импортом, да и секции потренироваться поровнять благодаря приложенному экзешнику удалось

| Сообщение посчитали полезным: