Привет всем.Вот решил обратиться за помощью ко всем тем кто шарит в Obsidium.Прога называется All My Books.Красивая и удобная такая прога для создания коллекции книг.Как показывает пейд на ней висит Obsidium V1.2.5.8.Дело в том,что с обсидом я не дружу да и не распаковывал его ни разу.Ну когда то начинать всё-равно надо.Просмотрел туторы с tuts4you,но полезного ничего не нашёл,по крайней мере про спёртые байты с ОЕП там ничего не говорится.
Прогу можно скачать здесь: www.bolidesoft.com/software/amb_setup.exe
Мой корявый дамп здесь: rapidshare.com/files/108524810/Dumped_.rar.html
Скрипт для ОЕП: rapidshare.com/files/108525359/OEP.txt.html
IAT: rapidshare.com/files/108525467/Import.txt.html
Для нахождения OEP в скрипте я применил VirtualProtect и CreateThread,но в этой программе до ОЕП можно дойти быстрее: в настройках убираем галочку с INT3 exception,два раза на Shiht+F9 и затем бряк на память в секцию кода,ещё раз Shift+F9 и мы на OEP....или на фальшивом ОЕП.Вот тут у меня первая загвозка.Вот это вроде никак не катит за оригинальную ОЕП:

006B4EE8 E8 8F2DD5FF CALL 00407C7C
006B4EED 33C0 XOR EAX,EAX
006B4EEF 55 PUSH EBP
006B4EF0 68 9E556B00 PUSH 006B559E
006B4EF5 64:FF30 PUSH DWORD PTR FS:[EAX]
006B4EF8 64:8920 MOV DWORD PTR FS:[EAX],ESP
006B4EFB 68 B0556B00 PUSH 006B55B0 ; ASCII "AMB_Mutex_wow"
006B4F00 6A 00 PUSH 0
006B4F02 6A 00 PUSH 0
006B4F04 E8 5F2FD5FF CALL 00407E68
006B4F09 B2 01 MOV DL,1
006B4F0B B8 C8556B00 MOV EAX,006B55C8 ; ASCII "ShowSplash"
006B4F10 E8 BBB4EBFF CALL 005703D0
006B4F15 84C0 TEST AL,AL

Но если зайти в первый же Call,то что-то знакомое:


00407C7C 53 PUSH EBX
00407C7D 8BD8 MOV EBX,EAX
00407C7F 33C0 XOR EAX,EAX
00407C81 A3 10276C00 MOV DWORD PTR DS:[6C2710],EAX
00407C86 6A 00 PUSH 0
00407C88 E8 2BFFFFFF CALL <JMP.&kernel32.GetModuleHandleA>
00407C8D A3 18276C00 MOV DWORD PTR DS:[6C2718],EAX
00407C92 A1 18276C00 MOV EAX,DWORD PTR DS:[6C2718]

Собственно первый вопрос,как в обсиде найти спёртые с оеп байты?

Дальше проблема с импортом:

Например первый прыжок в IAT:

003E0256 60 PUSHAD
003E0257 9C PUSHFD
003E0258 66:B8 EFE7 MOV AX,0E7EF
003E025C B6 32 MOV DH,32
003E025E - E9 8A97FCFF JMP 003A99ED

Дальше если потрейсить этот участок,то:

003A9B24 0FB746 02 MOVZX EAX,WORD PTR DS:[ESI+2]
003A9B28 EB 03 JMP SHORT 003A9B2D
003A9B2A 46 INC ESI
003A9B2B B4 1C MOV AH,1C
003A9B2D 6A 01 PUSH 1
003A9B2F 50 PUSH EAX
003A9B30 6A 00 PUSH 0
003A9B32 FF76 04 PUSH DWORD PTR DS:[ESI+4]
003A9B35 FF37 PUSH DWORD PTR DS:[EDI]
003A9B37 FF53 54 CALL DWORD PTR DS:[EBX+54]
003A9B3A EB 02 JMP SHORT 003A9B3E <-------------------встаём здесь,в EAX адрес API

Остальное фиксил скриптом.Скрипт увы я куда-то про...ал,так что выкладываю дерево Impreca.
[url=IAT: rapidshare.com/files/108525467/Import.txt.html]--> Скачать <--[/url]

Эмулированные Obsidium апи встречались мне крайне редко,например:

003E029D B8 70023E00 MOV EAX,3E0270 ; ASCII ""C:\Program Files\AllMyBooks\allmybooks.exe""
003E02A2 - E9 19A7FCFF JMP 003AA9C0

Если я конечно не ошибаюсь,то так выглядят эмулируемые API?

Вроде думал,что всё с импортом,да хренушки.
Осталось несколько прыжков в иат,и не могу понять что это.Например вот:

00407F30 - FF25 CCC2A300 JMP DWORD PTR DS:[<&kernel32.FreeLibrary>; kernel32.FreeLibrary
00407F36 8BC0 MOV EAX,EAX
00407F38 - FF25 18F56D00 JMP DWORD PTR DS:[6DF518] <-------------первое нло
00407F3E 8BC0 MOV EAX,EAX
00407F40 - FF25 C4C2A300 JMP DWORD PTR DS:[<&kernel32.GetACP>] ; kernel32.GetACP
00407F46 8BC0 MOV EAX,EAX
00407F48 - FF25 C0C2A300 JMP DWORD PTR DS:[<&kernel32.GetCPInfo>] ; kernel32.GetCPInfo
00407F4E 8BC0 MOV EAX,EAX
00407F50 - FF25 BCC2A300 JMP DWORD PTR DS:[<&kernel32.GetCommandL>; kernel32.GetCommandLineA
00407F56 8BC0 MOV EAX,EAX
00407F58 - FF25 B8C2A300 JMP DWORD PTR DS:[<&kernel32.GetComputer>; kernel32.GetComputerNameA
00407F5E 8BC0 MOV EAX,EAX
00407F60 - FF25 B4C2A300 JMP DWORD PTR DS:[<&kernel32.GetCurrentD>; kernel32.GetCurrentDirectoryA
00407F66 8BC0 MOV EAX,EAX
00407F68 - FF25 00F56D00 JMP DWORD PTR DS:[6DF500]
00407F6E 8BC0 MOV EAX,EAX
00407F70 - FF25 FCF46D00 JMP DWORD PTR DS:[6DF4FC]
00407F76 8BC0 MOV EAX,EAX
00407F78 - FF25 ACC2A300 JMP DWORD PTR DS:[<&kernel32.GetCurrentT>; kernel32.GetCurrentThread
00407F7E 8BC0 MOV EAX,EAX
00407F80 - FF25 A8C2A300 JMP DWORD PTR DS:[<&kernel32.GetCurrentT>; kernel32.GetCurrentThreadId


Таких прыжков достаточно много,но потрейсив их я нихрена не понял.Такое ощущение,что это замануха.Вот по адресу 00407F38 прога у меня и падает.Ну это и понятно,так как такого адреса в проге нету.

Вообщем ещё раз повторю свои вопросы:
1-Как в обсиде найти спёртые байты?
2-Кто шарит в этом проте,посмотрите пожалуйста чё за функи я не нашёл.

Заранее благодарен всем за ответы!

| Сообщение посчитали полезным:

Djeck пишет:
Но если зайти в первый же Call,то что-то знакомое:
00407C7C 53 PUSH EBX
останавливаешься тут, смотришь стек, eax и дописываешь оеп типа:
push ebp
mov ebp, esp
add esp, -XX
mov eax, YY
call 00407C7C

хотя бывают ещё и вариации. посмотри какая версия делфей..
насчет импорта хз, я когда-то одну прогу распаковывал, там пару фунок эмулилось..

ps. хорошо составил вопрос..респект, пусть люди учаццо..

| Сообщение посчитали полезным:

Вот сейчас от нечего делать ковырял анпакми с tuts4you.Версия Obsidium 1.3.4.2,ВСЕ ОПЦИИ!!!Распаковал за 15 минут.Чё самое интересное оеп даже не восстанавливал (т.е. работает и так),и с импортом тоже всё без проблем,только я удивился,что в анпакми вообще ни одно проэмуленной функи нету.Хотя насколько я знаю GetVersion обсид имулит постоянно.
sniperZ пишет:
насчет импорта хз, я когда-то одну прогу распаковывал, там пару фунок эмулилось
sniperZ да втом то и дело,что по адрессу 00407F38 вроде и не эмуляция,а просто тупые команды,по крайней мере я ничего не заметил.Я вот думаю интересно это API не самого обсида для регистрации?Кто копал,давайте подсказывайте

| Сообщение посчитали полезным:

Сейчас посмотрел начало делфи 5-6 версий и решил,что быстрее подобрать начало программы.Тут в проге спёрто с оеп 17 байт,так,что начало приблезительно наверное такое:

006B4ED7 > $ 55 PUSH EBP
006B4ED8 . 8BEC MOV EBP,ESP
006B4EDA . 83C4 F0 ADD ESP,XXX
006B4EDD . 53 PUSH EBX
006B4EDE . 33C0 XOR EAX,EAX
006B4EE0 . 8945 F0 MOV DWORD PTR SS:[EBP-10],EAX
006B4EE3 . B8 30664500 MOV EAX,XXXXXXX

осталось только узнать какое значение вписывать в esp и eax.

sniperZ пишет:
00407C7C 53 PUSH EBX
останавливаешься тут, смотришь стек, eax и дописываешь оеп типа

не совсем тебя понял.В eax в этом случае значение 0,а значение esp 006b4eed.
И что вписывать надо?

| Сообщение посчитали полезным:

Ну вот eax откопал:
006B4EE3 . B8 30664500 MOV EAX,6B4788
А вот с esp никак.А страшно если оставить esp-10,просто я посмотрел на большинстве делфи прог в esp добавляется -10?

| Сообщение посчитали полезным:

sniperZ пишет:
останавливаешься тут, смотришь стек, eax и дописываешь оеп типа:
push ebp
mov ebp, esp
add esp, -XX
mov eax, YY
call 00407C7C
В обсиде спертые байты просто разбавлены мусором вы неправильно вышли к оеп

| Сообщение посчитали полезным:

pavka пишет:
В обсиде спертые байты просто разбавлены мусором вы неправильно вышли к оеп

Т.е это вообще не ОЕП?А как тогда к нему пройти?

| Сообщение посчитали полезным:

Djeck пишет:
Т.е это вообще не ОЕП?А как тогда к нему пройти?
По обсиду полным полно на форме топиков! Выйти к оеп там проще простого! Можешь на востановление стека ловить, можешь на CreateThread без разницы ;) спертые команды не проэмулены а в оригинальном виде поэтому смысл их додумывать самому? Импорт луще патчить до оеп , ну и помнить что каждая библа кроме нулей разделяеться фейковым значением что бы попусту не трейсить ;) очень просто проверить скриптом прочекать в секции кода ссылки в иат .Djeck пишет:
API не самого обсида для регистрации
Их визуально определить в иат очень просто

| Сообщение посчитали полезным:

Судя по логам правильно он на OEP вышел.

Djeck пишет:
А страшно если оставить esp-10
Нет не страшно, попробуй запустить если закроется, то попробуй увеличить/уменьшить значение

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Судя по логам правильно он на OEP вышел
Да в том то и дело помойму ОЕП самое то .Пробовал по hr esp-4,потом немного потрейсил и один хрен га тоже ОЕП попал,так что pavka,ты меня походу спутал
Проблема-то сейчас в том,что прога закрывается и ошибка при обращении к проэмулинной API,вот сижу и гадаю,не могу понять чё это такое.Я вот подумал, а что если не трахать себе мозг а взять и проэмулить эту функу у себя в проге?Работать то должно?Хотя конечно хорошо бы отгадать чё это за функция.

| Сообщение посчитали полезным:

PE_Kill пишет:
Судя по логам правильно он на OEP вышел.
Речь идет не о том куда он вышел а как ! Djeck пишет:
Чё самое интересное оеп даже не восстанавливал (т.е. работает и так),и с импортом тоже всё без проблем,только я удивился,что в анпакми вообще ни одно проэмуленной функи нету.Хотя насколько я знаю GetVersion обсид имулит постоянно.
Похоже что он вообще не понимает что делает тупо берет скрипт и запускает ;) может мой может мухин
PE_Kill пишет:
Нет не страшно, попробуй запустить если закроется, то попробуй увеличить/уменьшить значение
А с чего бы ей запускатся если у него как он говорит половина импорта в проте Djeck пишет:
Пробовал по hr esp-4,потом немного потрейсил и один хрен га тоже ОЕП попал,так что pavka,ты меня походу спутал
Прикольно даже если это и первый кэл
006B4EE8 E8 8F2DD5FF CALL 00407C7C
то перед выполнением в еах прот должен заслать начало таблички как ты трейсил мимо этого кода?

| Сообщение посчитали полезным:

pavka пишет:
Похоже что он вообще не понимает что делает тупо берет скрипт и запускает ;) может мой может мухин
pavka ты не умничай,а для начала возьми и нормально прочитай мои посты выше,а то я смотрю ты бегло просмотрел и не заметил,что я писал:
Djeck пишет:
Вот сейчас от нечего делать ковырял анпакми с tuts4you.Версия Obsidium 1.3.4.2,ВСЕ ОПЦИИ!!!Распаковал за 15 минут.Чё самое интересное оеп даже не восстанавливал (т.е. работает и так),и с импортом тоже всё без проблем,только я удивился,что в анпакми вообще ни одно проэмуленной функи нету
Я здесь писал про анпакми,который работает и без восстановленного ОЕП.Не веришь?Проверь.
Во вторых:
Djeck пишет:
Ну вот eax откопал:
006B4EE3 . B8 30664500 MOV EAX,6B4788
Вот перед этим Call в eax и оказалось значение 6B4788
pavka пишет:
Похоже что он вообще не понимает что делает тупо берет скрипт и запускает
Какой нахрен скрипт.Как я его беру тупо и запускаю ничего не понимая если этот скрипт я и писал?
Короче pavka если хочешь кого-то обосрать,ты сначало прочитай всё нормально,а потом делай выводы.Если ОЕП не тот ткни в него носом!

| Сообщение посчитали полезным:

Djeck пишет:
я удивился,что в анпакми вообще ни одно проэмуленной функи нету
Потому и удивился что имеешь ни малейшего представления
Djeck пишет:
006B4EE3 . B8 30664500 MOV EAX,6B4788
Смешно ;) Хотя мне в принципе все равно ;) То что ты не понимаешь это твои проблемы...Djeck пишет:
Как я его беру тупо и запускаю ничего не понимая если этот скрипт я и писал?
Запости покажи класс

| Сообщение посчитали полезным:

pavka ну извини я не такой вундеркинд,как ты и с первого раза обсид взять не смог.И заметь из всех твоих постов,нету ни одного толкового,который мог что-то показать и подсказать.У тебя это наверное в крови высмеивать других.
pavka пишет:
Хотя мне в принципе все равно
Ну вот если тебе и всё равно то нехера писать всякую чушь.А то ОЕП не правильное,это смешно,тут нихрена не понимаешь,тут на глаз можно определить.Ты возьми запости кусок кода,как выглядит оеп,проэмуленная функа,а обсирать мы уже поняли ты мастер.
P.S> Только не надо писать ответ и мусорить топик,всё равно ты уже сказал,что тебе всё равно и путного ты ничего не напишешь.

| Сообщение посчитали полезным:

Djeck пишет:
в крови высмеивать других.
Ты высмеивешь себя сам ;) Djeck пишет:
обсирать мы уже поняли ты мастер.
вы это кто? Djeck пишет:
тебе всё равно и путного ты ничего не напишешь.
Тебе попытались дать совет увы как говорит библия безполезно метать бисер ...

| Сообщение посчитали полезным:

pavka пишет:
Ты высмеивешь себя сам
Чем?То что я хочу чему нибудь научиться?
pavka пишет:
Тебе попытались дать совет увы как говорит библия безполезно метать бисер
Где?
pavka пишет:
В обсиде спертые байты просто разбавлены мусором вы неправильно вышли к оеп
pavka пишет:
По обсиду полным полно на форме топиков
pavka пишет:
Их визуально определить в иат очень просто
pavka пишет:
Похоже что он вообще не понимает что делает тупо берет скрипт и запускает
pavka пишет:
Потому и удивился что имеешь ни малейшего представления
pavka пишет:
Запости покажи класс
Покажи хоть один умный твой совет.Оеп неправильно-покажи правильный!API obsida определить визуально легко?Тебе да,я их в жизни не видел.Так возьми запости пару строк,тебе же не тяжело.Не имею ни малейшего представления о распаковке Obsidiuma,так поделись опытом.А если лень,то не хера всякую чушь нести.
Я бы и сейчас промолчал,но твой выпендрёж уже порядком достал и я думаю не только меня.Замечу,что лично ты меня уже не первый раз высмеиваешь.

| Сообщение посчитали полезным:

Ты гляди, по весне , не все ещё "альфа-самцы" разбежались....
Давно жаренного не было...
============
А стаб и ныне там...
На D.5-6, иногда и 7, где-то так будет:
PUSH EBP
MOV EBP,ESP
ADD ESP,- const
MOV EAX, stert_init_tabble
CALL procedure_init_target
MOV EAX,[хз_const]
MOV EAX,[EAX]
CALL bla-bla
MOV ECX,[ne pomniu]
MOV EAX,[ne znaiu]
MOV EAX,[EAX]
MOV EDX,[zabul]
CALL bla_bla
MOV ECX,[ne pomniu]
MOV EAX,DWORD PTR DS:[ne znaiu]
MOV EAX,DWORD PTR DS:[EAX]
MOV EDX,DWORD PTR DS:[zabul]
CALL bla-bla
MOV EAX,[ne pomniu]
MOV EAX,[EAX]
CALL start_target
CALL exit_target

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Вроде OEP следующий:

push ebp
mov ebp, esp
mov ecx, 11
push 0 @
push 0
dec ecx
jnz @
push ecx
push ebx
push esi
push edi
mov eax, 6B5918

| Сообщение посчитали полезным:

VaZeR да не походу я правильно ОЕП нашёл и спёртые байты вроде правильные.Сейчас осталось потрейсить несколько проэмуленных функций и будет результат.Сейчас после восстановления 80 процентов фунок уже показывается заставка и глдавное окно,потом вылет.Добью импорт отпишусь.Просто тяжеловато на глаз определять функции.Да опыта маловато.
VaZeR,а ты знаешь как выглядят апи прота?

| Сообщение посчитали полезным:

Варнинг 2 товарищам за то, что устроили из топика базар. Ещё раз-и побаню обоих.

| Сообщение посчитали полезным:

Archer
Бань если считаешь нужным. Но это прсто перлDjeck пишет:
Сейчас после восстановления 80 процентов фунок уже показывается заставка и глдавное окно,потом вылет.Добью импорт отпишусь Научи меня таким чудесам!
Djeck пишет:
Просто тяжеловато на глаз определять функции.Да опыта маловато
А чего тяжеловато джек? ;) на память апи обсида еах==40

| Сообщение посчитали полезным:

Djeck
Есть старая статья HEX о снятии обсидиума, посмотри её там много чего полезного в ней, в том числе и про его API:
link_deleted_by_forum_engine/files/4854040

| Сообщение посчитали полезным:

Да, я считаю нужным побанить, пока на 3 дня. Тем более, что варнинг уже выкладывал. Да, может чел не особо шарит. Но зачем над ним глумиться в таком ключе-не знаю. Как-то это неправильно что ли...

| Сообщение посчитали полезным:

pavka пишет:
на память апи обсида еах==40
Если ты про вызов
push Magic
call ObsidAPI

То Magic в пределах от 3x до 4x может быть.
Иначе сорри, не понял значит о чем речь.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Павка сидит в бане и скучает Пишет:
В первом посте я обьяснил что ни чего не нужно додумывать и дописывать просто взять стартовый код из обсида! Сегодня качнул прогу эту там делов на пять минут! VaZeR ему почти правильное оеп сказал линк на анпакнутую rapidshare.com/files/108959463/Dump_.rar

| Сообщение посчитали полезным:

Понятно,значит я всё-таки неправильно оеп нашёл.

PE_Kill пишет:
Если ты про вызов
push Magic
call ObsidAPI

PEkill ты про это?

006B43A8 64:FF30 PUSH DWORD PTR FS:[EAX]
006B43AB 64:8920 MOV DWORD PTR FS:[EAX],ESP
006B43AE 68 39020000 PUSH 239
006B43B3 FF15 E2F08900 CALL DWORD PTR DS:[89F0E2]
006B43B9 E2 41 LOOPD SHORT 006B43FC
006B43BB F1 INT1
006B43BC FA CLI
006B43BD 76 38 JBE SHORT 006B43F7
006B43BF A5 MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ES>
006B43C0 ^ 73 DB JNB SHORT 006B439D
006B43C2 8636 XCHG BYTE PTR DS:[ESI],DH

Ну вот опять:

0052CB58 C3 RETN
0052CB59 ^ E9 9A7FEDFF JMP 00404AF8
0052CB5E ^ EB F8 JMP SHORT 0052CB58
0052CB60 5D POP EBP
0052CB61 C3 RETN
0052CB62 8BC0 MOV EAX,EAX
0052CB64 832D DCD76D00 0>SUB DWORD PTR DS:[6DD7DC],1
0052CB6B C3 RETN
0052CB6C B8 00266E00 MOV EAX,006E2600 ; ASCII "Bolvan Djeck"
0052CB71 C3 RETN
0052CB72 8BC0 MOV EAX,EAX
0052CB74 33C0 XOR EAX,EAX
0052CB76 40 INC EAX
0052CB77 C3 RETN
0052CB78 90 NOP
0052CB79 90 NOP
0052CB7A 8BC0 MOV EAX,EAX

Мне опять не понятно нафига надо было это писать?Это наверное просто,что бы поглумиться?

| Сообщение посчитали полезным:

Djeck пишет:
006B43AE 68 39020000 PUSH 239
006B43B3 FF15 E2F08900 CALL DWORD PTR DS:[89F0E2]
Ога похоже, странно что большое число. Хотя я не особо обсид ковырял только когда инлайн делал.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Вот кому интересно на примере это прожки таблличка обсида
003A4500 7C800000 kernel32.7C800000
003A4504 FFFFFFFF
003A4508 00000001
003A450C 00000000
003A4510 00000000
003A4514 0000040C
003A4518 77D30000 USER32.77D30000
003A451C FFFFFFFF
003A4520 00000000
003A4524 00000000
003A4528 00000000
003A452C 00000584
003A4530 77DC0000 ADVAPI32.77DC0000
003A4534 FFFFFFFF
003A4538 00000000
003A453C 00000000
003A4540 00000000
003A4544 000005A4
003A4548 77110000 OFFSET oleaut32.#355
003A454C FFFFFFFF
003A4550 00000000
003A4554 00000000
003A4558 00000000
003A455C 000005BC
003A4560 7C800000 kernel32.7C800000
003A4564 FFFFFFFF
003A4568 00000001
003A456C 00000000
003A4570 00000000
003A4574 000005D4
003A4578 77DC0000 ADVAPI32.77DC0000
003A457C FFFFFFFF
003A4580 00000000
003A4584 00000000
003A4588 00000000
003A458C 000005F4
003A4590 7C800000 kernel32.7C800000 <-----------длл
003A4594 FFFFFFFF <--------------- флаг
003A4598 00000001
003A459C 00000000
003A45A0 00000000
003A45A4 00000644
003A45A8 77BF0000 version.77BF0000
003A45AC FFFFFFFF
003A45B0 00000000
003A45B4 00000000
003A45B8 00000000
003A45BC 00000A7C
003A45C0 77F10000 GDI32.77F10000
003A45C4 FFFFFFFF
003A45C8 00000000
003A45CC 00000000
003A45D0 00000000
003A45D4 00000A94
003A45D8 77D30000 USER32.77D30000
003A45DC FFFFFFFF
003A45E0 00000000
003A45E4 00000000
003A45E8 00000000
003A45EC 00000E74
003A45F0 7C800000 kernel32.7C800000
003A45F4 FFFFFFFF
003A45F8 00000001
003A45FC 00000000
003A4600 00000000
003A4604 000014CC
003A4608 77110000 OFFSET oleaut32.#355
003A460C FFFFFFFF
003A4610 00000000
003A4614 00000000
003A4618 00000000
003A461C 000014D4
003A4620 774D0000 ole32.774D0000
003A4624 FFFFFFFF
003A4628 00000000
003A462C 00000000
003A4630 00000000
003A4634 00001544
003A4638 77110000 OFFSET oleaut32.#355
003A463C FFFFFFFF
003A4640 00000000
003A4644 00000000
003A4648 00000000
003A464C 000015C4
003A4650 77F10000 GDI32.77F10000
003A4654 FFFFFFFF
003A4658 00000000
003A465C 00000000
003A4660 00000000
003A4664 000015E4
003A4668 71AB0000 OFFSET wsock32.#1139
003A466C FFFFFFFF
003A4670 00000000
003A4674 00000000
003A4678 00000000
003A467C 000015EC
003A4680 773C0000 OFFSET COMCTL32.#319
003A4684 FFFFFFFF
003A4688 00000000
003A468C 00000000
003A4690 00000000
003A4694 00001654
003A4698 773C0000 OFFSET COMCTL32.#319
003A469C FFFFFFFF
003A46A0 00000000
003A46A4 00000000
003A46A8 00000000
003A46AC 0000166C
003A46B0 76360000 imm32.76360000
003A46B4 FFFFFFFF
003A46B8 00000000
003A46BC 00000000
003A46C0 00000000
003A46C4 00001734
003A46C8 72FC0000 winspool.72FC0000
003A46CC FFFFFFFF
003A46D0 00000000
003A46D4 00000000
003A46D8 00000000
003A46DC 0000175C
003A46E0 7C9C0000 OFFSET shell32.#598
003A46E4 FFFFFFFF
003A46E8 00000000
003A46EC 00000000
003A46F0 00000000
003A46F4 0000177C
003A46F8 771A0000 wininet.771A0000
003A46FC FFFFFFFF
003A4700 00000000
003A4704 00000000
003A4708 00000000
003A470C 0000179C
003A4710 7C9C0000 OFFSET shell32.#598
003A4714 FFFFFFFF
003A4718 00000000
003A471C 00000000
003A4720 00000000
003A4724 00001804
003A4728 76380000 comdlg32.76380000
003A472C FFFFFFFF
003A4730 00000000
003A4734 00000000
003A4738 00000000
003A473C 00001824
003A4740 7C800000 kernel32.7C800000
003A4744 FFFFFFFF
003A4748 00000001
003A474C 00000000
003A4750 00000000
003A4754 0000184C
003A4758 00000000 <------------------- Апи обсида
003A475C 00000000 <------------------==0
003A4760 00000002
003A4764 00000000
003A4768 00000000
003A476C 00001854
003A4770 76B20000 winmm.76B20000
003A4774 FFFFFFFF
003A4778 00000000
003A477C 00000000
003A4780 00000000
003A4784 00001874
003A4788 771A0000 wininet.771A0000
003A478C FFFFFFFF
003A4790 00000000

-------------------------------
--------------
003A4A78 00470002 allmyboo.00470002
003A4A7C 7686844E
003A4A80 004C0002 allmyboo.004C0002
003A4A84 864FE2F7
003A4A88 004D0002 allmyboo.004D0002
003A4A8C 5364513C
003A4A90 00430002 allmyboo.00430002
003A4A94 166FE303
003A4A98 00520004 allmyboo.00520004
003A4A9C FB4CBB86
003A4AA0 00520004 allmyboo.00520004
003A4AA4 B63CDE56
003A4AA8 00520004 allmyboo.00520004
003A4AAC 902A4AE3
003A4AB0 00530004 allmyboo.00530004

| Сообщение посчитали полезным:

Помогите распаковать orange.dll
Там версия Obsidium 1.3.0.4
Вот архив 2.62mb http://multi-up.com/460707

| Сообщение посчитали полезным:

В запросы. И шапку прочитать не забудь.

| Сообщение посчитали полезным: