Есть программа: slil.ru/28753333" target="_blank">--> Direct MP3 Joiner <--. Анализаторы не подсказали, что на ней висит, но тут мне подсказали, что на ней EXECryptor с применением только ВМ.
Никаких проблем в распаковке не было, OEP - 00565EE4. С импортом тоже проблем нет. После запуска выводится сообщение о модификации файла, которое убирается тут:

Далее программа уже запускалась, но появлялась ошибка в какой-то части кода. Как я понял, что проблема была в том, что в Address of callback - 0054B2C8 были не нули, а адрес из секции прота.
После записи туда нулей все нормально стало запускаться. Но осталось одно НО. В программе остались переходы на секции прота.
Как решить эту проблему?
З.Ы. Вот мой распакованный файл
| Сообщение посчитали полезным:

Она только "защищена" криптором, но не пакована, ее не надо распаковывать.

| Сообщение посчитали полезным:

А есть тогда возможность снять эту защиту в данном случае? Пока меня интересует именно это, а не регистрация программы.

| Сообщение посчитали полезным:

Если переходы туда, видимо, код виртуализированный/морфленый там, либо редирекченый импорт. Либо дампить/мириться с этим, либо декомпилять/деобфускать. Сомневаюсь, что второе потянешь. Видимо, лучше первое выбрать.
З.Ы. Файл не смотрел.

| Сообщение посчитали полезным:

Мне кажется, что тут еще дело в потоках. Когда программа запущена их аж 8. А смысл их дампить, если программа и так нормально работает)) Как я понял переходы на код прота нужны только для создания исключений (int 3). Первые переход (идет как jmp) я просто за'nop'ил, на программа тиак же нормально работает. Поэтому,думаю, что тут еще дело в этих потоках. Поглядите, плиз, уж очень хочется мне разобраться с этим, но опыта не хватает.

| Сообщение посчитали полезным:

Nabu, держи файло с отломленным злостным тредом _ссыль del

| Сообщение посчитали полезным:

Valemox пишет:
Nabu, держи файло с отломленным злостным тредом
что-то там совсем все странно. при запуске закрываются почти все запущенные программы и появляется окно для выбора метода выключения компьютера. При начале анализа в Олли такая же хрень. Посмотрел Address of callback - там адреса на секции прота. Каким образом там все "отломленно"?

| Сообщение посчитали полезным:

А чо эт так жоско у тя, неужели с импортом чо не так вышло. У мну на XPP SP2 все нормуль. Станного ничо и быть не может, сначала Unpacker ExeCryptor от RSI, а потом ручками в олли отлом 1-го треда по стандартному методу. Ну лан поковыряю еще, гляну чо там может быть нетак.
ЗЫ. А ты на какой оси юзал?

| Сообщение посчитали полезным:

а у тебя мой анпакнутый файл запускается (ссылка в первом посте). у меня хр сп3. в твоем анпаке все равно есть переходы на код прота...

| Сообщение посчитали полезным:

[offtop]

Valemox пишет:
У мну на XPP SP2 все нормуль

Nabu пишет:
у меня хр сп3

Вечная проблема с этой хренью у меня, на втором всё пашет, на третьем траблы. приходится иногда переделывать. всё цука из за импорта!!!

[/offtop]

| Сообщение посчитали полезным:

Все разобрался, этот запускается на любой xp _hттp://rapidshare.com/files/361688125/Done.rar
Nabu пишет:
в твоем анпаке все равно есть переходы на код прота...
А никто и не обещал, чо выпилит все секции прота, речь шла о потоке, который окно с ошибкой выкидывал, я его тебе и убрал, а дальше уж сам пили...

| Сообщение посчитали полезным:

Спасибо за проделанный труд. О потоках речь шла во вторую очередь. основная задача - это попробовать "выпилить все секции прота". Как решить проблему с окном об ошибке - я разобрался сам. но, как я понял, у нас с тобой разные методы использовались. как делал я - описано в самом первом посте. напиши подробнее как это сделал ты.

| Сообщение посчитали полезным: