Скачал недавно программу NetInfo. Программа содержит полезные тузлы для сетки собранные вместе.
Скачать можно тут:
netinfo.tsarfin.com/downloads/netinfo.zip
вес: 1,6 метра.

Установил прогу. Грянул PEiD'ом. Упаковщит Neolite 2.0
Начал распаковку вручную.Тут проблема в следующем. Насколько я понял OEP находится по адресу:004258D7
Снял дамп, восстановил импорт. PEiD пишет:Microsoft Visual C++ 7.0 Method2
Но при запуске в Olly DBG олька ругается говорит, что файл возможно упакован. Снял упаковщик вроде верно, даже статьи здесь про Neolite перечел.Все вроде верно. Может что с РЕ заголовком? Или ОЕР нето?

| Сообщение посчитали полезным:

dimaxmaster

Дальше то, проблема какая?
Тебе не нравится мессага?

| Сообщение посчитали полезным:

NIKOLA пишет:
Дальше то, проблема какая?
Тебе не нравится мессага?

Странновато, что она выводится, по идее не должна. Меня пока больше волнует то, что после этой мессаги олька ругается и на бряки, которые я пытаюсь ставить,т.е. грит шо бряк не в чем-то и ставите на свой страх и риск. И после F9 может на бряках вообще не остановиться, поэтому прогу трудно исследовать.Логично подумать, что что-то скорее всего с РЕ заголовком, на него олька и ругается, но возможно я ОЕР не правильно нашел!

| Сообщение посчитали полезным:

dimaxmaster, олька глючит видимо. ОЕП ты нашёл верно. Не знаю поможет ли тебе, но активируй на всякий случай опцию "Skip compressed code warning and..." в Olly Advanced.

| Сообщение посчитали полезным:

Смотря чо Олька говорит, если EntryPoint outside of code section, забей болт. В принципе тут будут фишки типа того, что анализ сохраняться не будет. Чтобы поправить, поменяй в заголовке SizeOfCode на весь размер файла.

| Сообщение посчитали полезным:

dimaxmaster
Neolite 2.0 древний пакер к тому же платный врядли сейчас подобным дерьмом пакуют, тем более сетевые проги ! Скорей всего ты неправильно распаковал!

| Сообщение посчитали полезным:

to dimaxmaster:
если есть возможность, можешь глянуть мой распакованный вариант, будут ли с ним такие же траблы:
http://slil.ru/23373314 http://slil.ru/23373314

| Сообщение посчитали полезным:

там импорт здоровый, функций 700, наверное в импреке ты маленький размер поставил... и не всё восстановил. Я на jmp EAX сдампил, потом импорт. Запустилось нормально.

| Сообщение посчитали полезным:

pavka пишет:
древний пакер
Где только откопали,археологи?
Попадалось как то давно упакованых им,всего две проги,сам пакер и NeoTracePro.ОЕР на апаратный(hr esp-4) ловиться,в дампе последнюю секцию (пакера),можно удалить.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Mifodix
варнинг можно отключить, но с бряками проблемы остаются

Archer
Полезный совет, но какой должен быть SizeOfCode?Это сумма SizeOfInitializedData+SizeOfUninitializedData или какая?

fix200
а какой нужно размер?

BoOMBoX/TSRh
скачаю гляну, tnks

| Сообщение посчитали полезным:

Если инлайнить будешь - обрати внимание на оверлей, при цеплянии новой секции можешь убить, так что подумай И ещё нужно VirtualProtectEx отрубить...

| Сообщение посчитали полезным:

dimaxmaster
При загрузке файла SizeOfCode не влияет особо вроде, поставь его равным размеру файла ну или чтобы хотя бы покрыло нужную секцию (вторую секцию, полагаю).

| Сообщение посчитали полезным:

dimaxmaster пишет:
...Меня пока больше волнует то, что после этой мессаги олька ругается и на бряки, которые я пытаюсь ставить,т.е. грит шо бряк не в чем-то и ставите на свой страх и риск. И после F9 может на бряках вообще не ...

можно ольку пропатчить и всё норм будет тока это на свой страх и риск, могу даже место
подсказать...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Archer
спасибо за совет, нашел свою ошибку, надо было поменять значение в PE BaseofCode - на нем и ругалась олька. Теперь и с бряками все в порядке

Hellspawn
Не ольку патчить не хочу, нашел свою ошибку в РЕ и олька работает на ура

| Сообщение посчитали полезным: