Разгребал тут свои старые проекты, нашел вот такую вещь.
Ищет в распакованном(или дампе) protect.dll адреса обработчиков опкодов виртуальной машины.

В планах было сделать еще и определение самой команды, но не сложилось. Некоторые все же не обнаруживаются, тк код бывает замусорен с самого начала обработчика и анализ уходит по другим ветка кода.

Просто оставлю это здесь, может кому пригодится. Тестировался на 4.70

pass: доменное имя сайта с www

9003_05.09.2012_EXELAB.rU.tgz - sf_find_ophandlers.7z

| Сообщение посчитали полезным: [Nomad], BoOMBoX, Gideon Vi, MasterSoft, _ruzmaz_, Maximus

Дай сорцы поглядеть. Давно подумываю написать такую же утиль, но руки не доходят

| Сообщение посчитали полезным:

Да там ничего особенного-то и нет.
Находит первый опкод и начинает движение по коду с помощью beaengine, двигаясь по jmp'ам (в том числе и по левым). Если совпадения с следующей командой маски нет, то идет по коду еще некоторое время в надежде что найдет (в коде это 196 строка nCountBad < 7).

В лучшем случае надо либо деревом реализовывать (все равно остается проблема с переходами на мусорный код), либо прикручивать эмулятор, код там все равно базонезависимый по большому счету, тогда будет возможность сделать автоматическое определение и самого опкода.

3ecf_06.09.2012_EXELAB.rU.tgz - sf_find_ophandlers_src.7z

| Сообщение посчитали полезным: NikolayD, yanus0, Nightshade, DimitarSerg, _ruzmaz_, MasterSoft

оффтоп
Beaengine походу завонялся, автора не видно на форуме почти год, багов накопилось немало в том числе критических.

| Сообщение посчитали полезным: DimitarSerg

да там бабёнка автор, загуляла небось

| Сообщение посчитали полезным: