Нашёл, где программа обращается к GetTickCount. Как и чем можно заменить это обращение, чтобы возвращалось одно и тоже значение в прогу всегда? Если я понимаю правильно, это InlinePatch?
Ну или подскажите слова, по которым искать статью.

| Сообщение посчитали полезным:

Если на проге весит протектор, то нужно сделать инлайн патч или распаковать, если нет то прям в коде и проэмулируй вызов.

Примерно вот так:
mov eax, 1

Или посмотри как Фантом эмулирует эту API

| Сообщение посчитали полезным:

Так вот при распаковке у меня и проблемы. Скажи, а ИАТ распакованной проги сильно отличается от оригинала. Т.е. у меня она читается отлично в том же месте, где и была.
И может ли оеп быть с первыми байтами E8,6E,97,00,00?

| Сообщение посчитали полезным:

maduser
Скажи что за протектор, а ещё лучще выложи саму прогу. OEP скорее всего у тебя неправильный.

| Сообщение посчитали полезным:

VaZeR
Протектор - HASP HL конверт... Его и не могу снять.
Есть смысл выкладывать? В принципе, есть рег с таблицами для муля. Всё работает.

| Сообщение посчитали полезным:

maduser
Какой размер проги? Если не сильно большой то выложи.

| Сообщение посчитали полезным:

VaZeR
Ок. Скину в ПМ ссылку.
У меня проблема с восстановлением ИАТ. Как её правят вручную? Я знаю почти все названия функций, но куда это всё вписать - не имею понятия. В импреке 98 анресолвед поинтерс. Автотрейс нихЬт фунциклирен
Вроде, остальное - более-менее норумль.

ЗЫ. После более подробного осмотра оказалось, что почти все неопределённые вызовы - обращения к секции .протект. Что с ними делать?

| Сообщение посчитали полезным:

maduser
Можешь написать длл которая будет хукать GetickCount , и все , даже распаковывать не надо. Если не хочешь сам писать, то поищи либу ms_rem'а , которая на ходу умеет хучить апи, ну или на wasm куча статей по перехвату АПИ. Короче вариантов привеликое множество.

| Сообщение посчитали полезным: