Господа, помогите, пожалуйста, определить протектор или подкиньте ссылочку, как привести руками в нормальный вид такое творение. Ни один анализатор его не берет, PESniffer сообщает про Neolite 2.0, что не похоже на правду.

ObjectTable:
1 .text 00269000 00001000 00269000 00001000 60000020
2 .textidx 00114000 0026A000 00114000 0026A000 60000020
3 CONST 00002000 0037E000 00002000 0037E000 60000020
4 .rdata 00047000 00380000 00047000 00380000 40000040
5 .data 00092310 003C7000 0003A000 003C7000 C0000040
6 .idata 00007000 0045A000 00007000 00401000 C0000040
7 .rsrc 00485BF2 00461000 00486000 00408000 40000040

Следует обратить внимание на секции 5 (physsize < virtsize) и 7 (размер). Секция rsrc после VERSION_INFO набита кучей нечитаемого кода. Сами функции не запакованы, изменены только call/ret, т.е. в отладчике через множество jmp можно дойти до вызывающей процедуры. jmp сосредоточены как раз в последней секции, причем при выполнении программы она постоянно самомодифицируется, опять же не трогая оригинальный код. OEP пока не нашел. Импорт в норме. Thread'ы не порождаются, так 1 и остается. Дамп снимается без проблем, но не работает, т.к. один из jmp выпадывает на мусор в rsrc.

Начало программы:

0051B73E jmp 004456A8
0051B743 jmp 0051B48A
0051B748 jmp dword ptr ds:[86323Dh]
0051B74E jmp dword ptr ds:[863241h]

004456A8 pushfd
004456A9 push ebx
004456AA push ecx
004456AB push eax
004456AC push esi
004456AD push edx
004456AE push edi
004456AF jmp 004456C1

004456C1 call 004A64ED
// После этой функции в окне отладки появляется строка "__PPG invoked.__PPG running.__PPG success.__PPG exited."
... 004A64ED sub esp,28h
... 004A64F0 push ebx
... 004A64F1 push ebp
... 004A64F2 mov ebp,dword ptr ds:[862BA5h]
... 004A64F8 push esi
... 004A64F9 push edi
... 004A64FA push 5200D8h
... 004A64FF call ebp // OutputDebugString ("__PPG invoked.")
... 004A6501 jmp 00445701

... 00445701 lea eax,[esp+14h]
... 00445705 push eax
... 00445706 call dword ptr ds:[862B49h] // GetSystemInfo
... 0044570C jmp 00520075

... 00520075 mov ecx,dword ptr [esp+18h]
... 00520079 push ecx
... 0052007A push 400000h
... 0052007F call 00445726
... 00520084 jmp 00445778
..................

004456C6 jmp 004A6506

004A6506 pop edi
004A6507 pop edx
004A6508 pop esi
004A6509 pop eax
004A650A pop ecx
004A650B pop ebx
004A650C popfd
004A650D jmp 00445713

00445713 jmp 00B1C65B

00B1C65B jmp 00C6F1F2

00C6F1F2 push 0B7CF7Ah
00C6F1F7 jmp 00A94AEA

00A94AEA push 0C52128h
00A94AEF jmp 00B4623F

И так дальше.

| Сообщение посчитали полезным:

на гавнакрипт какой-то похоже
Выкладывай файл посмотрим

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Не смотрел секции, но Neolite 2.0 простой ПАКЕР, снимается как и UPX, вот начало одной проги упакованной эти зверьком:

/*4A783B*/ PUSH EBX
/*4A783C*/ PUSH ECX
/*4A783D*/ PUSH EDX
/*4A783E*/ PUSH ESI
/*4A783F*/ PUSH EDI
/*4A7840*/ ENTER 324,0
/*4A7844*/ PUSH EAX
/*4A7845*/ SUB EBP,82
/*4A784B*/ LEA EDX,DWORD PTR SS:[EBP-19E]
/*4A7851*/ MOV EAX,memo.004A7373
/*4A7856*/ MOV EBX,DWORD PTR DS:[4A729D]
/*4A785C*/ CALL memo.004A81D7
/*4A7861*/ PUSH EAX
/*4A7862*/ CALL DWORD PTR DS:[EBX]
/*4A7864*/ LEA EDX,DWORD PTR SS:[EBP-19E]
/*4A786A*/ MOV EDI,EAX
/*4A786C*/ MOV EBX,EAX
/*4A786E*/ MOV EAX,memo.004A7393
/*4A7873*/ MOV ESI,DWORD PTR DS:[4A72A1]
/*4A7879*/ CALL memo.004A81D7
/*4A787E*/ PUSH EAX
/*4A787F*/ PUSH EDI
/*4A7880*/ CALL DWORD PTR DS:[ESI]
/*4A7882*/ MOV DWORD PTR SS:[EBP-12],EAX
/*4A7885*/ CMP DWORD PTR SS:[EBP-2A6],0
/*4A788C*/ JNZ SHORT memo.004A7899
/*4A788E*/ PUSH 0
/*4A7890*/ CALL DWORD PTR SS:[EBP-12]
/*4A7893*/ MOV DWORD PTR SS:[EBP-2A6],EAX
/*4A7899*/ LEA EDX,DWORD PTR SS:[EBP-19E]
/*4A789F*/ MOV EAX,memo.004A73A4
/*4A78A4*/ MOV ESI,DWORD PTR DS:[4A72A1]
/*4A78AA*/ CALL memo.004A81D7

P.S.Прожка на Borland Delphi 4.0 - 5.0
P.S. Помница кто-то делал подсветку кода, с ней было приятно, вернуть возможно?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

mage
Экстрасенсов нашел?

aspirin
А с чего ты взял, что нам неолайт?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
А с чего ты взял, что нам неолайт?
mage пишет:
PESniffer сообщает про Neolite 2.0, что не похоже на правду.

топ прочитал

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Тема в новички поехала. А прогу лучше бы выложил, чтоб не гадать на кофейной гуще.

| Сообщение посчитали полезным:

Spirit пишет:
Экстрасенсов нашел?
Настоящий спец по первым трем байтам определять умеет

Archer пишет:
Тема в новички поехала. А прогу лучше бы выложил, чтоб не гадать на кофейной гуще.
Не проблема. Ловите rapidshare.de/files/38494417/FLEX113.RAR.html

| Сообщение посчитали полезным:

mage
А что ты там распаковываешь умник? Трафик из за лохов только тратишь зря

| Сообщение посчитали полезным:

pavka, следи за базаром, про распаковку вопросов не было. Если такой крутой, скажи, что это и как его дебагить, когда между call 500 jmp стоит. Флекс не случайно этой фигней обработан.

| Сообщение посчитали полезным:

mage зря ты так, павка это местный набивательрожвреале. Так что скоро он заявится и набьет тебе рожу.

Протектор твой называется: Microsoft Visual C++ 6.0 - 8.0 *
Такое тебе тут вряд ли распакуют, даже павка не сможет =(((

Код действительно обработали чем то, но в общемто читаемо, и можно прижелании восстановить до оригинала.
Я может быть ошибаюсь, но новерняка это какая нить приватная хрень.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Ясно, спасибо. Попробую что-нибудь придумать, т.к. там еще ряд файлов обработан это ерундой. Там видимо еще какой-то контроль кода есть, ибо бряки не всегда отрабатывают в очевидных местах.

| Сообщение посчитали полезным: