Интересный вопрос у меня возник может я не знаю, но может ли быть несколько прыжков на OEP после POPAD? есть такая программка XS++, запакована она UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo. так вот, загружаю ее в olly, листаю чуть вниз и вижу:

00A6D673 POPAD
00A6D674 LEA EAX,DWORD PTR SS:[ESP-80] <-- esp-4 breakpoint
00A6D678 PUSH 0
00A6D67A CMP ESP,EAX
00A6D67C JNZ SHORT _XS++.00A6D678
00A6D67E SUB ESP,-80
00A6D681 JMP _XS++.0044F554 <-- 1й прыжок на OEP
00A6D686 DB 00

Вроде как JMP _XS++.0044F554 и есть прыжок на oep, но если на него перейти то будет очень много всяких других переходов:

0044F54F JMP _XS++.0045BC40
0044F554 JMP _XS++.0048F230 <-- 2й прыжок на OEP
0044F559 JMP _XS++.004A3A70

и если там где остановился курсор перейти на JMP _XS++.0048F230 то наконецто будет это:

0048F230 PUSH EBP
0048F231 MOV EBP,ESP
0048F233 CALL _XS++.0045025B

Может я что то не так делаю или так и должно быть??

| Сообщение посчитали полезным:

может скрамблер какой там висит на упх? файл покажи, если не сложно. хотя кажется у борландовского компиля оеп начинается с джампа, но уж не с 2-х же подрят....

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Вроде где то я видел что она на Delphi написана. Много весит и не имеет внешних библиотек или dllек, даже зацепиться незачто

Вот тут она (ограничение на скорость )
softodar.mylivepage.ru/file/?fileid=2911" target="_blank">--> жать <--

А тут нада регаться
| Сообщение посчитали полезным:

mozaxaka
А ты чего хочешь от неё добиться-то? Она абсолютно бесплатная, специально для тех, кому жалко потратить деньги на оборудование (программаторы, донглы и т.д.)

| Сообщение посчитали полезным:

Программку надо просто перевести и заменить пару картинок, кароч упростить как можно больше. Она в своем роде можно сказать единственная бесплатная

| Сообщение посчитали полезным:

Ты дал ссылку на версию 1.5 Она уже старовата для моделей эриксона. Может быть тебе тогда имеет смысл заняться ковырянием версии 3.1 ?
http://rapidshare.com/files/70839801/XS_v.3.1.rar http://rapidshare.com/files/70839801/XS_v.3.1.rar (только в этом случае тебе придется распаковывать PECompact вместо UPX )

P.S. Да и кроме этой программы есть куча других (тоже бесплатных) - Setool2Lite , SEUS например

| Сообщение посчитали полезным:

Да вроде бы обычный upx только названия секций изменены
Смотрел то что по первой ссылке, только видимо версия другая - адреса различаются.
oep такой
00406AF8 E8 86870000 CALL XS++.0040F283
00406AFD ^ E9 16FEFFFF JMP XS++.00406918
00406B02 6A 0C PUSH 0C
Можно предположить. что прога написана на VC++ 8

| Сообщение посчитали полезным:

mozaxaka
OEP:
00406AF8 E8 86870000 CALL XS++.0040F283
Дампить стоя на там же. Там обычный упх навешан.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Вроде не совсем обычный. OEP не 1000 как в обычном, а 6AF8
Самое интересное что эта прога распаковывается только руками. Ни QuickUnpack, ни "upx -d" его не берут

| Сообщение посчитали полезным:

Ну в таком случае вопрос исчерпан, всем спасибо

Чтото я ступил - надо было последнюю версию ломать

| Сообщение посчитали полезным: