по поводу мувика
TM - WL HWID & TRIAL L.B.C. BASIC Unpacker 1.0, How to use movie tutorial by LCF-AT
_ttp://www.exelab.ru/f/action=vthread&topic=14103&forum=3& page=-1

пояcните плиз,
почему автор в impRec пишет в OEP не 00412B96 а 00012B96

число 00412B96 отсюда:
00412B96 68 313B2F3F PUSH 3F2F3B31 ; New VM OEP
00412B9B - E9 F97A4200 JMP 0083A699 ; WinLicen.0083A699

пытаюсь распаковать WinLicense_UnPack Me!.exe
_ttp://ifolder.ru/11718369

получается файл, но после его запуска не чего не происходит
winlicense_unpack me!_dump_.exe
_ttp://ifolder.ru/11718529

поясните пожалуйста, что неправильно?

| Сообщение посчитали полезным:

ecrofx пишет:
пояcните плиз,
почему автор в impRec пишет в OEP не 00412B96 а 00012B96
Потому что в ImpRec вписывается в поле OEP адрес найденного OEP за вычетом Image Base. В данном случае Image Base = 400000, значит получилось число 00012B96.

-----
Программист SkyNet

| Сообщение посчитали полезным:

спасибо, вообщем то я так и думал

ктонибуть может погляедеть анпакми и прояснить в чем косяк, почему распакованая не работает ?
думаю там какая-то совсем мелкая ошибка которую опытный человек сразу увидит и скажет куда мне копать

| Сообщение посчитали полезным:

Там достаточно пошагать шагов 50, как упадёт. Это самодельный спинлок на входе в ВМ фимы (версии она там 2.0.1.0, вроде). Проблема в том, что адрес виртуального контекста вынимается из переменной, и там ставится флаг. Короче, виртуальный контекст по адресу 390000 ты не сдампил. Судя по версии, даже если сдампить, есть шанс налететь на антидамп.

| Сообщение посчитали полезным:

скажите плиз, каким образом можно преодолеть эту проблему?

| Сообщение посчитали полезным:

А в туторе этого нету? Ну варианта 2:
1. дампить всю память, вариант хреновый, ибо будут антидампы и вообще некрасиво;
2. восстановить код под вм, для новичка крайне тяжко.

| Сообщение посчитали полезным: