Изучаю формат файла PE. Не могу понять, что нужно изменить в данном файле, чтобы он заработал:
618f_15.04.2010_CRACKLAB.rU.tgz - 123.exe_

| Сообщение посчитали полезным:

Загрузи в CFF Explorer сам все увидишь

| Сообщение посчитали полезным:

К слову сказать, для HIEW есть достаточно полезный в этом плане плагин PE Verify, ибо вопросы такого рода периодически возникают.

| Сообщение посчитали полезным:

Откуда этот файл взялся, импорта и ресурсов невижу, ЕР тоже не та, смотрит в пустоту, из за того что реальный размер второй секции 2FD. соответственно по адресу ЕР - ноли. Хотелось бы предисторию этого файла услышать.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

crc1 пишет:
Загрузи в CFF Explorer сам все увидишь
Установил. Кажется, даже больше информации, чем в PE Editor. Я смог понять пока, что неправильны адрес точки входа и RAW Size у секций. Но не могу сообразить, как найти правильные значения.
Archer пишет:
для HIEW есть достаточно полезный в этом плане плагин PE Verify
hiew.ru чего-то не работает, но, тем не менее, Verify это же корректор? Хочется самому понять, что не так, ведь данных, предоставленных CFF, должно быть достаточно (или нет?).
gena-m пишет:
Откуда этот файл взялся,
обычный файл, наверняка в студии сделанный и ждет просто нажатия на клавишу и закрывается, просто в нем в учебных целях исказили чего-то, вот и пытаюсь исправить.

| Сообщение посчитали полезным:

обычный файл, просто в нем в учебных целях исказили
Для начала исправь расширение (.exe_ на .exe), при просмотре импорта в дампе отсутствуют имена каких либо функций и длл., получается импорта нет, ресурсов тоже, названия секций не соответствуют наверняка в студии сделанный , ЕР тоже в небо смотрит, если этот файл и исказили в учебных целях то довольно сильно.
Я смог понять пока, что неправильны адрес точки входа и RAW Size у секций.
Что бы попытаться найти точку входа (например по сигнатуре), нужно хотябы знать на чем программа написана, (больше похоже на консольное приложение) иначе искать прийдется пребором всех адресов, при неправильном размере секции прийдется исправлять все, поскольку размещение следующей секции зависит от размера предыдущей секции, но это не сложно.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

compact
Не работает - у этого есть причина, работает - также причина и их совокупность есть. Что говорит ядро при создании секции ?

| Сообщение посчитали полезным:

Что говорит ядро при создании секции ?
Ядро говорит что это не Win32 файл.
Олли говорит - " Unable to start file"

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
Это вам эксплорер говрит, софт в общем. Ядро возвращает код ошибки. Нубьё даже не прилаживает усилия к элементарному анализу

| Сообщение посчитали полезным:

Извиняюсь, ядро тогда ничего не говорит. И как его заставить сказать?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Взять и код ошибки посмотреть, который натив-функция возвращает.
И PEVerify ни разу не корректор, а просто говорит, что может быть не так.

| Сообщение посчитали полезным:

Спасибо за помощь, я разобрался с этим файлом (у запакованного UPXом изначального файла просто переименовали секции и удалили таблицу импорта). Сейчас разбираюсь с Bound Import Directory у другого файла:
http://exelab.ru/f/action=vthread&forum=1&topic=16139

| Сообщение посчитали полезным: