Потребовалось вытащить алгоритм из одной утилиты. Полез внутрь, понял, что чем-то упакована. PEiD и DiE упаковщика не признали, универсальные распаковщики тоже ничего не нашли. Начал ковырять вручную при помощи OllyDbg. Универсальным методом (hr esp-4) нашел (по крайней мере, мне так показалось) OEP. Без проблем снял дамп. Восстановил IAT. Дамп работает.
Но:
1. IAT явно неполная. Импорт только двух библиотек, хотя при отладке видно гораздо больше.
2. До алгоритма так и не добрался. При запуске под отладчиком видно, что некоторые "дырки" заполняются кодом.

Похоже, что либо "недоснял" упаковщик либо применена двойная упаковка. Пытался проверить второе предположение - ничего не получилось. Так что, скорее всего "недоснял"

Прошу подсказать, как правильно снять упаковщик.
Исходный файл и снятый мной дамп (работающий) h**p://narod.ru/disk/34894662001/rootcr.rar.html

Спасибо.

PS. Нужна именно подсказка. Конечны результат без комментария не нужен.

| Сообщение посчитали полезным:

ProtectionID:
[!] ZProtect <unknown version> detected !

DrWeb:
File packed by ZPROTECT->File packed by ASPACK->File packed by UPX

ADD: Вроде нормально анпакается FLY-CODE https://ssl.exelab.ru/f/action=vthread&forum=3&topic=19380

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: RedScorpio

если это ZProtect то на тутсе скрипты имеюца, возможно снять даже без валидной пары насколько я помню.

| Сообщение посчитали полезным:

PE_Kill

Спасибо за быструю реакцию и наводку. Тройные упаковки снимать мне явно не под силу.
Но зато теперь есть на что ориентироваться

| Сообщение посчитали полезным:

RedScorpio пишет:
Тройные упаковки снимать мне явно не под силу

множественные упаковки (если тут fly не намудрил) снимаются проще, чем одинарные.

| Сообщение посчитали полезным: PE_Kill