С помощью программы GeTaOEP в режиме external dll loader получаются такие результаты:
Dll has been injected into the target process at base address 0x10000000
Processing...
Target imagebase: 0x00160000
Approximate OEP RVA: 0x000375D5
VA: 0x001975D5
Target process has been terminated
Как теперь найти в отладчике,когда запущен основной процесс,этот адрес? По адресу 001975D5 ничего нет
При загрузке программы,модуль этой Dll занимает область памяти: 00330000 - 00392000

| Сообщение посчитали полезным:

00330000 + 000375D5 = 003675D5

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Ну вот в отладчике загружен этот фрагмент:

Судя по всему ОЕР=003675B4-00330000=000375B4
Загружаем ImpRec:

И почему-то ничего не находит

| Сообщение посчитали полезным:

Значит GeTaOEP нашла неверный OEP

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: hlmadip

ну вот нах накой сюда скрины цеплять?
можно ведь просто скопировать нужный участок и оформить тегом кода

во-первых, OEP находится там, где вызывается процедура, на которой у тебя открыт отладчик
во-вторых, IAT далеко не всегда можно найти автоматически. посмотри, где у тебя начало блока
с адресами импорта и впиши всё ручками

Flint
не, OEP походу правильный (почти, чуть назад надо вернуться)
стандартный код для MSVC++ 8.0
/ADD: упс, и то верно. забыл, что это длл.

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
во-первых, OEP находится там, где вызывается процедура, на которой у тебя открыт отладчик
OEP длл это начало DllMain, где практически всегда есть проверка на DLL_PROCESS_ATTACH, что в отладчике выглядит как CMP DWORD PTR SS:[EBP+C],1

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: StarXruk, Svinovod

Flint пишет:
OEP длл это начало DllMain, где практически всегда есть проверка на DLL_PROCESS_ATTACH, что в отладчике выглядит как CMP DWORD PTR SS:[EBP+C],1
Нет такого,вот только что есть:


| Сообщение посчитали полезным:

StarXruk
а теперь от этого места вверх ищи конструкцию вида

это и будет ОЕП

btw. а чем запаковано-то хоть?

| Сообщение посчитали полезным:

Выше есть вот что:

Но на адресе 338DA0 бряк не срабатывает и IAT не ищется.
-=AkaBOSS=- пишет:
а чем запаковано-то хоть?
Frontline Protect Technology Starforce 4.70.8.0 Pro
В аттаче сама библиотека,а вот дамп:
http://depositfiles.com/files/1ceh30yh5

9a89_10.06.2012_EXELAB.rU.tgz - EventsLib.dll

| Сообщение посчитали полезным:

StarForce V1.X-V5.X -> StarForce Copy Protection System * Sign.By.fly [Overlay] *

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Смысл здесь в том,что проверку диска переместили из exe-файла в эту библиотеку.Если распаковать сам исполняемый файл,восстановить импорт - он запускается,но проверяет диск.
Поэтому,нужно распаковать dll - для этого надо найти точку входа DllEntryPoint.
Откуда я узнал,что проверка в этой библиотеке? Да очень просто,по наличию секции .sforce3 ,которая однозначно говорит о том что файл упакован Старфорсом.

| Сообщение посчитали полезным:

дык писал уже:
-=AkaBOSS=- пишет:
посмотри, где у тебя начало блока
с адресами импорта и впиши всё ручками

у тебя на скрине явно видны команды вида
jmp dword ptr ds:[xxxxxxxx]
и
call dword ptr ds:[xxxxxxxx]

найди в дампе один из этих адресов, и просмотри вверх, где он начинается
вычисли RVA этого адреса и введи его в поле RVA в импрек
после просмотри вниз, где этот блок кончается...
вычти из большего меньшее, получишь размер
введешь его в поле Size в импрек, нажмешь Get Imports


StarXruk пишет:
проверку диска переместили из exe-файла в эту библиотеку
нет, просто на неё тоже навесили Старфорс, и она тоже грузит protect.dll, которая
уже работает с дровами и проверяет диск

StarXruk пишет:
надо найти точку входа DllEntryPoint.
дык, нашли ж уже
то, что там ничего не останавливается, еще ничего не значит
стар мог скопировать часть кода и выполнить его гдето в другом месте

| Сообщение посчитали полезным: StarXruk, Svinovod

Не досидел в бане 23 дня, исправлено.

| Сообщение посчитали полезным: Svinovod