Всем здравствуйте.
Уважаемые исследователи программ, я только зашел на тропу исследования, и дошел до восстановления импорта. Запаковал свою программу UPXом (просто ради практики), затем нашел у нее OEP (с помощью плагина GenOEP в PEiDе). Далее открыл программу с помощью Olly и поставил брекпоинт на OEP. После того, как программа дошла до OEP и остановилась на ней, я, не закрывая Olly, запустил Tools PE и сделал Full Dump у программы, которую исследовал (не у дампа). Далее я запустил ImpREC и, введя там OEP, нашел таблицу импорта. Все написалось YES (ошибок не было). Далее я нажал Fix Dump. Программа написала что все успешно сохранилось. После этого я пытаюсь запустить распакованную программу - программа не запускается. В чем может быть проблема? Я что нибудь делаю не по порядку? Или может PE Tools нужно как то настроить, чтобы она правильно делала дамп? Изначально я грешил на Windows 7 x64. Почитал, что проблемы могут быть из-за этого - поставил виртуальную машину и установил XP. Все равно не запускается. Ну неужели у меня такие кривые руки? Или я чего-то не знаю?

| Сообщение посчитали полезным:

держи:
http://rghost.ru/50949517
.....
какая именно ошибка? (код)

| Сообщение посчитали полезным: enotlesnoy

Rio, огромное спасибо за инструкцию. Я понял порядок действий. И я действовал точно так же, только использовал не плагин Olly на дамп программы, а PE Tools v1.5 RC7. Попробовал использовать и Ваши настройки - результат тот же самый. Может от компьютера что-то зависит?

| Сообщение посчитали полезным:

Чтобы прояснить ситуацию, неплохо бы выложить исследуемую программу

| Сообщение посчитали полезным: ClockMan, Rio, Jaa

Ребят, спасибо вам за отзывчивость.
Вот в архиве программа и картинки, которые показывают как я все делал.
Все это осуществлялось в виртуальной машине с установленной XP x86.
Я даже не знаю в какую сторону копать, поскольку импорта не восстанавливал.

Зараннее благодарен.

| Сообщение посчитали полезным:

Вот ссылка на архив (в сообщении архив не прошел)
http://rghost.ru/50954048

| Сообщение посчитали полезным:

таблица импорта заканчивается 00470BD4, соответственно 00470BD4 - 00470230(начало) = 9A4 (размер)
вписывай размер в окно size в imprec и и fixdump
http://rghost.ru/50955311
и поменяй отображение:
http://rghost.ru/50955388

| Сообщение посчитали полезным:

Rio, ты супер!
Спасибо большое. Теперь для меня все стало гораздо понятнее.
Похоже ImpREC доходил до нулей в памяти и считал, что таблица импорта завершена.
Надо будет записать это у себя на одной из извилин мозга.
Еще раз спасибо и удачи вам. Считаю, что топик можно закрывать.

| Сообщение посчитали полезным:

>>Похоже ImpREC доходил до нулей в памяти и считал, что таблица импорта завершена.
да, поэтому проверяй вручную...

| Сообщение посчитали полезным:

Автор сам может закрыть свою тему, кнопка "Закрыть тему" находится внизу страницы, под кнопкой "Отправить сообщение".

| Сообщение посчитали полезным: