Привет! С наступающим всех!
Попросили тут поковырыть одну программулинку, а на ней yoda's Protector 1.02. Я пока лоадер сделал товарищу, но стало самому интересно как эту хреновину снять. Полазил в сети. Нашел туторы по снятию версии 1.03. Как я понял ничего сложного там особо нет. Патчим все АРI-функции, которые мешают отладке и тассировке; ставим бряк на доступ к первой секции; и в общем-то все. А вот в версии 1.02 у меня такого нет. Отладчик она не закрывает, клаву и мышь не блокирует (в оле всякие плагины, типа ollyadvanced, OllyInvisible и т.д.). Может это и не yoda's Protector, но очень похоже. OEP:
004E4288 > $ E8 03000000 CALL ProPoste.004E4290
004E428D . EB 01 JMP SHORT ProPoste.004E4290
004E428F C2 DB C2
004E4290 $ BB 55000000 MOV EBX,55
004E4295 . E8 03000000 CALL ProPoste.004E429D
004E429A . EB 01 JMP SHORT ProPoste.004E429D
004E429C E9 DB E9
004E429D $ E8 8F000000 CALL ProPoste.004E4331
004E42A2 . E8 03000000 CALL ProPoste.004E42AA
004E42A7 . EB 01 JMP SHORT ProPoste.004E42AA
А вот названия секций:

Memory map
Address Size Owner Section Contains Type Access Initial Mapped as
00010000 00001000 Priv RW RW
00400000 00001000 ProPoste PE header Imag R RWE
00401000 00081000 ProPoste code Imag R RWE
00482000 0001F000 ProPoste code,data Imag R RWE
004A1000 00008000 ProPoste code Imag R RWE
004A9000 0003B000 ProPoste .rsrc code,resourc Imag R RWE
004E4000 0004A000 ProPoste .RS code,imports Imag R RWE
При запуске в отладчике прога падает с ошибкой о неверном EIP. Похоже какие-то замуты с SEHом. Если кто-нибудь знает ссылки на туторы по снятию сего протектора версии 1.02, поделитесь, пожалуйста.

| Сообщение посчитали полезным:

А что за прога то?

| Сообщение посчитали полезным:

Прога сама вот эта http://allsoft.ru/Download.php?ver=182885 (примерно 1,1 Мб).
А в принципе, есть ли разница, что им упаковано? Хотя если какая-то обработка напильником после запаковки...

| Сообщение посчитали полезным: