Запротектил программку самым простым способом без "фишек". Пытаюсь научиться распаковывать: все стандартно, как и в четвертой версии (поиск OEP, фикс заголовка), но как начал импорт восстанавливать, когда осталось всего один раз запустить прогу для отловки импорта, прот меня отрубил сообщением: "Error while unpacking."

Вобщем на предпоследней стадии я вышел на такой участок кода, где на переход ставится железный бряк на выполнение и переход меняется на JMP.

00BCAAB2 E8 25080100 CALL 00BDB2DC //было в четверке POP ECX
00BCAAB7 83C4 08 ADD ESP,8 //было в четверке POP ECX
00BCAABA 85C0 TEST EAX,EAX
00BCAABC 75 11 JNZ SHORT 00BCAACF

После замены по идее мы должны запустить прогу еще один раз, чтобы в ImpRec спокойно восстановить импорт, но...

Как обойти эту ловушку?

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Kindly

Скорее всего это защита от изменния кода. Для того чтобы её обойти тебе надо пропатчить Магический прыжок на безусловный, а потом найти выход из процедуры построения импорта и поставить туда бряк и запустить прогу. Как только ты на нём тормознёшся, восстанавливай изменённый тобою прыхок и продолжай выполнение программы. Должно прокатить...

-----
Research For Food

| Сообщение посчитали полезным:

Kindly

Всё, способ обойти проверку на целостность кода найдена! Просто войди в первый калл над TEST EAX,EAX и запиши туда следующие команды:
mov eax,1
ret
И воаля... Прыжок патчить ненадо, а значит код построения импорта не тронут...

-----
Research For Food

| Сообщение посчитали полезным:

daFix, спасибо большое - буду пробовать.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: