Вам виднее, но может лучше сделать сразу без костылей: выделить память, скопировать туда загрузчик, выгрузить образ и т.д.
imagebase упакованного файла 00300000h, затем выделяете память под оригинальный образ 00400000h. Что будет если размер образа упакованного файла...
почитайте http://wasm.ru/article.php?article=sdf http://wasm.ru/article.php?article=avira
http://exelab.ru/f/index.php?action=vthread&forum=1&topic=15263
http://tracker2k.kiev.ua/5.html
http://www.informit.com/store/product.aspx?isbn=0321256190
Поковырял ее и забросил, анализ осложняется обфускацией от vmp. В общем серийный номер тома считывается через ZwQueryVolumeInformationFile. Дальше...
http://www.gaijin.at/en/tbpr.php
Уже нигде не купишь. http://www.bookoteka.ru/?search=%E4%E8%E7%E0%F1%F1%E5%EC%E1%EB%E5%F0
http://www.russotto.net/chm/chmformat.html
Я вроде его уже тут выкладывал http://floomby.ru/content/UWAvSHxjuk/
[img]
Кидайте в DEDE. Button2Click нужная функция [img] Верный пароль 12169752
Возможно из-за флажка "Executable as code" [img]
Занятная статья, даже наш криптор там засветилсо )
Это не релоки портят. Они не попадают в адрес 004013C9 [img]
Похожая тема ) http://wasm.ru/forum/viewtopic.php?id=35803
Что подразумевается под живучестью? Стабильная работа без ошибок на всех популярных ОС, либо как можно дольше остаться незамеченным?
Хотелось бы взглянуть на невалидный файл. Имхо, у вас описание секции существует лишь в заголовке, но самой секции в файле нету.
Смешно. Что вы ожидаете там найти интересного? Имхо, Stuxnet гораздо интереснее был для реверса.
Имена участников (разделяйте запятой).
