Вопщем понадобилось в научно-образовательно-исследовательских целях анпакнуть одну дллку. Пеид говорит шо там UPX 0.80 - 1.24 DLL -> Markus & Laszlo, но upx -d считает что где то там найо .. Ну ничо, подумал я, нам ее вручную анпакнуть шо деду мазаю два зайца обспасать. Не вдаваясь в подробности перейдем к главному - пытаясь зацепиццо imprec`ом на нее получил облом - imprec наивно полагал что imagebase 0x10000000, хотя грузилась она всегда по 0x8B0000. Чувствуя шо хер там я всетаки полез править imagebase в памяти загружонного модуля, и был прав - imprec читал его таки с файла на диске. Но при загруженной длл файло ни поправить ни переместить .. А если сделать чорное дело до загрузки то виндовый лоадер отказывается принимать ее близко к сердцу кидаясь аццким окошком 0хС0000005. Чувствую шо гдета ступил .. Варианты извращенного типа есть, но наверно должно быть простое решение Any ideas ?
um0v спасиба что потратил время, но меня интересует не столько анпакнутая либа, сколько сам метод расправы над ней
trash_master В Options ImportRec'a убираем флаг Use PE Header From Disk. После считаем OEP and Import RVA. У меня получилось: OEP=58cd7 RVA=67000 Size=388
блин .. вот не заметил того флажка, :[ ,чуствовал же что варианты быть должны. Asterix неужели думаеш что я саботирую ?
