После распаковки таблица импорта отсутствует напрочь, вместо вызовов АПИ прямое обращение к выделенной области памяти, типа: Код (Text): call dword ptr ds:0D45DFCh Там лежит адрес процедуры, выглядящей примерно так: Код (Text): push ebp mov ebp,esp push ecx cmp dword ptr [USER32!gfEMIEnable (77e69318)],0x0 rep jmp 05650010 int 20 jne USER32!MessageBoxW+0xd (77e5913d) push 0x0 Все это приводит к вызову MessageBoxW. Не подскажет ли кто, с чем имею дело? P.S. Просьба не пинать, что мол все это было, поиск по форуму тут плохо помогает, а перечитывать статью про упаковщики - лень...
Все это приводит к вызову MessageBoxW. А "все это", ЭТО ЧТО? int 20 тебя только к исключению привести может. А rep jmp - это прямой признак полиморфа, метаморфа или другой какой дряни...
И этот код работает? Жаль, не вижу, куда jmp 05650010 прыгает. Что до объема информации, который ты привел(а)(?)(миль пардон), то надо файлик аттачить. А лучше сам... э-э-э, PeID заюзать или Pe Sinffer. Лучше PEiD.
Все-таки это аспр. Пейд утверждает, что ASProtect 1.2x - 1.3x. Должно быть, тот редкий случай когда разработчики использовали его возможности по полной... volodya Спасибо за совет.
