Как обычно хотел посмотреть одним глазком PE файлик моей любимой IDA а она мне в ответ Can't find translation for virtual address .... и вообще что плохой файл , жму продолжить и попадаю в WIN а так программка работает нормально. Ну ладно думаю не я один с такой фигней столкнулся попробую что найти и нашел статью Крис Касперски про взлом UniLink v1.03 от Юрия Харона статья мне понравилась особенно графическая часть т.к. я в этих вещах человек зеленый тяжеловато а тут довольно понятно все расписано даже для начинающего.В общем пошел по той же логике но не понятно стало когда дошел до адреса таблицы импорта он указыает не на адрес в файле а на адрес в памяти. Потом стал смотреть разные PE файлы вроде во всех адрес указывает на таблицу в файле а не в памяти. Нашел в файле начало таблицы импорта а что дальше делать не знаю. Потом в OLD EXE HEADER в поле e_ovno стоит 1А что это значит ? И еще в IMAGE HEADER каталоге сегментов нашел 2 сегмента и еще 3-й какой то не понятный и самый первый в нем тоже странно в памяти место отводится а вот в файле указано смещение и размер 0. Не знаю в чем тут прикол может подскажете в чем тут загвоздка.
Заранее благодарю.

Sting

Почитай еще мою статью, чтобы мне несколько раз одно и тоже не говорить. "Об упаковщиках в последний раз"

Прочитал статью но чтото не помогло. Там вроде как с таблицей все правильно тока я никак не пойму почему адрес таблицы импорта в заголовке указан в памяти а не в файле и загрузчик помещает эту таблицу правильно в самой таблице тоже вроде как все хорошо . Не знаю с чего начать.

Там у меня 3 как бы секции UPX0 ,UPX1 , .rsrc и потом идет чтото не понятное UPX! хотя в заголовке написано 3 секции. в секции .rsrc находится таблица импорта из файла помещается в память в заголовке описан размер и смещение в файле этой секции так таблица попадает в это адресное пространсто в тоже время в IMAGE_DATA_DIRECTORY указан адрес и размер таблицы ресурсов в памяти
UPX0 00 00 00 00
2D F0 00 - размер секции в памяти
10 00 h - адрес проекции на память
00 00 00 00 h - размер в файле
4 00 h - смещение начала секции в файле
00 00 00 00
00 00 00 00
00 00 00 00
00 00 00 00
E0 00 00 80
-------------------------------------------
UPX1 00 00 00 00
7 00 00
2E 00 00
6 FC 00
4 00
00 00 00 00
00 00 00 00
00 00 00 00
00 00 00 00
EO OO OO 40
----------------------------------
.rsrc 00 00 00
30 00
35 00 00
2C 00
7 00 00
00 00 00 00
00 00 00 00
00 00 00 00
00 00 00 00
40 00 00 C0

далее идет UPX! но там ничего не понятно

IMAGE_DATA_DIRECTORY
2F 00 00
92 A5
35 29 00
2 58
35 00 00
29 00
00 00 00 00
00 00 00 00
00 00 00 00
00 00 00 00

По ходу запаковано UPX .
Только если распокавать программа будет работать ?

Sting
Смотри что у нее в импорте.
На память, в UniLink в таблице импорта поле OriginalFirstThunk забито мусором, timestamp=0xFFFFFFFF, и присутствует bound import для kernel32.
При таком timestamp'е загрузчик забивает на OriginalFirstThunk, а ИДА (да и многие другие вьюеры) пытается с ним работать и попадает пальцем в небо.
Говорят, что новые версии ИДА (типа 4.5) уже нормально работают с такими файлами.

Разобрался ,просто упакован UPX 1.22 распаковал и стала работать программка и IDA не ругается. Зато узнал много нового про всякие защиты. Сама программа особой ценности не представляет распространяется бесплатно хотелось посмотреть что к чему. Спасибо за ответы и за статьи.

Sting
"UPX!" - это не секция, а magic, характерный для UPX :-)