Прочитав статьи по распаковке UPX принялся за работу - результаты
Используя OllyDebug снял дамп с програмки (используя плугин OllyDump), дамп запускается нормально. Но проявляется странность - при открытии дампа в Olly тот сообщает, что точка входа лежит за ппределами секции кода...
Вопросы
1. Что нужно править в заголовке файла?
2. это нормально, что на точке вхлда код следующий (из IDA)

UPX0:00401000 jmp short loc_401012 ; sub_401000
UPX0:00401000 ; ---------------------------------------------------------------------- -----
UPX0:00401002 aFbCHookrsxI db 'fb:C++HOOKE_x+I',0
UPX0:00401012 ; ---------------------------------------------------------------------- -----
UPX0:00401012
UPX0:00401012 loc_401012: ; UPX0 XREF: startj
UPX0:00401012 mov eax, ds:dword_49B46B
UPX0:00401017 shl eax, 2
UPX0:0040101A mov ds:dword_49B46F, eax
UPX0:0040101F push edx
UPX0:00401020 push 0
UPX0:00401022 call j_GetModuleHandleA
UPX0:00401027 mov edx, eax
UPX0:00401029 call sub_486204
UPX0:0040102E pop edx
UPX0:0040102F call nullsub_22
UPX0:00401034 call nullsub_24
UPX0:00401039 push 0
UPX0:0040103B call __ExceptInit
UPX0:00401040 pop ecx
UPX0:00401046 push 0
UPX0:00401048 call j_GetModuleHandleA
UPX0:0040104D mov ds:dword_49B473, eax
UPX0:00401052 push 0
UPX0:00401054 jmp __startup

Извиняйте за такой большой кусок кода, но что это - так положено или еще какая-нибудь навеска на екзешник?

Спасиба

Нормальный код от файла скомпиленного Borland C++
А чтобы олли не ругался (а ругается он не верно), в PE заголовке поправь поле BaseOfCode на эту 0х1000, ну и размер можно выставить правильные если хочется.

Большое спасибо.
Как всегда - все очень просто :)

тогда возникает следующий вопрос.
Я дамп запускаю в Olly, начинаю трассировать и выпадает сообщение в строке состояния Access violation when reading (00000004) use shift F7/F8/F9 for ...

с чем это связано? - программа защищена от трасстровки?