Распаковывал руками:
OEP=6DB8D0

7stolen bytes:
Push ebp
Mov Ebp,Esp
Mov Ecx,38


После распаковки руками, возникала ошибка по адресу: 402326
004022EE . 68 38546E00 PUSH 1234_.006E5438 ; /pCriticalSection = 1234_.006E5438
004022F3 . E8 40F2FFFF CALL ‹JMP.&kernel32.EnterCriticalSection›; \EnterCriticalSection
004022F8 › 83C3 07 ADD EBX,7
004022FB . 83E3 FC AND EBX,FFFFFFFC
004022FE . 83FB 0C CMP EBX,0C
00402301 . 7D 05 JGE SHORT 1234_.00402308
00402303 . BB 0C000000 MOV EBX,0C
00402308 › 81FB 00100000 CMP EBX,1000
0040230E . 0F8F 93000000 JG 1234_.004023A7
00402314 . 8BC3 MOV EAX,EBX
00402316 . 85C0 TEST EAX,EAX
00402318 . 79 03 JNS SHORT 1234_.0040231D
0040231A . 83C0 03 ADD EAX,3
0040231D › C1F8 02 SAR EAX,2
00402320 . 8B15 90546E00 MOV EDX,DWORD PTR DS:[6E5490] ; EDX=15D256
00402326 . 8B5482 F4 MOV EDX,DWORD PTR DS:[EDX+EAX*4-C] ; ОШИБКА ЗДЕСЬ!
0040232A . 85D2 TEST EDX,EDX
0040232C . 74 79 JE SHORT 1234_.004023A7

Долго копался(в некоторых программах я раньше с такой проблемой сталкивался), и нашел следующее, в сдампленной программе(пробовал LordPe,PETools) при просмотре в Оле (Ctrl+M) вот какие значения имеет секция 150000-15D000, а в аспре 150000-160000
То есть данная команда пытается писать в несуществующий(невыделенный) диапазон памяти...
DUMP:
Memory map, item 6
Address=00150000
Size=0000D000 (53248.)
Owner= 00150000 (itself)
Section=
Type=Priv 00021004
Access=RW
Initial access=RW

А вот в Аспре длинна этого участка = 10000, что на 3000 больше, чем в сдампленной программе, я излазил весь файл PeTools’ой так и не понял откуда это значение берется, МОЖЕт кто знает??????
ASPR:
Memory map, item 6
Address=00150000
Size=00010000 (65536.)
Owner= 00150000 (itself)
Section=
Type=Priv 00021004
Access=RW
Initial access=RW

Прогу можно взять здесь http://www.keepsoft.ru/fi.../simulator/simulator2.exe
Размер файла 3,87 МБ

Я точно смотреть эту прогу не буду, слишком большая..

Asterix
У меня несколько таких было, с аналогичной проблемой, завтра поменьше поищу, на мего 1,5

500-700Kb ;-)

Размер то какой виртуальный или физический имеется ввиду?
Имя секции найди в Hiew. После начала имени через 8 байт должно лежать.

Asterix
1.2Mb программа наз органайзер там какой то.

Вот ссылка:
http://hice.antosha.ru/Reg.rar
Вот картинка из отладчика:
http://hice.antosha.ru/Pic.png

Вот отрыл:
430Kb
http://hice.antosha.ru/Reg1Aid.rar

Раньше я фригат не мог распаковать руками, такая же беда, причем стриппер съедает нормально и файл рабочим получается,
пытался наяти различия в РЕ толку ноль, может не там искал?

Ok, гляну последнюю.. ;-)

nice

Никаких проблем не встретилось.. Куда тебе прислать распакованный?

Ладно, забирай здесь
_http://asterix-coder.pochta.ru/UNPACKED.zip

Asterix
Расскажи чем дампил?
И какие опции стоят включенными?

Сделал скриншоты:
http://hice.antosha.ru/nice.gif
http://hice.antosha.ru/asterix.gif

Дампил PETools 1.5.565.2004 см. screen с options, но и с предыдущими PETools'ами я никогда с указанными тобой глюками не встречался ;-)
Единственное что смущает - это два GetCurrentProcessID подряд в IAT, причём второй я смотрел вручную, нужно бы проконтролировать первый в запакованном и с не заNOPленым "вторым CALL'ом", который, к слову, я никогда не NOP'лю, просто ставлю ret в начало этой процедуры.

57331293__PETools.png

Asterix
Спасибо брат, благодаря тебе разобрался, дампил не в том месте :). Надо дампить на tempOEP

Но у меня ещё один вопрос, PeTools с отключенной опцией:
Full Dump: paste header from disk
даёт не рабочий дамп! Даже на UPX, причем автор этой замечательной утилиты NEOx рекомендовал отключить эту опцию??? Раскажи пожайлуста, в какой последовательности происходит рспаковка? Делаешь ты PEBuild дампу? Какая версия ImpRec'a?

> Надо дампить на tempOEP

Я дампил на последнем ret кода АСПРа.

> Но у меня ещё один вопрос, PeTools с отключенной опцией:
Full Dump: paste header from disk
даёт не рабочий дамп! Даже на UPX, причем автор этой замечательной утилиты NEOx рекомендовал отключить эту опцию???

Это только у тебя ;-) У меня она всегда отключена ;-)

> Делаешь ты PEBuild дампу?

Никогда!

> Какая версия ImpRec'a?

Последняя ;-)

Распаковал за два прохода, и то только потому что забыл восстановить код АСПра после создания импорта и пустил прогу до OEP во время первого ;-)))

Asterix
Ещё раз сенькс!

У меня только с ребилдом exe работает с такими опциями :(
Что за ерунда :(

Можешь скриншот настроек импорт река бросить nicesc - yandex.ru ?