Вбивай в hiew по F5: .100D4001
впереди точка!
Image Base=10000000, хотя если ты уже в дампе смотришь то нужно
знать какой был Image Base в момент дампа, он не обязательно
будет равен 10000000, тогда первые три цифры изменятся, да ещё и
в файле нужно будет поправить.

блииииииииииииин короче не че не понимаю :/
может ты мне поможешь короче oep нашел выход к нему
popad
jmp eax
импорт нашел вроде все правилно только вот не задачка одна в imprec пишу oep он мне отвечает типа не знаю нету такого в revergin вбиваю все iat находит !!! только не могу понять как в revergin фиксить дамп ??? и почему impreс отказала мне ......

А ты указывай ImpRec'у точно где лежит IAT и сразу жми Get Imports ;-)

Asterix :)))))))))))) вся проблема в том что кода так жмешь получаешь unresolved и они не ресолвяца так как адреса дикие а в реверджине все ок

В Revirgin сначала "Stop" потом "Generate".

В Revirgin OEP вводится with Image Base, а в ImpRec-нет, обрати
внимание.

Asterix кстате я этого не знал :)))))) вот еще такой вопрос у меня image в не запущеном состояние у opst_ui.dll 10000000 а кода загружается получается image 079b0000 так какой image мне учитывать ???

Ты это(079b0000) где посмотрел?
Значит теперь твой ImageBase=79B0000 пропиши в dll в Optional Header
и далее ко всем значениям вместо 10000000 будешь прибавлять 79B0000.

Ты это(079b0000) где посмотрел?
а это типа кода прога запущена в lordpe он пишет напротив dll image и т.д. т.п. и опытным путе тоже вывел типа в dumpe 100d4001 а в памяти 07a84001 отнимаем d4001 получаем
79b0000 :)))))) блин но всеже вот не могу понять или у меня oep не правильный или я чето не догоняю так как
call - в eax адрес api
..... - не помню щас точно шо за команда чето там в увч загоняем но не суть
mov [edx], eax вот щас в edx лежит IAT начало 5a000 размер чето около 1000 может больше пока это неважно так вот imprec кода я пишу 5a000 он мне выдоет мусор :((((( нечего похожего на IAT а при IAT autosearch пишет no oep :((((( хотя я не раз трасировал эту dll и все указывает на то что oep 53771 блин не чего не могу понять все методы поиска oep перепробовал и всегда попадал на 53771
все методы (которые я знаю) -
getmodulehandlea if(*(esp+4)==0)
esp-4 & esp-24
просто тупо getmodulehandlea
и все это выводит на 53771 не че не понимаю толи я торможу толи .......
Asterix есть идеи. где я могу ошибатся ?????

А ты "Pick Dll" в ImpRec жал когда exe'шник туда загрузил?

Asterix конечно :)))))) и в revergin atach делал

а короче не интересно кода поспишь и со свежей головой возьмешся то все получается все тема закрыта спасибо астериксу за помощь :)))))))))))
З.ы. сломалось все быстро и аккуратно :))))))