|
Эксперт
Keine panik!
Эксперт
Если там вмпрот, то скорее всего не просто упаковка, а еще и виртуализация.
Если упаковку можно снять простым дампом + скриптом для фикса импортов, то для девиртуализации нужные инструменты другого уровня, плюс немногие знают что во 2 версии вмп был жестче в плане обфускаций, а в 3 версии автор решил убыстрить работу и отключил некоторые функции (так же сменилась архитектура вм).
Keine panik!
Эксперт
Так ты проверь сперва, сними дамп, если увидишь в иде прыжки вида push (рандомное число) + jmp в секцию прота, где затем обфусцированное месиво среди которого виднеются пуши всех регистров - значит это прыжок на вм и функция которая была в оригинале теперь виртуализирована.
Возможно то что тебе нужно как раз не защищено, это же человеческий фактор.