Кстати, можно было с грамотной распаковкой особо не заморачиваться, глянул, прога на Делфях написана, соответственно языковые модули поддерживает, можно было просто дамп проги из памяти снять и секцию ресурсов выдрать, её пакеры/крипторы/протекторы никогда особо не касаются, а спасибо нужно сказать майкрософт, из-за недосмотра ещё с 95й винды
В исходном коде UPX есть такой интересный комментарий:
// after some windoze debugging I found that the name of the sections
// DOES matter .rsrc is used by oleaut32.dll (TYPELIBS)
// and because of this lame dll, the resource stuff must be the
// first in the 3rd section - the author of this dll seems to be
// too idiot to use the data directories... M$ suxx 4 ever!
// ... even worse: exploder.exe in NiceTry also depends on this to
// locate version info
В файле oleaut32.dll можно найти следующие строки:
.77A078C7: 7825 js .077A078EE -----v (2)
.77A078C9: 8D4580 lea eax,[ebp][-80]
.77A078CC: 687CB7A377 push 077A3B77C -----v (3)
.77A078D1: 50 push eax
.77A078D2: FF15F8229B77 call lstrcmpiA ;KERNEL32.dll
.77A3B770: 44 00 49 00-52 00 00 00-2A 00 00 00-2E 72 73 72 D I R * .rsr
.77A3B780: 63 00 00 00-00 00 00 00-74 79 70 65-6C 69 62 00 c typelib
