Whenever you see something like a dword getting moved into a register and then the register gets called it is a sort of obfuscation. The function probably gets resolved at runtime so put a hardware breakpoint on the dword and when it gets hit, examine the region and see if the function has been resolved.
А что выдает Detect It Easy, об экзешнике? Как выглядит таблица импорта(можно посмотреть PEiD или лучше PEAnatomist, он обновляется) и что выдает Strings ваш.exe?
DiE говорит что дельфи 7.0, Ghidra говорит что паскаль. Остальные проги ничего не говорят полезного.
Например? Писать скрипты надо когда знаешь что они должны сделать, а я не особо знаю что это за куски кода
Ну ты дал, что это на самом деле можно понять только из контекста использования, разбирай как это используется и поймешь что это, поняв что это сможешь правильно обработать.
Может DeDe by DaFixer, стоит попробовать? И что все-таки в таблице импорта, нет ли там избытка вызовов LoadLibrary?
ничего не находит, пробовал.
в таблице импорт только GetModuleHandle и ExitProcess, но именно судя по строкам и кускам функций импорт остального идет динамически
Похоже упаковано, вопрос как.
Можно попытаться отловить, чего ей не хватает для запуска
Она именно в начале сразу обваливается, в мейн-функции после пары инструкций сразу исключение и попытка вызвать werfault
В Win XP запускаете? Еще можно hiew-ом посмотреть и Win32Dasm учитывая, что прога похоже старая.
тестировал на 7 ранней и 10 ранней - эффект один
Если у неё есть гет модуль хендл, значит ей нужен процесс к которому она подключится в памяти, поэтому программа не работает, скорее всего она подключается по имени exe файла
