Можно OllyDbg или в Hex-редактором поменять строку, указывающую где именно в реестре хранить значения на нужную

Пытался, но среди бинарного кода не нашол путь в реестре. Как в этом бинарном бесприделе найти то что нужно?

Ну залей куда-нибудь посмотреть.

Радмин использовал самопальный враппер/криптер на себе. Поэтому тут скорее всего спасет лоадер, т.к. если анпакать этот зверский врапер, то можно состариться (через каждые 5 метров подводные камни).

з.ы.: а стаб врапера похож на чистую сяху и не палится даже по энтропии

так даже интересней ^____^. анпакать мне нравицо.

2s0l_ir0n
кстати, по поводу лоадеров. Никогда не писал подобного стаффа. Так просто на вскидку алго подобного лоадера - перехватить соответствующие функции и просто подменять ветки реестра в аргументах? Или патчить в памяти строки в рантайме? Упустил я в своё время инлайн патчинг =( так что кажется первый способ более прост ...
Грхм ... но таскать лоадер для подобного сервера непохек както ... внедрить свой стаб и вызывать через tls callback или сплайсинг? там проверка на целостность есть?

http://www.raa.h18.ru/r_server.exe

2Foster

ну и нафуя мне один екзешник? хде его длл? Стаб в динамике подгружает необходимые длл и функции из них до перехода на oep. Думаешь мне больше нечем заняццо кроме поиска dll для него?

А вообще забавный стаб ^_____^

запустил процесс засаспенженый, поменял все в виртуальном адрессном пространстве что нужно и ResumeThread. если инлайн-патчинг практиковать, то ненужно будет и лишнего бинаря с собой носить, и размер файла даже не изменится, но инлайнинг на всем что посложнее простейших пакеров более геморен, т.к. для многих проще накодить лоадер за 3 минуты, чем епатся с гвард-тредами протов и искать многочисленные куски кода для проверки CRC

тэкс. если я правильно всё сделал то

01401826 jmp eax

переход на ОЕР. Антиотладки (а также проверки целостности, и тд) в стабе не заметил. Но он раскриптуется в динамически выделяемую память по VirtualAlloc. Причем туда раскриптуется файл с заголовком попорченным и etc ... как из этого сделать рабочий файл я не представляю. Адреса всех импортируемых функций получаются динамически стабом и сохраняются в этом же регионе. Помоему ещё два региона както здесь же используются, толи для адресов глобальных переменных, толи ещё какимто боком хз.

Чтобы эту мешанину сделать рабочей у мну не хвататет знаний TT Нда, кстати при просмотре всех межмодульных вызовов можно увидеть и функции для работы с реестром etc, что подтверждает правильность ОЕР ... Может кто-нибудь подскажет, что почитать или статью на похожий пакер-прот, где раскрывается тема дампинга и приведение дампа в рабочее состояние??