Нужна помощь с определением протектора. В cff explorer выглядит так есть подозрения что это vmprotect 3.x Файл: https://dropmefiles.com/iYJUZ
Эвристический анализ от die показал что это вмпротект, сигнатурки мутации нашел. Подобные инструкции имеются у движка виртуализации только vmprotect. Инструкции main он переводит в байты, что так же свойственно пакеру от vmprotect. Паттерн основной функции виртуализации: 44 88 44 24 ? Паттерн похожей функции с мутацией и виртуализацией: 55 9C F8 49 13 E8 Паттерн функции которая получает хендл каждого модуля IAT: 48 81 EC ? ? ? ? 48 8D 44 24 ?
geliar12, Нужен свой статик девиртуализатор, либо дампер специальный. Снять как в случае с C# не получится, потому что среды памяти разные.