- Формат PE http://bbs.pediy.com/upload/bbs/unpackfaq/ARTeam%20PE_appendix1_offsets.htm
- ссылка на VC_redist 2012 (msvcr110.dll) http://www.microsoft.com/ru-ru/download/confirmation.aspx?id=30679
- страница описания http://forum.xentax.com/viewtopic.php?f=32&t=9625
- ссылка на скачивание (80 кБ) http://www.mediafire.com/download.php?rard7tih3dwmqjf
Программа с какой-то целю собрана в VC2012 и проставлена минимальная версия платформы для запуска 6.0 Поэтому правим файл
По адресу 0x3c расположен адрес заголовка PE (в данном случае 0xf8)
В заголовке по смещениям MajorOperatingSystemVersion 0x40 (0xf8 + 0x40 = 0x138) и MajorSubsystemVersion 0x48 (0xf8 + 0x48 = 0x140) меняем 0x06 на 0x05. Должно получиться 05 00 01 00 ...
Ставим VC_Redist VS2012 (иначе не найдёт msvcr110.dll).
QuickBMS http://quickbms.aluigi.org
скрипт для извлечения http://aluigi.altervista.org/papers/bms/wintermute.bms
# Wintermute Engine # script for QuickBMS http://quickbms.aluigi.org idstring "\xde\xad\xc0\xde" goto 0x80 get OFFSET long goto OFFSET get NAMESZ byte getdstring NAME NAMESZ get DUMMY byte get FILES long for i = 0 < FILES get NAMESZ byte filexor 0x44 getdstring NAME NAMESZ filexor "" get OFFSET long get SIZE long get ZSIZE long get DUMMY long get CRC long get DUMMY long if ZSIZE == 0 log NAME OFFSET SIZE else clog NAME OFFSET ZSIZE SIZE endif next i