- Формат PE http://bbs.pediy.com/upload/bbs/unpackfaq/ARTeam%20PE_appendix1_offsets.htm
- ссылка на VC_redist 2012 (msvcr110.dll) http://www.microsoft.com/ru-ru/download/confirmation.aspx?id=30679
- страница описания http://forum.xentax.com/viewtopic.php?f=32&t=9625
- ссылка на скачивание (80 кБ) http://www.mediafire.com/download.php?rard7tih3dwmqjf
Программа с какой-то целю собрана в VC2012 и проставлена минимальная версия платформы для запуска 6.0 Поэтому правим файл
По адресу 0x3c расположен адрес заголовка PE (в данном случае 0xf8)
В заголовке по смещениям MajorOperatingSystemVersion 0x40 (0xf8 + 0x40 = 0x138) и MajorSubsystemVersion 0x48 (0xf8 + 0x48 = 0x140) меняем 0x06 на 0x05. Должно получиться 05 00 01 00 ...
Ставим VC_Redist VS2012 (иначе не найдёт msvcr110.dll).
QuickBMS http://quickbms.aluigi.org
скрипт для извлечения http://aluigi.altervista.org/papers/bms/wintermute.bms
# Wintermute Engine
# script for QuickBMS http://quickbms.aluigi.org
idstring "\xde\xad\xc0\xde"
goto 0x80
get OFFSET long
goto OFFSET
get NAMESZ byte
getdstring NAME NAMESZ
get DUMMY byte
get FILES long
for i = 0 < FILES
get NAMESZ byte
filexor 0x44
getdstring NAME NAMESZ
filexor ""
get OFFSET long
get SIZE long
get ZSIZE long
get DUMMY long
get CRC long
get DUMMY long
if ZSIZE == 0
log NAME OFFSET SIZE
else
clog NAME OFFSET ZSIZE SIZE
endif
next i