уже оцнил
+1 к полезным тулзам

ну и прямое редактирование

что мне дает директория сертификатов? почему вы ее упомянули?

потому что сертификаты тоже в оверлее находятся

и они не мапятся в память

поэтому у тебя может быть два типа оверлея

1. Оверлей, на который есть указатель в директории данных (сертификаты)
2. Оверлей, на который нет явных указателей (архив, упакованные данные, контрольные суммы кастомной защиты etc)

понял
ну допустим я получил все эти значения (они по сути получаются автоматически)
как посоветуете найти место где указано смещение на данные внутри оверлея?
я чего и спрашивал за тулзу, которая бы перебрала все возможные значения - складывая и вычитая все известные относительно интересующего смещения

к примеру у меня почти под конец оверлея написано Privet, оно находится на 1000м байте к примеру и я хочу узнать где может быть адрес на начало этого "Привета"

ещё раз повторю: НИГДЕ

+

т.е. никто не указывает смещение оверлея в коде, его ищут программно

Но, в общем-то, никто не мешает сделать unsigned long offset = 0xbaadf00d, а потом после линковки найти эту сигнатурку и впатчить вместо неё размер .exe. И потом уже клеить оверлеи как угодно.

ну хардкодить то можно, но это скорее антипатерн

тоесть так делают только в локальных файлах? ну хранят структуры
смещения на структуры, длины структур итд

указатели на данные хранят только в случае с данными, загружаемыми в память

раз ida не загрузил обычной загрузкой то и при запуске не грузится сразу?

ида вообще не показатель

проверяй в отладчике

хорошо, предположим что всё целиком грузится в память
то тогда получается что НИГДЕ становится ГДЕТО?)
потомучто
> указатели на данные хранят только в случае с данными, загружаемыми в память

ещё раз по терминологии:
- оверлей не грузится в память системой и не предоставлен по умолчанию процессу
- если данные загружены системой в память, то это не оверлей