фрагмент burndump'а, отождествляющий упаковщик по "сигнатуре"
Но все сразу же становится ясным, если взглянуть на файл, обработанный протектором Burnyey: как видно, протектор располагает себя по довольно нехарактерным адресам и дампер просто сравнивает 16-страрших байт адреса, вызывающего функцию brk().
.05371035: FF3508103705 push d,[05371008]
.0537103B: 9C pushfd
.0537103C: 60 pushad
.0537103D: 8B0D00103705 mov ecx,[05371000]
.05371043: E93A000000 jmp .005371082 ---v (1)
