отбой тревоги - близы просто перестали ставить TIMING_CHECK в начало каждого пакета и мой автоматический подбор таблицы по нему оказался в пролете.
если перебирать таблицы руками - можно найти ту, которая подходит для конкретно взятого модуля. благо эти таблиц - всего 8 уникальных.
теперь похоже, придется подбирать по FIND_MEMORY_CHECK/FIND_MODULE_CHECK.
лезти в варденовские модули и разбираться, как при их SEED->HASH инциализации считается xor-байт, и как опкоды сопоставляются функциям - нет никакого желания
если кто поделиться в личку описанием - буду благодарен
