Siguiendo la rutina otro packer tambien sencillo, pero de todo se aprende...
Primero ejecutamos el RDG Packer Detector y verificamos con que esta packeado...
Abrimos con el OllyDBG y observamos su EP...
Lo que haremos sera ejecutar hasta el ret mas cercano esto en el menu debug - "Execute till return"
Caemos en el y lo pasaremos con F8...
Y vaya sorpresa la primera instruccion un pushad y un aspecto muy parecido al Aspack...
En esta ocasion lo que haremos sera buscar por una cadena hexadecimal el posible salto al OEP ya sabiendo que su estructura es similar o igual al Aspack...
Escribimos la cadena 68 00 00 00 00 C3 que corresponde a las instrucciones
PUSH 0
RET
Y nos la encontramos y observamos que mas arriba esta el POPAD asi la misma forma del Aspack por eso nos comprueba que si es el camino al OEP...
Pondremos un BreakPoint en la instruccion RET y con F9 o run corremos para que pare ahi y nos lleve al OEP...
Paramos en el OEP y dumpearemos...
Dumpeamos con la opcion de Rebuild Import desmarcada ya que es mejor y mas confiable con el IREC...
Abrimos el IREC y seleccionamos el proceso, pondremos el verdadero OEP sin image base ==> 0x271B0, click en IAT AutoSearch, Click en Get Import y vemos que todas estan funcionando y Click en Fix Dump... y seleccionamos el dumpeado...
Comprobamos con el RDG que esta sin packer y el lenguaje de programacion...
Verificamos que el ejecutable haya quedado funcional y bien...
Feliz Cracking
Saludos
CronuX
