Otro packer bastante sencillo, y seguimos aprendiendo formas de llegar al OEP y seguimos mirando posibilidades que se nos presentan para llegar a este...
Abrimos el RDG Packer Detector y al parecer esta un poco desactualizada la signature pero igual nos da el nombre del Packer...
Abrimos con el OllyDBG y observamos su EP y a grandes rasgos su rutina...
Traceamos hasta llegar a esta call...
Vamos a los registros y en el registro ESP le damos click derecho, follow in dump...
En el dump ponemos un breakpoint, hardware...
Nos aparece una nueva ventana y seleccionamos "Access - Dword" y click en Ok
Le damos a run o F9 y caemos en esta zona...
Analizamos el codigo para ver las verdaderas instrucciones...
Empezamos a tracear y cuando le damos en F8 en la primera call que encontramos nos para en el OEP...
Abrimos el IREC y seleccionamos el proceso... y con click derecho, Advanced Commands, Select Code Section(s)
Con la opcion solo de la section .text le damos click en el boton Full Dump y guardamos...
Ahora si ponemos el OEP sin la image base ==> 0x271B0 Click en boton IAT AutoSearch, Get Import y Fix Dump y arreglamos el dumpeado que anteriormente hicimos...
Lo analizamos con el RDG y observamos que ya no esta empacado y observamos el lenguaje en que fue hecho...
Por ultimo ejecutamos para comprobar el funcionamiento del ejecutable y todo correcto...
Feliz Cracking
Saludos
CronuX