Hola ahora volviendo a revisar algunos packer, son sencillos pero de ellos se aprende algo, esta vez un sencillisimo packer que a simple vista deja ver el salto al OEP y no destruye la tabla de importaciones ni nada por el estilo...
Primero ejecutamos el RDG Packer Detector y observamos que esta empacado con el DalKrypt...
Lo abrimos con el OllyDBG y observamos a grandes rasgos su estructura, su EP y al final de este nos muestra un salto a EDI...
Tan sospechoso este salto que le ponemos un breakpoint y le damos run o F9 y al caer ahi observamos que el registro EDI vale 0x4271B0 ==> OEP
Lo pasamos con F8 y caemos justamente en el OEP...
Dumpeamos el ejecutable y desmarcamos la casilla de Rebuild Import ya que lo haremos con el IREC...
Abrimos el IREC y seleccionamos el proceso y colocamos en el OEP sin la ImageBase es decir 0x4271B0 - 0x400000 = 0x271B0 y click en boton IAT AutoSearch
Le damos click en el boton Get Import, Despues de ver que no hay API invalidas y esta todo correcto le damos click al boton Fix Dump y seleccionamos el dumpeado que hicimos anteriormente...
Revisamos de nuevo con el RDG para observar que ya nos muestra el compilador y que no esta empacado...
Y ejecutamos para verificar que quedo funcional el ejecutable, y modificamos las string para comprobar...
Feliz Cracking
Saludos
CronuX
