Hola vamos por otro estudio de otro packer sencillo... saludos
Abrimos y analizamos con el RDG Packer Detector y verificamos un Poly Crypt...
![](http://img140.imageshack.us/img140/5184/33733228.png)
Abrimos con el OllyDBG y observamos su EP y no vemos nada que nos pueda ayudar...
![](http://img101.imageshack.us/img101/4761/57319886.png)
Vamos a utilizar la API "GetVersion" para encontrar el OEP y colocamos un BreakPoint en esta...
![](http://img87.imageshack.us/img87/33/75525496.png)
Le damos F9 o run y paramos en esta zona, en mi caso es la segunda vez ya que la primera nos devuelve en una direccion de memoria que no nos sirve...
![](http://img829.imageshack.us/img829/734/36182308.png)
Traceamos hasta el RET o con la opcion de Execute Till Return y lo pasamos con F8...
![](http://img249.imageshack.us/img249/8529/65078247.png)
Caemos una instruccion despues de la llamada a la API pero con el scroll un poco hacia arriba observamos que estamos en el OEP...
![](http://img819.imageshack.us/img819/7220/67766511.png)
Ponemos nuevo origen en el OEP...
![](http://img225.imageshack.us/img225/507/17636802.png)
Dumpeamos el ejecutable con la opcion de Rebuild Import desactivada...
![](http://img177.imageshack.us/img177/3382/94910296.png)
Bueno abrimos el IREC y seleccionamos el proceso, ponemos el OEP sin la image base ==> 271B0
Click en IAT AutoSearch - Click en Get Import - Click en Fix Dump y arreglamos el dumpeado anterior...
![](http://img543.imageshack.us/img543/2191/86617224.png)
Volvemos a verificar si el archivo final quedo totalmente unpackeado con el RDG y observamo que si y esta hecho en Visual C++...
![](http://img823.imageshack.us/img823/4347/j10.png)
Y por ultimo cambiamos algunas string y comprobamos que el ejecutable quedo totalmente funcional...
![](http://img146.imageshack.us/img146/3702/j11x.png)
Feliz Cracking
Saludos
CronuX