Hola vamos por otro estudio de otro packer sencillo... saludos
Abrimos y analizamos con el RDG Packer Detector y verificamos un Poly Crypt...
Abrimos con el OllyDBG y observamos su EP y no vemos nada que nos pueda ayudar...
Vamos a utilizar la API "GetVersion" para encontrar el OEP y colocamos un BreakPoint en esta...
Le damos F9 o run y paramos en esta zona, en mi caso es la segunda vez ya que la primera nos devuelve en una direccion de memoria que no nos sirve...
Traceamos hasta el RET o con la opcion de Execute Till Return y lo pasamos con F8...
Caemos una instruccion despues de la llamada a la API pero con el scroll un poco hacia arriba observamos que estamos en el OEP...
Ponemos nuevo origen en el OEP...
Dumpeamos el ejecutable con la opcion de Rebuild Import desactivada...
Bueno abrimos el IREC y seleccionamos el proceso, ponemos el OEP sin la image base ==> 271B0
Click en IAT AutoSearch - Click en Get Import - Click en Fix Dump y arreglamos el dumpeado anterior...
Volvemos a verificar si el archivo final quedo totalmente unpackeado con el RDG y observamo que si y esta hecho en Visual C++...
Y por ultimo cambiamos algunas string y comprobamos que el ejecutable quedo totalmente funcional...
Feliz Cracking
Saludos
CronuX
