Hola a todos!

En primer lugar, decir que me hace sentir culpable el registrarme e inmediatamente pedir algo... creo que da la impresión de aprovechamiento de los conocimientos de la gente, pero yo intentaré aportar mi granito de arena dentro de este foro...

Dicha la disculpa, mi problema es el siguiente: tengo un programa protegido por Armadillo, y tras pasarlo por el PEiD, me daba 1.xx o 2.xx... tras ojear el programa un poco y buscar algo de información en Internet, encontré un tutorial de Karpoff (h**p://www.hackemate.com.ar/mirrors/karpoff/manuales/0catch/archivos_0catch/PowerGuardv1.0_armadillo.htm) en el cual se exponían una serie de pasos que concordaban bastante con mi problema. Los seguí, sin éxito.

Más tarde encontré un programa (ArmKiller) que me dumpeaba la zona de código y datos, pero sin la RVA. Tras intentar obtener las RVA mediante ImpRec, el archivo dumpeado no funcionaba, (no por no reparar los RVA's inválidos, sino porque ninguna dirección se correspondía; también probé reajustando el PE). Además, el programa tenía una clara estructura de VB (primeras líneas:


Lo que me extrañó, ya que ninguna función de MSVBVM60.DLL aparecía en la RVA del ImpRec... También he probado con el Armadillo Process Detach, que hace todo perfecto, solo que la zona de código está mal descifrada (probablemente porque detecta algo...)

En definitiva, ya no se por dónde seguir... Si alguien pudiera echarme un cable...

Muchas gracias, y de nuevo, perdón

¡Hola!

Gracias por responder, y perdón por no corregirlo... Al final conseguí eliminar el packer, pero haciendo una chapucilla... Desencripté todo el programa engañando al CopyMem II, y después, sobre el proceso hijo, apliqué el ImpRec, para conseguir la IAT...

La gracia es que el dump que corregí con la IAT del ImpRec no fue el que obtuve desde el programa hijo, sino uno que me creó el ArmKiller.

Muchas gracias de todos modos!