Mi título está más que explícito, si pueden darme el método de como lo encontraron sería genial

http://www.megaupload.com/?d=YDXJ9T4Y


Muchas Gracias

abro el depurador
y bajo hacia abajo

00478083   FF37                                PUSH DWORD PTR DS:[EDI]
00478085   AF                                  SCAS DWORD PTR ES:[EDI]
00478086   EB 09                               JMP SHORT unpackme.00478091
00478088   FE0F                                DEC BYTE PTR DS:[EDI]
0047808A  -0F84 7082FCFF                       JE unpackme.00440300
00478090   57                                  PUSH EDI
00478091   55                                  PUSH EBP
00478092   FF53 04                             CALL DWORD PTR DS:[EBX+4]
00478095   8906                                MOV DWORD PTR DS:[ESI],EAX
00478097   AD                                  LODS DWORD PTR DS:[ESI]
00478098   85C0                                TEST EAX,EAX
0047809A  ^75 D9                               JNZ SHORT unpackme.00478075
0047809C   8BEC                                MOV EBP,ESP
0047809E   C3                                  RETN

el salto al oep indica que es 440300, una estructura de delphi

la primera entrada indica
00405DC4  -FF25 EC314400                       JMP DWORD PTR DS:[4431EC]                ; kernel32.GetModuleHandleA


comenzando en el dump

004430EC  00000000
->004430F0  7C809737  kernel32.GetCurrentThreadId
004430F4  7C92188A  ntdll.RtlDeleteCriticalSection
004430F8  7C9110ED  ntdll.RtlLeaveCriticalSection
004430FC  7C911005  ntdll.RtlEnterCriticalSection
00443100  7C809FA1  kernel32.InitializeCriticalSection

$+558    >58C72777  comctl32.ImageList_BeginDrag
$+55C    >58C3C035  comctl32.ImageList_Remove
$+560    >58C4129B  comctl32.ImageList_DrawEx
$+564    >58C491C9  comctl32.ImageList_Draw
$+568    >58C42F51  comctl32.ImageList_GetBkColor
$+56C    >58C3C2B8  comctl32.ImageList_SetBkColor
$+570    >58C3D440  comctl32.ImageList_ReplaceIcon
$+574    >58C729E3  comctl32.ImageList_Add
$+578    >58C3E1C2  comctl32.ImageList_GetImageCount
$+57C    >58C3BD2E  comctl32.ImageList_Destroy
$+580    >58C3BB5B  comctl32.ImageList_Create
$+584    >00000000

a mi me corre de lo mas bien:

datos para el import rec
oep:  00040300  (oep-imagebase)
RVA:000430F0 (comienzo iat-imagebase)
largo 584 (final de la iat..)

y el dump de la primera sección con import rec..
 

el largo esta mal..es solo eso..los datos recuerda restar la imagebase..eso es todo
 

entonces doy por hecho que lo desempacaste, felicidades ^^