Pues estuve traceando y veo que va a diferentes dlls ( por lo que supongo que en efecto hace la Tarea de llamarlas...). Veo que pasa por una "Fake.dll" pero no entiendo el código... hace algún tipo de comparación pero no ubico para qué.
Decidí usar DllFunctionCall para reparar la entrada erronea... y agregar una sección que es la parte a donde salta el programa en esa entrada erronea. En mi caso está en 01540000. Así que use pipe para obtener la sección. Después con peditor la agregue al exe dumpeado con la iat "arreglada". Resulta que no más no corría...
Después me di cuenta que el dumped contiene una sección sin descripción... decidí quitarla ( pensando que podría ser basura del packer, pero sin tener fundamento teórico real que lo sustente). La sección la quité antes de agregarle la de la entrada redireccionada. luego agregué la sección 01540000 y arreglé el virtual offset. Luego lo pasé por pe rebuilder de lordpe. y obtuve...
Un exe que al fin puedo cargar en Olly... que tiene OEP en donde lo especifiqué y que no me dice que esté comprimido......
Peeeeeeero.... el maldito me sale con un error...
Es así:
Preguntas:
¿Hice mal en quitar la sección que según yo es huerfana ?( como puedo saberlo..?)
Me falta agregar otras secciones para correr el programa?....
O de plano corregir no más así con dllfunctioncall no va a llevarme a encontrar un exe funcional?
Por cierto.. En importrep hice un "Trace Level 1" en la entrada erronea... pero me arreglaba la entrada y me marcaba otras 3 entradas malas.....
Usar el Traceador de Imporrep me va a funcionar o es algo más de análisis a mano?
Autor
En línea
