El programa original se trata de un Visual Basic, empacado con el installshield de Macrovision, la misma empresa de SafeDisc. Además de confirmarlo con El RDG Packer, si con OllyDbg lo attach cuando corre, con Alt-E (en los módulos ejecutables) ves que utiliza la librería MSVBVM60 clásica de VB.
Si recuerdas las palabras citadas no hace mucho en el tema de otro packer, por el "maestro" MCKSys Argentina: "La cosa se hace fácil, porque en todo VB6 el OEP es siempre de la misma forma: PUSH y CALL ThunRTMain..."
Así que podemos tratarlo como cualquier otro VB empacado, y buscarle su OEP clásico, desde el que dumpear.
Yo lo que he hecho, con esa idea inicial de encontrarle el OEP de VB, e improvisando por mi cuenta, fue attacharlo cuando estaba parado en la ventana del trial con los días de uso.
Una vez attachado con Olly, pulsas en run ó F9 para que siga corriendo el programa sobre el que hemos tomado el control, después me fui con Alt+M al "memory map", y observando las distintas secciones del programa, me pareció interesante la Sección "stxt371" identificada con el contenido de "code,imports", por lo que le puse un "set memory breakpoint on access" sobre dicha sección para que se detenga al leer el código de funciones importadas, pensando en las funciones del programa ajenas a las del installshield.
Volví al programa y pulse sobre el botón continuar que era el de finalizar, para terminar la capa de protección del installshield, y a continuación como estamos dentro del periodo del trial se ejecuta el programa original desempacado, y es entonces cuando al entrar en la sección de "code,imports", el OllyDbg hace la ruptura al leer de la sección, pero en la barra de titulo del Olly vemos que no estamos todavia en el modulo principal del programa, así que vamos dando F9 hasta que veamos en el titulo que estamos en el modulo con el nombre del ejecutable principal, a partir de aquí continúe traceando unas cuantas líneas con F8, hasta caer en el OEP clásico de VB que antes comentaba, el cual reconocí nada mas verlo "PUSH y CALL ThunRTMain" y si miras unas líneas mas arriba tienes la tabla de importaciones de la librería MSVBVM60; ya solo hacer el dump (en ese momento no tenia instalado el plugin de ollydump), por lo que utilicé el LordPE con su modo inteligente, y para arreglar la IAT con el ImportREC, y sin problemas al correr el dumpeado.
Esta fue mi forma de llegar al OEP de forma un poco improvisada, pero reconozco que la mejor forma para llegar al OEP de un VB es la del manual de MCKSys, no obstante pongo la que yo utilicé, por si es útil cuando el programa original no esté hecho en VB.
Para obtener un desempacado "casi" completo:
1) Abrir el EXE en Olly y en el EP hacer ALT+E para ir al listado de módulos.
2) De la lista seleccionar MSVBVM60.DLL y hacer doble-click para saltar al modulo.
3) Hacer CTRL+G y poner "ThunRTMain" (sin las comillas). En la dirección donde queda Olly, poner un BP con F2.
4) Ejecutar con F9 y cuando para en nuestro BP, colocarse sobre el primer valor de la pila y darle ENTER.
5) De la dirección que aparece en la ventana de CPU, escrolar 2 instrucciones hacia arriba (hasta el PUSH o mejor dicho, hasta 4070C8). Ese es nuestro OEP. Reconocemos que es el OEP de un programa hecho en VB6.
6) Colocar un HBP en esa dirección y hacer CTRL+F9 para reiniciar el programa.
7) Cuando reinicia, hacer ejecutar con F9 y cuando para en el HBP, dumpear con OllyDump y reconstruir IAT con ImpRec.
Mostrar Mensajes
), pero se ve que vas aprendiendo cosas nuevas y tu imaginación empieza a volar. 
