Lo he probado un poco y le encontré muchos errores (crashes). Decidí probarlo por su interface "Olly-style" y la verdad es que esta muy bueno. Hay otro dbg que tambien usa QT, pero que no esta tan desarrollado como este: BugDBG. Lo desarrolla CyberBob, el creador de PeSpin.

Con respecto a Nanomite, estoy armando una lista de bugs para pasarselos a Zer0Flag (el developer), pero creo que la ultima version es de diciembre del 2012. El dev esta disponible en exetools.


Esos directorios tienen las versiones del debuger: 32 y 64 bits. Yo uso solo la de 64 porque para 32 esta Olly... 

Saludos!

Revisa esto: http://tools.ietf.org/html/rfc6025

Saludos!

La primer idea loca que me viene a la cabeza: inlinear el explorer para ocultar la barra, usando APIs: la barra es de clase Shell_TrayWnd, con FindWindow y ShowWindow...

La secuencia sería asi:

1) Sobreescribes el stack provocando una excepcion.
2) El SO ejecutara el codigo indicado por el SEH Handler (que haz colocado), el cual es un POP-POP-RET.
3) El RET anterior, saltará a ejecutar el stack, en la direccion donde esta un JMP corto.
4) Tu JMP corto se encarga de saltar los bytes que, de otra forma, romperian el programa, pues tienes 4 bytes que pertenecen al exception handler (los otros 2 son NOPs).


Ni las de sistemas, ni las que esten compiladas con SafeSEH.

Saludos!

Hola!

Hay algunas cosas que no entiendo:

Qué parte te falla? Cómo haces para que VB llame a tu función? Parcheas el lugar? Estás en otro proceso o en una DLL?

Ten en cuenta que VB internamente usa objetos (y variables) COM+ (ActiveX). Por ej. las cadenas no son ANSI, sino UNICODE (WideChar). Una variable en VB (si no esta optimizado el proc) es una variable VARIANT.

Saludos!

El JMP corto es para saltar 6 bytes (los 2 NOPs + los 4 bytes del SEH handler). Asi saltas a tu shellcode.

Ahora, el SEH handler (la direccion del pop-pop-ret), se ejecutará cuando ocurra una excepcion (generalmente es por desborde del stack). Cuando lo haga, el SO ejecutará el codigo indicado por el SEH handler (osea el pop-pop-ret) y el ret será quien saltará al JMP corto.

Saludos!

Creo que la época de los juegos no termina nunca, pero sólo comienzas a controlarlo cuando te das cuenta de que el juego eres tú.

Con lo último me refiero a que tú le das vida al juego. Por ej. si te filmas/grabas mientras juegas (sólo tus movimientos) verás que no haces más que mover el mouse y apretar teclas.

Todo lo demás (la emocion/exitacion/etc) lo colocas tú.

Algo que puedes usar es: pensar que hay cosas mucho más interesantes para hacer, que perder el tiempo precioso de tu vida jugando jueguitos que no te aportan nada mas que un poco de emociones auto-generadas.

Saludos!

PD: Con esa edad, deberías estar pensando en mujeres, no en jueguitos...

Hay mucha info sobre este packer...

Probaste al menos con el unpacker de LCF-AT?

Saludos!

PD: Viste lo que puse sobre IDR???

Hola!

Te paso algunos datos a ver si te animas:

Packer: VMProtect
Compiler: Delphi
OEP: 502DAC

Con Olly + StrongOD lo puedes mirar tranquilamente.

El tema es que desempacar VMProtect no es sencillo...  

Saludos!

EDIT:

Es un Delphi 7 (segun IDR) y sólo con el dumpeado (sin la IAT correjida), IDR te muestra todo (Bueh, casi todo...  )

Hola!

Para hacer un inline, personalmente uso Olly.

Una vez que encuentras el lugar/es que quieres inlinear, buscas una zona en la sección ejecutable (sección .text, .code o como se llame) que tenga el espacio que necesitas (y que tengas 0s, NOPs o el relleno que el compilador ponga).

Normalmente, al final de la sección hay espacio, pero debes tener en cuenta si dicho espacio se encuentra en el ejecutable (un exe mapeado en memoria es diferente a uno en disco: las secciones se alinean, por lo que puede pasar que la sección de la memoria sea mas grande que la sección raw en el disco).

En este caso, si usas Olly, no tendrias problemas pues cuando quieras guradar los cambios hechos, te advertira sobre dicho problema, con lo que tendras que buscar otro lugar con el espacio necesario.

Saludos!