Bueno, las novedades:

No se porque, pero ahora el segundo proceso se crea antes que olly pare en CreateMutexA, no se que sera. Shadow, si sigo tu metodo, el del CALL R32, me da error de que no puede acceder a la pocicion F5638CF7, que no es redeable, o leeible.

Algun otro metodo???

Hay tena!!!!  ! soy un idiota, o talvez este saturado de tanto asm, en fin, mil gracias.

Ahora, me faltaria encontrar el oep no??? poniendo un BP on acces en la sección text 41000 no??.

Saludos y gracias,

Gracias tena, lo encontre, ahora lo dumpeo con el ollydump??? o con LordPE???

Esto parece una conversacion de msn jejej.

Una vez Dumpeado, con el ImpRec, no me encuentra las importaciones, osea la IAT debe estar echa pelota, ahora me surgue una duda,

este es mi OEP



y esta es la sección a donde me lleva el jump



Mi pregunta es, cual call es la que tengo que seguir en el dump para poner el HBP on write???

Realmente no creo que ese sea el OEP, KJD se me olvido preguntarte ayer si a ud el Olly le rompia 2 veces en el CreateThread, por que en el ejecutable que me mandastes no , si aud si le para 2 veces, luego de ello es donde debes buscar la call r32, como dice Shaddy (CALL EAX) o ver si para en la sección code despues de poner el BP ON EXECUTION, y si no tiene pinta de OEP al parar prueba nuevamente con F9, normalmente en la primera parada no es.

salu2

amerikano