Hola shaddy, a que te refieres con destrozado? armadillo lo tocò? servira de todas formas si se pone ese como OEP? es una dudilla jeje, ya que he visto en muchos tutes que un oep no puede ser call, corrijame si me equivovo  .

salu2

amerikano

Como decia, en base a otros tutos las que estan en cada cambio de libreria, deben ser "00000000", pero creo que la que esta en 985024, creo que es erronea no se, pero como hay una abajo de la misma libreria ahi deberia ir un valor correcto. Bueno esta tarde quedamos en el punto en que ecx tomaba los valores que iban a ser ingresados en la IAT era algo como mov ecx, DWORD PTR SS:[EBP-XXXX], y podes ir a la pila o stack, presionar ctrl+g y poner "EBP-XXXX" como indique la instruccion anterior y ally es donde tendras el punto donde se almacenan los valores buenos y malos.

Vas al dump en esa direccion y pones un HBP ON WRITE alli, todos los que tengas, y das a F9, y estas atento de que haya parado por escribir una entrada falsa o buena, de lo contrario das nuevamente a f9, y cuando se haya escrito la entrada en la iat ahi es donde debes subir un poco y hallar el salto magico  , luego podes crear un script que cambie ese salto y te deje en el oep con la iat reparada para luego dumpear  , bueno, me extendi, esto es lo que ibamos a hacer si no te hubieras ido jeje.

salu2

amerikano

En cuanto a Americano, si si, ese es el OEP, porque lo he visto en los últimos armadillos y he desempaquetado alguno con ese OEP. Y no son como los de verdad XD.

En cuanto a KJD XD, si, esa es la tabla, las librerías efectivamente se separaran con un DWORD "00", y como ahí no tienes IAT scramble pues la tienes más o menos fácil.

Para saber el largo es mejor que clickees 2 veces en el margen de las direcciones desde el punto de inicio para qu ete diga el final ej:

$+F79 -> Ultima api (buena o tirada)

Salu2...

Bueno gente les comento que pude con el maldito armadillo!!!!!!

Estoy contento jejeje!!!!

Pude encontrar el salto magino que escribia los valores buenos y malos en la IAT, aplique el script de Solid y pude quedar en el OEP con la IAT reparada.

Le aplique el imprec y repare el dumpeado.

Le arregle el header y lsito.

Ahora tengo un problema. el ejecutable me da error de

Microsoft C++ Runtime Library.

r6002
-Floating point suport not loaded.

Que podra ser??

EDITO:

Me he dado cuenta de dos cosas, el archivo dumpeado y desempacado, esta packetado con molebox 2.57, porque cuando lo cargo en olly me dice que esta protegido, y el RDG me tira que esta protegido con ese molebox 2.5.7.

Les agradeceria si le echan un vistazo y me dicen si es verdad lo que me dice el RDG o es que no le saque el armadillo como se debia, aunque me parece que si.

Les dejo el archivo. Gracias y saludos.

http://rapidshare.com/files/162917138/Escritorio.rar.html

He estado siguiendo el tutorial de AbsshA, llego a la pare que el ejecutable no arranca, pero no puedo llegar a la misma sección que el llega, osea no puedo modificarlo para que arranque si o si.

Me he fijado este nuevo dump que hice y la IAT esta desordenada yu con entradas falsas, cosa que en mi dumpoeado original no. Por eso no creo que GetTickCount este molestando. Alguna otra idea de lo que podria llegar a ser???