Hola!

En general, los instaladores extraen en el directorio temporal del usuario (o el del sistema) todo lo necesario para hacer la instalacion y luego ejecutan un EXE desde ahí.

Basta con que ejecutes el instalador y mires con Process Explorer (o la tool que prefieras) el path y la linea de comandos con la que se está ejecutando el instalador descomprimido; para poder debugear el EXE descomprimido, usando la misma linea de comandos con la que fue llamado originalmente.

Saludos!

Logre conseguir donde descomprimir el instalador   , pero cuando lo veo en con Process Explorer se esta ejecutando como IKernel.exe el instalador.
En la carpeta descomprimida ningun exe abre el software, busque que las dlls y no encontre strings o apis buenas  .


Abierto el instalador abri el x64dbg y en vincular logre debuggearlo, logre detenerme en MessageboxA y encontre el call de donde fue llamado pero el software pasa muchisimas veces por el call dword ptr ss:[ebp+0xC]  que me llevo 1 ves a MessageBoxA.



Muchísimas Gracias por su tiempo MCKSys Argentina, apuromafo, Bendiciones.

MOD: Imagenes adapatadas a lo permitido