Gracias tena, y si lo del loader es porque se me cierra la aplicacion. Lo que no se es como llegaste a esa dirección para parcharla y que no se cierre. Yo puse un bp ExitProcess y Olly se detiene antes de salir pero no logro llegar a ese lugar.
Disculpen mi ignorancia pero ¿qué es el SetDataFile?
Saludos
Sinceramente, tuve el mismo problema que vos y no encontre el motivo del que se cerrara, pero despues dijo ahi Nomada que era por la Fecha de Modificacion ( me gustaria saber como lo averiguo ) y entonces con estas apis:
GetFileTime
FileTimeToLocalFileTime
FileTimeToDosDateTime
me fui acercando, la que mejor te deja es la ultima, ahi vas dando run y cuando te sale en los registros el nombre del ejecutable, das Alt+F9 para ir al codigo y llegas aca.
00E265B6 |. E8 29235EFF CALL <JMP.&kernel32.FileTimeToDosDateTime> ; \FileTimeToDosDateTime
00E265BB |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00E265BE |. E8 ADAD5EFF CALL SimplyGe.00411370
00E265C3 |. DD5D E8 FSTP QWORD PTR SS:[EBP-18]
00E265C6 |. 9B WAIT
00E265C7 |. FF75 EC PUSH DWORD PTR SS:[EBP-14] ; /Arg2
00E265CA |. FF75 E8 PUSH DWORD PTR SS:[EBP-18] ; |Arg1
00E265CD |. 8BD3 MOV EDX,EBX ; |
00E265CF |. B8 E865E200 MOV EAX,SimplyGe.00E265E8 ; |ASCII "yyddmm"
00E265D4 |. E8 5BD75EFF CALL SimplyGe.00413D34 ; \SimplyGe.00413D34
luego pasas el ret y llegas a la comparacion de las fechas.
0
0E29399 MOV EAX,DWORD PTR SS:[EBP-3BC] ; fecha modificado del parchado
00E2939F MOV EDX,DWORD PTR DS:[EEF494] ; SimplyGe.00EFF914
00E293A5 MOV EDX,DWORD PTR DS:[EDX] ; fecha modificad deloriginal
00E293A7 CALL SimplyGe.00405E70
00E293AC JE SimplyGe.00E29443 ; la salvacion
y ahi parchamos por un jmp.
slds
Autor
En línea
hasta de eso he aprendido yo algo...
