Estoy descomprimiendo un "facil" UPX , la rutina normal de este suele ser,que despues del popad, está el salto directo al OEP.
Pero en mi UPX antes del salto hay esto





como se puede ver el JMP 401644 me lleva al oep, pero si dumpeo y reparo la iat desde 401644 se abre el programa correctamente,pero me avisa de que los controladores no se han cargado, por lo que creo que la carga de controladores (encargado de las unidades virtuales) lo hace en esa parte.

Algun pro que me pueda ayudar con esto?

una gran herramienta el peexplorer, lo descomprime perfectamente, incluso me da un exe mas pequeño que el que he echo yo a mano.

Pero me sigue dando el mismo fallo en la carga de controladores.

Gracias por vuestra ayuda.

El problema es que tiene algun tipo de proteccion adiccional que detecta los cambios.

Lo he conseguido pero por medio de un injerto, porque desempacandolo no he podido con el.

(He de reconocer que eso de injertar es mucho mas divertido jeje)

ok me currare uno tute sencillo, pero no quiero que nadie se ria eh???