pasa que el programa no esta realmente en su propio lenguaje, esta con algo ofuscado, o bien algun packer para iniciar, ahora bien, donde comienza esto?
CPU Disasm
Address Hex dump Command Comments
004019A8 E8 00000000 CALL 004019AD
004019AD 58 POP EAX
004019AE BB AD190000 MOV EBX,19AD
004019B3 2BC3 SUB EAX,EBX
004019B5 50 PUSH EAX
004019B6 68 00004000 PUSH OFFSET gaifr.00400000
004019BB 68 B01C0000 PUSH 1CB0
004019C0 68 80000000 PUSH 80
004019C5 E8 35FFFFFF CALL 004018FF
004019CA ^ E9 99FFFFFF JMP 00401968
si vamos de a poco, va desempacando en memoria, pulsando f7/f8
---------------------------
PMIFRPanel
---------------------------
Run-time error '53':
File not found
---------------------------
Aceptar
---------------------------
mas o menos desde
CPU Disasm
Address Hex dump Command Comments
08E992C6 68 1C22EB08 PUSH 8EB221C ; ASCII "RaiseException %s(%x) flags=%x num_args=%x caller_addr=%s:0x%x %s
"
08E992CB E8 9EA2FDFF CALL 08E7356E
08E992D0 83C4 20 ADD ESP,20
08E992D3 E8 5FF9FFFF CALL 08E98C37
08E992D8 84C0 TEST AL,AL
08E992DA 5B POP EBX
08E992DB 74 09 JE SHORT 08E992E6
08E992DD FF75 08 PUSH DWORD PTR SS:[EBP+8]
08E992E0 E8 64FDFFFF CALL 08E99049
08E992E5 59 POP ECX
08E992E6 8B4D 10 MOV ECX,DWORD PTR SS:[EBP+10]
08E992E9 834D FC FF OR DWORD PTR SS:[EBP-4],FFFFFFFF
08E992ED 85C9 TEST ECX,ECX
08E992EF 74 05 JE SHORT 08E992F6
08E992F1 E8 2F07FFFF CALL 08E89A25
08E992F6 8B4D F4 MOV ECX,DWORD PTR SS:[EBP-0C]
08E992F9 5F POP EDI
08E992FA 5E POP ESI
08E992FB 64:890D 0000000 MOV DWORD PTR FS:[0],ECX
08E99302 C9 LEAVE
08E99303 C2 1800 RETN 18
08E99306 55 PUSH EBP
08E99307 8BEC MOV EBP,ESP
08E99309 51 PUSH ECX
08E9930A 51 PUSH ECX
08E9930B 896D FC MOV DWORD PTR SS:[EBP-4],EBP
08E9930E 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
08E99314 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX
08E99317 FF75 14 PUSH DWORD PTR SS:[EBP+14]
08E9931A 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
08E9931D FF75 10 PUSH DWORD PTR SS:[EBP+10]
08E99320 FF75 0C PUSH DWORD PTR SS:[EBP+0C]
08E99323 FF75 08 PUSH DWORD PTR SS:[EBP+8]
08E99326 FF70 04 PUSH DWORD PTR DS:[EAX+4]
08E99329 FF75 F8 PUSH DWORD PTR SS:[EBP-8]
08E9932C E8 C3FEFFFF CALL 08E991F4
08E99331 FF75 14 PUSH DWORD PTR SS:[EBP+14]
08E99334 FF75 10 PUSH DWORD PTR SS:[EBP+10]
08E99337 FF75 0C PUSH DWORD PTR SS:[EBP+0C]
08E9933A FF75 08 PUSH DWORD PTR SS:[EBP+8]
08E9933D FF15 74B2EA08 CALL DWORD PTR DS:[8EAB274]
08E99343 C9 LEAVE
08E99344 C2 1000 RETN 10
se supone que busca algo..y da eror de runtime
ahora bien el OEP (original entrypoint)
de donde debes desempacar esta en:
CPU Disasm
Address Hex dump Command Comments
004070C8 68 10944000 PUSH gaifr.00409410 ; ASCII "VB5!6&*"
004070CD E8 EEFFFFFF CALL <JMP.ThunRTMain> ; Jump to MSVBVM60.ThunRTMain
sugiero que leas algo de
http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.htmligual creo que debe ser mas o menos de esta pagina:
creo que mas especificamente de aqui:
revisaba y sip, corresponde a una version 0...+1 de la que tienes , pero parece que debes ademas de depurar, quitar algunas excepciones, no es un tema facil desempacar este tema, sino mas bien encontrar la limitacion,
Cual es la limitacion de este programa?
amm..
cuando te aparece que el programa is compreses, colocas ok,
sip, esta comprimido, no he visto que packer, pero no parece llamar directamente al oep de la aplicacion de vb, sino llama a getcommandline y otras apis para mapear espacio y esas cosas.
ojala alguien del foro tenga mas tiempo que yo..solo lo vi 1 minuto..bajar de un ciber es complicado.
Autor
En línea
)
Lo facil que ven y hacen las cosas los maestros. 
)
