Hola con todos, estaba tratando de unpackear una dll que esta protegida con winlicense, he llegado a poder ver su codigo, pero no se que mas puedo hacer.... para que se pueda quedar asi unpackeada en el sentido de ver el codigo verdadero...

Me gustaria que me dieran algunos consejos, para solucionar este problema.... ya que solo deseo quitar algunos procesos de la dll.... Gracias

Dejo unas imagenes 

realmente desempacar dll , y exe requiere tiempo y conocimiento

minimo saber
la base o imagebase del ejecutable,
saber el oep y reparar la iat
arreglar la cabezera PE
y como ultimo editar para que sea como quiero


con winlicence no se juega ni se lesea, es un themida cualquiera
requiere mucho tiempo en reparar la VM cuando la tiene y requiere minimo tener 1 dia libre para poder hacer todo

si quieres comenzar con algo, pues prueba aprender ingles y pedir ayuda tambien en foros ingleses como tuts4you.com

arteam y otros

creo que si eres novato, este tema es nivel medio
novato/newbies (solo ha escuchado del tema)
super newbie (esta tomando cartas en el asunto)
bajo (lo resolvio en poco tiempo)
medio (requiere experiencia)
alta (cuesta un poco mas)


asi como llegaste al oep, aprende a dumpear y a reparar de a poco

un winlicence o themida, requiere minimo desempacar todos los packers..


saludos APuromafo, me voy..debo seguir en mis estudios..espero el dato te sirva..

no existe hasta el momento tutoriales inline para winlicence que yo sepa

pero si quieres nullificar una funcion pues dale un ret justo en la dll que importaba
o bien dale el valor que necesitaba

ejemplo burdo

call isdebugpresent
vas a ver eso y encuentras jmp dword (valor )->apunta a isdebug present

puedes editar el call
hacia mov eax,0 y nopear lo que sigue, pero si algo apunta a el jmp dword como que no resulta

intenta mejor en el lugar del jmp dword de la funcion, pues que no funcione, colocandole un ret , o bien cambiandolo hacia algun injerto o codigo creado por ti..


otra cosa podria haber sido

push ebp
,,,
ret

y lo cambias en el momento en el push ebp a ret, para localizar de donde ha sido llamado y nopeas cada call que lo indexa

ahora bien, insisto no hay quien te ayude en el tema por ser complejo, tendrias a lo maximo la palabra mucho animo, pero del dicho al hecho mucho trecho

winlicence normalmente tiene estas protecciones
antidebug
antitrace
deteccion de bp
VM
limitacion de tiempo
comprobacion de CRC
emulacion de codigo
llamadas indirectas y destruccion de codigo (necesitas cargar el modulo de memoria) osea ejecuta el programa en la memoria y no en algun archivo..

etc

insisto, solo intenta en memoria virtual y para mejorar todo, intenta probar parchadores con loaders, y vas probando de a poco si todo el injerto fue bueno

hay tutoriales o manuales para el hadware dependence que tb es otro tema y para reparar o usar el programa fuera de su licencia


ahora bien
aparte de terminarlo, revisa en el mismo foro, hay temas de winlicence y creo que ya se hablo un poco del tema
las ideas y las partes creativas van en uno mismo


ahora bien la parte mas dificil es reparar un exe en un lenguaje que busca esas secciones que esten en el lugar correcto ejemplo c++ o algun borland o similar..bueno me voy animo en todo
..
complementa todo con los foros donde salga info..

se cuida