Lo siguiente que toca es corregir la IAT, lo que no tengo muy claro es si siempre que se llama a una api se hace con jmp dword.... o si también se puede llamar con call. Ayer me tire media hora dandole al f7 y traceando y no llegue a nigún jmp dword y me fuy a dormir ya por aburrimiento.
En fin, a ver si tengo una noche libre y me pongo a verlo mas detendiamente todo.
Un saludo.
Bien bien, te felicito.Ya nos queda menos.
En mi pobre opinión como aprendiz, más bien perro viejo, (jejeje, ya veo a más de cuatro riéndose), es que estamos ante un protector, dentro de la escala de los difíciles, de los más fáciles.Y por este motivo, este hilo podría hacerse bastante largo.
Todas esas zonas de llamadas que intentas trazar con F7 te pueden llevar a la tumba.Está todo ofuscado a propósito, para derrotarnos por aburrimiento.Si te has leído al completo el tutorial que te aconsejé, entenderás como lo hace para conseguir entrar en la API correspondiente del kernel "sin ser visto", por el cracker de turno.
Yo también estoy en ello, porque ahí lo abandoné.No fuí capaz de conseguir un desempacado funcional en su día.Ahora en el poco tiempo libre de que dispongo voy a seguir indagando.Por las anotaciones que tengo, me quedan dos API's dudosas que resolver y posteriormente hacer que las call's se dirijan a las API's en cuestión.
Que la fuerza nos acompañe amigo.
Mintaka
Bien, en el tutorial el tio va traceando con f7 hasta llegar a la llamada de una api, luego mira el registro de memoria para ver donde empieza la iat y donde termina. El caso es que en este caso por mucho que le des a f7 no se en que punto intenta entrar en la iat. He llegado a
00B9128C |. FF15 2812BF00 CALL DWORD PTR DS:[BF1228]
que es donde da la primera excepción. Que digo yo que la excepcion la dará porque intenta acceder a una api que en realidad está ofuscada y al no encontrarla peta y el programa muere.
Intento mirar la parte de memoria de bf1228 pero ni iat ni leches XD
creo que me he vuelto a perder jejejeje