Mmmmm.... ya me volví a empantanar...
Resulta... que obtengo el archivo "dumpeado" con Ollydump, y petools
hasta ahi todo parece bien..
Toca entonces checar la IAT...
pero...
las únicas calls que identifico son llamadas a MSVBVM60... estoy bien o me regreso?...
Bueno... suponiendo que es solo esa... pues a buscar el tamaño de la IAT cierto?
Entonces voy a la direccion que dice va a ThunRTMain 40143C.
Ahi encuentro... esto..
Todas las referencias son a MSVBVM60... llendo hacia arriba... !!!Llego a 401000
con ese patrón!!!!
Entonces supongo que empieza en 401000
Pero hacia abajo no veo el limite... la secuencia de ceros no es clara...
Yo supongo que termina en 40154C... porque ahí termina el "patrón"... y suponiendo que no llama a otra dll... pues parece correcto... además... los datos debajo no llevan a direccion válida...
entonces...
usando estos datos... no obtengo con el importrec un exe valido... uso el petool para "reparar" la sección PE y sigo sin obtener nada...
He escuchado que se puede obtener un archivo "casi" desempacado... a qué se refieren?
Gracias por su ayuda.
Adjunto imagen haber si alguien me puede dar alguna pista..
Autor
En línea
