Resulta que gracias a Dios os traigo una aplicación empacada con un themida en sus nuevas versiones, el objetivo principal es unpackearlo completamente y escribir un tutorial detallando cómo se encontró el OEP, cómo se arregla la IAT, y cómo se arreglan los stolen bytes de la aplicación.

Reglas:

- Se puede hacer uso de los scripts de LCT-AT
- Se puede hacer a mano
- Se pueden usar plugins para proteger vuestro olly de la detección del mismo
- ...

PD: Traceando un poco se puede llegar a encontrar el OEP específicamente en el registro EAX en modo FPU.

EAX = 00401000 -> OEP Found!

PD2: Acuérdense que la tabla de importaciones (IAT) está completamente destruida con saltos indirectos a la misma o a una sección del packer.

E9+API+Jump

Fixed

FF25-API-Jump

PD3: La aplicación está hecha en masm.

Link

https://mega.nz/#!2TIRjQTZ!rM3hb_bwWUsZctQjZ8YEmokBqeeb7u50YFGwD2zpdlU

Que Dios te bendiga, protega y acompañe.