el largo esta mal..es solo eso..los datos recuerda restar la imagebase..eso es todo
 

a mi me corre de lo mas bien:

datos para el import rec
oep:  00040300  (oep-imagebase)
RVA:000430F0 (comienzo iat-imagebase)
largo 584 (final de la iat..)

y el dump de la primera sección con import rec..
 

opinion:
cuando uno lee las chinchetas hay comentarios interesantes:
http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html
ahi encontraras el curso de ricardo entre algun escrito o enlace de ahi.

te sugiero:
->primero analizar, con PID, con exeinfoPE, RDG, y otros (PE scan. aveces puedes saber en que esta compilado, en que proteccion te enfrentas o algun tip curioso)

tutoriales hay varios
entre guias o apuntes de dongle, mochilas, emulacion hasp y otros hay bastante material, lo que falta es las ganas de aprender, y leer..espero no sea tu caso

ricardonarvaja escribio tutoriales, y tambien considera los dongles, favor leerlos y luego revisar denuevo y seguir aqui:

http://foro.elhacker.net/ingenieria_inversa/tutoriales_sobre_emulacion_estudio_y_desempacado_de_dongles_mochilas-t328593.0.html

abro el depurador
y bajo hacia abajo

00478083   FF37                                PUSH DWORD PTR DS:[EDI]
00478085   AF                                  SCAS DWORD PTR ES:[EDI]
00478086   EB 09                               JMP SHORT unpackme.00478091
00478088   FE0F                                DEC BYTE PTR DS:[EDI]
0047808A  -0F84 7082FCFF                       JE unpackme.00440300
00478090   57                                  PUSH EDI
00478091   55                                  PUSH EBP
00478092   FF53 04                             CALL DWORD PTR DS:[EBX+4]
00478095   8906                                MOV DWORD PTR DS:[ESI],EAX
00478097   AD                                  LODS DWORD PTR DS:[ESI]
00478098   85C0                                TEST EAX,EAX
0047809A  ^75 D9                               JNZ SHORT unpackme.00478075
0047809C   8BEC                                MOV EBP,ESP
0047809E   C3                                  RETN

el salto al oep indica que es 440300, una estructura de delphi

la primera entrada indica
00405DC4  -FF25 EC314400                       JMP DWORD PTR DS:[4431EC]                ; kernel32.GetModuleHandleA


comenzando en el dump

004430EC  00000000
->004430F0  7C809737  kernel32.GetCurrentThreadId
004430F4  7C92188A  ntdll.RtlDeleteCriticalSection
004430F8  7C9110ED  ntdll.RtlLeaveCriticalSection
004430FC  7C911005  ntdll.RtlEnterCriticalSection
00443100  7C809FA1  kernel32.InitializeCriticalSection

$+558    >58C72777  comctl32.ImageList_BeginDrag
$+55C    >58C3C035  comctl32.ImageList_Remove
$+560    >58C4129B  comctl32.ImageList_DrawEx
$+564    >58C491C9  comctl32.ImageList_Draw
$+568    >58C42F51  comctl32.ImageList_GetBkColor
$+56C    >58C3C2B8  comctl32.ImageList_SetBkColor
$+570    >58C3D440  comctl32.ImageList_ReplaceIcon
$+574    >58C729E3  comctl32.ImageList_Add
$+578    >58C3E1C2  comctl32.ImageList_GetImageCount
$+57C    >58C3BD2E  comctl32.ImageList_Destroy
$+580    >58C3BB5B  comctl32.ImageList_Create
$+584    >00000000

bueno los .net al decompilar se encuentra el codigo en IL, como IL es codigo intermedio se puede interpretar mas facil, pero cuidado hay ofuscadores para .net, hay trucos para .net y mas...pero lo divertido es que es otra forma de analizar

todos o casi todos usan redgate... pero en este caso dis es una forma

y cuidado tambien hay maquinas virtuales para .net como xenocode o otros..

pero no te estreses, por eso decia que es bueno que vayas viendo..como se fue..

1)analizar ->es un .net
2) intentar tutoriales de .net , fishing, no se..en este caso probe un decompilador
3) encontrar resultados interesantes
4) testear y
ok..

ese era la idea , mira que he visto muchas personas que dicen gracias , pero luego otra aplicacion cambia 1 byte y no reconocen que es lo mismo...
solo que comprimido o mas grande el programa..

por eso es bueno aprender y comentar..asi se aprende mas..

si tan lejos no estoy, lo que pasa es que instale ademas un xp desde cero, y no tengo muchas aplicaciones por falta de internet, ahora intento actualizarme denuevo todo desde cero.. pero mañana(realmente hoy) por ejemplo tengo internet por 1 dia..pero luego..?emm..asi es el ritmo de mi internet, invariante, desapareci como de octubre a enero y asi..esto lo hago por hobbie ^^

saludos Apuromafo CLS

nada de gracias!!, cuando lo domines y lo hagas, espero tu tutorial, yo no tengo tiempo de hacerle tute con imagenes y paso a paso, pero te animo!..

saludos Apuromafo

insisto, es mas facil que leas y llegues al uso de smartcheck y quizas en menos de 1 semana lo tienes listo..

opcode son para mi la representacion de cierto comando,

hay diferntes opcodes para x86, x64, .net, linux,mac, arm y otros, ahora bien ese es por la plataforma, luego en la forma de compilar, ya menciono MCKSys en visualbasic, pero tambien hay visualbasic.net , que tiene opcodes de IL, o codigo intermedio, no es igual pero mantienen las mismas bases, solo representan un codigo, cuando ya se aprende a depurar y te das cuenta que hay personas que no quedan conformes con los opcodes y intentan virtualizar las cosas, crean MAQUINAS virtuales con nuevos opcodes, luego  puedes darte cuenta que el tema de analisis es mucho mas amplio y no es solo conocer el salto, o algo mas, themida por ejemplo usa  CISC o RISC, pero bueno hay muchos temas que se aprenden con el tiempo..sigue leyendo y aprendiendo..

, por lo que se ve es que las busquedas por bytes, son para cierto tipo de exes, hay tambien busqueda de comandos como "call offset" o "call constant", tambien hay varias variables que se pueden usar en ollydbg, yo suelo normalmente no buscar mucho y subir y bajar buscando cosas importante en el codigo..

el tema delicado no es depurarlo, ya todo lo comento codelive:


realmente debe solamente leer  las teorias de ricardo, luego de terminarlo, depurar y activar algun plugin, si no quiere hacerlo manual, y encontrar el salto y el call...
animos a quienes comienzan.lo ideal es que no se compliquen con estas cosas, sino mas bien comenzar  y comentar avances, asi van mejorando mas.