ahi te envio una invitacion, normalmente luego de 13 dias de participar con post en inglés recién puedes bajar un archivo...

vb decompiler puedes crear un map, que si es importado, entonces claramente sabrás donde estás analizando  vas luego al jmp y ves que comentarios o labels tienes...

que no analize el jmp es una cosa, pero que tenga analizado el donde irá es lo importante... (ahora si no quieres usarlo , entonces busca nuevos tutoriales de visualbasic  hay bastantes de coco, hay varios en la lista de cls)


saludos Apuromafo

pd2: lo mejor es que te crees un archivo visual basic y lo analizes al máximo, luego testeas si te quedas con lo de IDA(map) o con el vbdecompiler(o unes ambos)

existen packer de vmprotect para buscar, además de unpackmes de teddy rogers, es un packer que te sugeriria de forma final (es bastante dificil)

te sugiero las herramientas que estan en tuts4you.com, hay bastante material de este packer, pero de igual forma, no existe aun tutoriales para dejarlo totalmente limpio del packer, un saludo Apuromafo

pero no es mas facil usar vbdecompiler e intentar encontrarla desde ahi...

sin importar lo antes mencionado, creo que es muchísimo más facil que intentes aprender ingeniería (que no te robará mas de 4 horas por día y en 2 semanas sabrás lo basico), luego de intentar ver donde está lo importante

(si esta empacado, que herramientas usar, que partes de trozos son los importantes)

entonces recién irás al programa crackeado..luego podrás contrastar que ha hecho con el diffing, existen herramientas potentes de análisis forense como lo son los bindiff, pero de igual forma es recomendable no siempre confiarse de lo que hacen los demás, aveces te puedes llevar hasta impresiones que no esperas( que el supuesto exe que parchaba, no solo parchaba, instalaba un troyano en tu pc , entre otras muchas variables como que el original no estaba empacado y el crackeado si lo está)
lograrás identificar si el parche lo hicieron sobre un salto, sobre un valor,sobre alguna llamada, si eliminaron algo..y te permitir hacer mas


te hago otro alcanze, me propuse crackear los programas de una carcasa de radio, estaba con execryptor, termine multiparchando todo, en un momento dado que voy con el de más opciones, apareció el otro automaticamente registrado...


en nod32 en el pasado parchabas todo, dejabas todo operativo y luego aparecian valores mágicos en regedit, que solo con eso se veía registrado...

en otros programas varios, no es solo el registro el que vale, sino lo que crea en ciertos archivos, por ejemplo adultpdf hace una confirmación de valores, aveces solo basta crear los archivos y no entrar a parchar el ejecutable...  por eso aveces ciertos patch, cuando comparas el original y el patched no hay diferencias, porque la diferencia la puede hacer en regedit y archivos


te doy otro alcanze, muchisimos programas que he crackeado de vmprotect, asprotect, armadillo, corren registrado en mi máquina pero en otras no lo hacen, por eso uno hace tutoriales para ver que hacer o que pasos seguí

el principio de intentar crackear algo es lo importante, que generes o no la llave válida no lleva a ser algo de mucha presión , creo que lo has analizado bien, con eso basta y sobra...

pd:el online check es el tema que siempre requiere dedicación

sigue la cabezera máquina virtual y demases..., recursos, apis, crc
(para mi el packer que más se tarda en desempacar es vmprotect)

1 = está empacado? (no es lo mismo modificar un programa que no esté empacado, del que sí lo esté)
2= tienes algun lenguaje de referencia (es .net , es visual c++, visual fox, delphi, visual basic)
3= estás viendo algùn evento de windows o del botón  o de su gui  según su lenguaje
4= las funciones pueden ser registradas o deben ser creadas


creo que debes pasar por el faq, y practicar, no todas las nagscreen se eliminan borrando el boton o recurso, algunas son construidas en runtimea

por ende hay que repasar y estudiar...

petite es un packer , si lees los tutoriales de ricardo, no deberìa ser dificil de desempacar

además considera que ya sabes que es visualbasic, puedes buscar el entrypoint sin mayores dificultades, todos los vb tienen una estructura en particular  (la iat y abajo el entrypoint  call a una entrada de la iat)

supongo que si lees los escritos de ricardo, no debería costarte diferenciarlos entre p-code y nativo o .net 


saludos Apuromafo

buen tutorial, estaré en espera de ver como haces el del proxy, un saludo Apuromafo

Pd: intenta publicarlo en cls