Una forma de descomprimir el UPX por lo general con el olly a mi hasta ahora no m ha fallado es lo abres con olly quedas sobre el pushad te vas a find references for y elges all comands... despues pones popad y te va a apareces la lista de todos los popad q hay luego buscas un pushad q es sobre el q estas parado en el olly (te va a apareces en la lista tbn).. tonces pones un bp justo sobre el popad q esta abajo del pushad en esa lista luego de das a run y caes sobre ese popan de las con f7 ves q pasas por un jmp q te lleva al push ebp q vendria a ser el oep... te posicionas ahi y luego con el pluguin para dumpear del olly lo dumpeas al disco  y listo 

antes del salto debes de tener una call o por lo menos una comparación del tipo test al, al o una simple cmp psss pero por lo general siempre unas líneas antes tienes una call... si es asi fijate con q valor el salto se activa o no segun sea y va al mensaje bueno... una vez q verifiques q valor hace eso empieza a jugar con esa call psss primero mira lo q hace y con q registros trabaja dps pon un bp  sobre ella y cada vez q entres con f7 ve buscando q de seguro veras q hara calculos matemáticos y/o comparaciones con el serial q ingreses o sea el serial malo... y sino solo haz esto en el principio de esa call remplazas la primer instruccion por una asignandole el valor q corresponda al registro q use en la comprobacion.. dps en la linea siguiente le pones un ret y listo...

Si eso no funcionó o no existe esa call es porque estas dentro de esa call... y si esta call solo es llamada una vez o es solo el procedimiento de un boton es porque el serial se comprueba en varios lados y de seguro uno de esos lados es en el arranque del programa (por lo general son los q piden reiniciar el programa luego del registro )..

weno suerteeeeeee

Graxx por el apoyo che )

pss por el tema de la llave q emulaste pues fijate q a lo mejor la llave original puede q tenga algunos valores con los q el programa inicialize algunas variables ... fijate si el programa se planta en algun procedimiento en particular si es asi debuguealo y fijate q valores toma y de q registros.. pss si es q se te planta a cualkier momento puede q sea porke intenta hacer algun tipo de operacion sobre la llave emulada y q esa emulación  no lo soporte

Fijate si debajo del boton "Download with premium" dice esto :


" Todos los puertos de descarga 250 asignados a su país Argentina están siendo usados."

vas a tenes q esperar hasta q liberen algun puerto je

en esta pagina en la parte de unpackers busca

www.exetools.com

emmmmmm.....  bucanero a la vistaaaaaaaaaaa

no jodas esta pagina no es para vos... aca no vendemos ni compramos nada...... solo ayudamos y nos ayudan por placer... no cobramos ni pagamos por enseñar o aprender...

por casualidad unas lineas antes de ese test al,al no hay un xor???
si es asi fijate en las propiedades del xor y y fijate q segun al 1 o al 0 va a saltar o no ... o sea cuando llegas al test modifica ese registro si esta en 1 ponelo a 0 y fijate si el salto cambia su estado o sea si esta activo se pone inactivo o al revez...

Pagina de lectura obligatoria....


www.fravia.com

esta desactualizada pero para mi sigue siendo el primer paso para entrar al mundo del cracking.... hay que saber nuestro pasado para entender cuales son nuestros propósitos e ideales..... (mucha info a lo shakespeare)

el sice es el mejor ... pero solo pa win9x