Es muy interesante el código...

Yo he probado tu programa con un par de aplicaciones y me da desbordamiento porque se genera un .txt de más de ¡¡¡12 Megas!!
También es de destacar que es muy lento.

Yo te doy mi opinión desde el punto de vista de Ingeniería Inversa...

"antes lo hacia recreando el archivo en el disco duro y despues ejecutandolo, pero canta demasiado ya que aparece un archivo nuevo"
- No sé si lo haces porque quieres "esconder" el exe original, pero de alguna forma u otra el exe tuyo original aparecerá al final en memoria. Es decir, si antes directamente aparecía un archivo que dices que "canta" demasiado.. si lo escondes y luego lo ejecutas, en ese momento que se ejecuta tu exe original tiene que estar en alguna parte y es en ese momento en el que se puede conseguir.

Mi experiencia me dice que ese exe aparecerá muy probablemente en archivos temporales...si tú no lo modificas...

No sé si es esto lo que quieres hacer, es decir, que nadie obtenga tu exe original desempacado... si quieres esto yo te recomiendo que utilices algún software al respecto, ya que está todo muy estudiado y VB es muy fácil de crackear...

De todos modos si quieres, puedes meter un exe dentro de otro y me lo envías a ver si descubro el original y te digo lo que puedes mejorar...

Un saludo

Porque RETN 4 te restaura a ese valor la pila.
La mejor forma para que lo veas es que en el OllyDBG pruebes un programa y te sitúes en un RETN.Verás que tras pasar ese RETN la pila solamente se ha movido una posición.
Sin embargo si haces lo mismo con un RETN 4 o RETN 8 verás que la pila no se mueve una posición se restaura siguiendo el valor que pone detrás.
Si pinchas dos veces en el Stack verás estos valores de +4 +8 etc...

Espero lo entiendas ahora...

Me alegro
Así se aprende...ya sabes hacer algo que muchos no saben cuando les falla el Guipex

Un saludo

Porque el Entry Point es un PUSHAD..

Es decir, lo abres con el OllyDBG y la primera instrucción donde se para el Olly probablemente sea un PUSHAD.
Lee el archivo que te he dicho antes y haz exactamente lo mismo.

Desempacar UPX manualmente suele ser muy fácil...

Mira, en este subforo arriba en "Tutorial para editar recursos", al final (busca por el medio-final), pongo en descarga un archivo llamado "explicación.doc". En ese minitute explico cómo desempacar un UPX típico con PUSHAD.
Supongo que tu UPX será también PUSHAD confírmalo...

Un saludo

Primero de todo veo que no lo has analizado, porque si lo hubieses hecho verías que ha sido compilado con C/VB NET.
Es decir, el OllyDBG no te va a ayudar mucho.

Hay programas para NET: Por ej. el NET Reflector...
Pero bueno, mejor te dejo un enlace con un ejemplo y tú lo analizas detenidamente:
DESCARGA

Un saludo

Hola...

No sé qué mochila será la tuya pero si es muy nueva es posible que ni con un emulador lo consigas, ya que en su día me informé muy bien y preguntando a gente que había trabajado estos temas bastante a fondo, me dijeron que ni aún calcando los bytes de la mochila funcionaría... no sé muy bien cuál es el motivo, tal vez tenga una memoria distinta que no se pueda acceder... no lo sé., en su día me lo explicaron pero yo no lo entendí.

Pero no lo descartes, es decir si tienes algún emulador y puedes conseguir clonar la mochila pues mira a ver. Tienes que instalar primero los drivers.. yo tengo por ahí un emulador, pero es para Hasp y no te vale. Después hay programas, pero yo no sé dónde puedes conseguirlo, para copiar los bytes de tu mochila.

El problema es que no te puedo ayudar mucho porque aunque me pasaras el programa, pues sin mochila yo casi seguro sería incapaz de dejarlo límpio. Incluso el maestro Ricardo, como escribí e el tute, me recomendó no desempacarlo sin mochila.

Herramientas para cracking y plugins para OllyDBG tienes actualizados en esta página:
http://www.ech2004.net/ver_herr.php?id=1

PD. Yo pienso, si dices que no tienes experiencia desempacando, que tendrías que empezar leyendo algún tute si no te puedes volver loco. En el enlace anterior que te puse tienes más de 1000 tutes muy buenos.

Un saludo

Yo conseguí desbloquear dos pero eran HASP.

Mi consejo es que pongas la mochila, pongas la aplicación en el OllyDBG y busques el OEP.
Tras esto: trátalo como un packer normal y corriente y asunto terminado.

PD. No intentes crackearlo con la mochila quitada porque puede resultar un infierno al alcance de muy pocos...
De todos modos te dejo un tute que hice yo sobre una de las mochilas que eliminé:
http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/701-800/797-Desempacar%20HASP%20HL%202.16%20_%20Hilo%20por%20karmany.rar

Y si buscas en esa página verás que hay muy buenos tutes también.
Que haya suerte, ya contarás qué tal.
Un saludo

Hola de nuevo Snipersnake...

Le he echado un vistazo a ese programa y buscando información me han comentado que ese programa es ILEGAL..
Como te he comentado por privado...no voy a seguir analizándolo... lo siento..

Un saludo