Yo he descargado no sé si será el mismo programa éste:

http://www.no-ip.com/support/faq/ES/plus_managed_dns/

Si es este programa, como te comentan más arriba está empacado con UPX.
Aquí pongo un ej. de cómo desempacar UPX:
http://foro.elhacker.net/index.php/topic,134513.0.html

De esta página te puedes descargar el código fuente en VB .NET que hizo el Guille para un programa suyo:
http://www.elguille.info/NET/vs2005/utilidades/gsColorearCodigo.htm

Si te fijas cuando pulsas en "acerca de" el programa comprueba si existe una nueva versión.. Échale un vistazo...

"PD: Estoy usando Microsotf Access 2003 y VisualBasic 6.0 por si eso influye en algo."

Claro que influye, tienes que utilizar Microsoft Access 97 o el VisData de VB 6.0

No te ocurre a ti sólo tena...
Un saludo

Ejemplo 03

Aunque he puesto ejemplo 03 (por continuar de la misma forma), en realidad son ideas que pueden solucionar alguna dificultad.

Como se ha observado, si podemos abrir el programa con un editor de recursos y modificamos cualquier texto, dándole un tamaño diferente, el editor de recursos hace las modificaciones pertinentes para ajustar el nuevo texto al programa..
El problema viene, generalmente, cuando no podemos abrir con el editor de recursos ese texto que queremos modificar y tenemos que editarlo desde un editor hexadecimal.
Por ej. es posible encontrar "Help" que queremos traducir por "Ayuda" que tiene un byte más.

¿Qué podemos hacer?
Lo primero es conocer cómo se guardan esos datos. Si se abre un programa con un editor hexadecimal y se buscan esas cadenas ya comentadas podemos encontrar por ej. esto:

. .G.I.F...v.e.r.s.i.ó.n...i.m.a.g.e.n.

Esos "." no corresponden al punto. Voy a coger por ej. esto:
"..v.e.r.s.i.ó.n." y su hex: "0E 00 76 00 65 00 72 00 73 00 69 00 F3 00 6E 00".
Es fácil observar que el 0E corresponte al número de bytes (de 76 al último 00) y los demás números (excepto 00) corresponden a las letras de "versión".
También he encontrado programas que en vez de 0E verás un 07 y es el resultado de la longitud de la cadena "versión".


Pueden haber otras combinaciones, pero es fácil razonarlo..
Sabiendo esto podemos encontrarnos con un programa así:

..o.r...h.e.l.p.  -> 04 00 6F 00 72 00 08 00 68 00 65 00 6C 00 70 00
Sencillamente se puede modificar y dejarlo así:

..o...a.y.u.d.a. -> 02 00 6F 00 0A 00 61 00 79 00 75 00 64 00 61 00

El número total de bytes en los dos es: 10 (hex) -> 16 (dec) esto es lo importante.


-También es posible encontrar tras los datos muchos bytes a 00. A veces, es posible utilizarlos ya que y según qué casos el programa no los va a modificar. Otras veces en cambio, y por experiencia, el programa utiliza esas direcciones para guardar datos temporalmente y estropea nuestro trabajo.

-En algún caso he tenido algún programa en el que sí es posible modificar un texto con el Resource Hacker pero no otro texto que no lo puede abrir..
Abriendo el programa con un Editor Hexadecimal vi que los 2 textos se encontraban próximos..
¿Qué hice?
Pues con el Resource Hacker modifiqué ese texto que me dejaba editar y le puse bastantes caracteres, con lo que conseguí bytes libres para cambiar el otro texto..

Hay que leerse los tutes con calma, porque recuerdo que había alguno un poco complicado.
De todos modos ya sabes que si algún serial se te atraganta aquí en el foro te intentaremos echar un cable.

Ejemplo 02:

Descargar el archivo parche.rar del archivo zip. El enlace está en el primer mensaje de este hilo.

Utilizando el programa anterior podemos crear nuestros propios parches (repito y como pongo al final de este ejemplo, hay otras alternativas), pero si observáis la interfaz de estos parches no es muy agradable. Así que este ejemplo trata de eso:
Modificar los recursos de un parche generado con Embryo Patcher 1.2.

Programas para desempacarlo: OllyDBG con plugin OllyDump, Import REconstructor 1.6 final, LordPE.

Yo quería hacer un ej. sencillo, desempacando UPX de forma tradicional pero, sin quererlo he encontrado un programa que tiene alguna sorpresa...
Mi parche generado lo he llamado: parche.exe:


Si examinamos el archivo con el Peid nos dice que está empacado con UPX. Probé:
-Desempacarlo con UPX
-Utilizar el plugin del ej. anterior
Y nada de nada, daba error en todos, así que toca desempacarlo a mano:

Existen muchísimos tutes de cómo desempacar UPX. En el ejemplo anterior pongo un enlace para gente sin conocimientos. He hecho un tute paso a paso de cómo desempacar mi parche.exe. Si no lo tienes claro, descarga el archivo Explicación.doc. Lo que explico aquí a fin de evitar un mensaje muy largo es general.

Descargar el archivo Explicación.doc del archivo zip. El enlace está en el primer mensaje de este hilo.



1) Abro parche.exe con el Olly, veo que lo primero que aparece es un PUSHAD, así que utilizo una forma para obtener el OEP (Punto de entrada, Entry Point), que explico en el archivo anterior.
El OEP que obtengo es 401000.

2) Ahora lo que voy a hacer es dumpearlo con el plugin OllyDump. Lo único que destildo es “Rebuild Import” porque voy a buscar los datos de la IAT manualmente. El archivo dumpeado lo llamo: dumpeado.exe

3) Ahora sólo queda arreglar la IAT:
Botón derecho -> Search For -> Binary String y busco el famoso “FF 25”
Lo primero que me ha encontrado ha sido un salto en 401826.
Pulso: botón derecho -> Follow In Dump -> Memory Address
y obtengo Inicio, Fin y tamaño de la IAT:
INICIO de la IAT: 00402000
FINAL de la IAT:  00402080
Tamaño: 80

Si esto no se entiende descargar el archivo que he comentado antes que viene bien explicado.  

Con estos valores ya puedo abrir el Import REconstructor y attachear "parche.exe". E introduzco abajo a la izquierda los siguientes valores que he obtenido:

OEP:   00001000
RVA:   00002000
Size:    00000080

Pulso en Get Imports y observo que todas las entradas son válidas. Parece todo correcto, así que pulso en Fix Dump, elijo el archivo dumpeado.exe, que había creado con el plugin OllyDump y se crea satisfactoriamente el archivo: dumpeado_.exe.


Bueno mi intención era llegar hasta aquí, pero si ejecuto dumpeado_.exe observo con sorpresa que el texto es ilegible y el programa NO funciona correctamente...


En este punto me equivoqué en mis razonamientos (hace años de esto jeje, todos hemos sido novatos) y no saqué nada claro, así que le mandé mi desconcierto y sorpresa a Ricardo Narvaja para que me enseñara algún camino. Gracias a él pude continuar y no es difícil... Gracias Ricardo..



Abrí el programa desempacado (dumpeado_.exe) con el Olly, y me sale un aviso:

"module 'dumpeado' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifyint. Please keep it in mind wen setting breakpoints!!"

Vaya... tiene el OEP fuera del código!?

Después de darle vueltas a la cabeza pulsé Alt + M y observé lo que el OllyDBG me decía:
 Address           Size           Section      Contains
00400000     00001000                        PE header
00401000     00005000        EMB0
OEP = 401000

El Olly tiene razón. Pues voy a modificar para que el OEP esté dentro del código. Cierro el OllyDBG.
Para esto utilizo el programa LordPE:
-Lo abro, pulso en PE EDITOR y selecciono el programa dumpeado_.exe. Se abre una ventana con toda la información.
-Veo que en BaseofCode pone 00006000. Lo voy a modificar por 00001000. Pulso en Save y Ok.                                                
Ahora ya podemos abrir el dumpeado_.exe con el OllyDBG sin ningún problema. Además aparece más información importante..



Después de observar el código hay unos saltos importantes que hay que conocer: CreateFileMapping, MapViewofFile.. como yo tampoco lo tenía muy claro busqué información:
http://www.formauri.es/arrobamasmas/Articulos/indexArticulo.php?art=1

Antes de esto abre un archivo y calcula el tamaño.
Ricardo me comentó que si en vez de abrir el archivo dumpeado_.exe pongo en la misma carpeta el original empacado "parche.exe" y le modifico el nombre a "dumpeado_.exe" el programa funciona perfecto..
Así que con todos estos datos me puse manos a la obra:



Cerré todo programa. Abrí el "parche.exe" con el Olly, me puse en el OEP(ya explicado) y observé dónde "coge" los datos:
Analizándo el código lo vi claro:
1º Abre el archivo "parche.exe"
2º Busca en la dirección B11400, 3A bytes. Mirar:

4010F2    MOV EDI,DWORD PTR DS:[4033F4] -> EDI = B10000
4010F8    ADD EDI,DWORD PTR DS:[4033B5] -> EDI = EDI + 1400 = B11400
4010FE    MOV ESI,EDI
401100    MOV ECX,DWORD PTR DS:[4033A7] -> ECX = 3A
401106    MOV EDI,DWORD PTR DS:[4033F8] -> EDI = 146A00

Y un poco más abajo:
40110D    REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]

Es decir, coge 3A bytes de la dirección B11400 y los pone en 146A00.
Solamente hay que saber cómo se ponen en B11400 los bytes, , para resolver el misterio...porque los datos, más abajo los toma de 146A00.



Bueno.. el programa abre un archivo (él mismo) y luego hace:
CreateFileMapping, MapViewOfFile...
Aquí está el quid de la cuestión... ¡A ver qué hace esto!

Voy a poner un Breakpoint justo después de MapViewOfFile.
Observo que retorna EAX con un valor = B10000 y si pulso Alt + M veo que se ha creado una nueva sección en la dirección: B10000 y pone "parche.exe".. interesante...

Voy a ver qué hay en esa sección.. Así que voy a la ventana de dumpeado pulso botón derecho -> goto -> expresion y pongo 00B10000.
Observo todo el código detenidamente, abro con un editor hexadecimal el "parche.exe" y veo que es exactamente igual.
Cuando vi esto, ya tuve las cosas bien claras..
Si la dirección de los 3A bytes es B11400 no cuesta nada apreciar que el Offset es 1400.



Resumen de todo esto: el programa copia 3A bytes que tiene en la dirección (Offset) 1400 y los pone en 146A00. Después coge los datos de aquí..
¿¿Qué pasa en el desempacado?? pues que los datos no están en esa dirección. No existen. Esto es posible si el programador ha primero empaquetado su aplicación y luego ha modificado el archivo insertando los datos..
¿Qué voy a hacer para hacer funcionar el archivo desempacado?
Voy a copiar los 3A bytes que están en el Offset 1400 del archivo original empacado (parche.exe) y los voy a pegar por ej. en Offset 8300 del archivo desempacado. Esto lo hago todo y fácilmente con el Ultraedit32.
Observación importante:Esto que estoy haciendo de pegar 3A bytes en el Offset 8300 que he visto vacío y no se modifica, quiero dejar claro que no está bien hecho. Hacerlo bien sería crear bytes nuevos (por ej. con el programa Topo), que con seguridad no se van a modificar y ahí pegar los 3A bytes.

Ahora solamente queda decirle al programa que lea los datos en 8300 y no en 1400.
Recordando de arriba:
4010F8    ADD EDI,DWORD PTR DS:[4033B5] -> EDI = EDI + 1400 = B11400
Vemos que el 1400 está en 4033B5. Así que sólo queda sustituir el 14 de 4033B6 por 83. Por supuesto con el editor hexadecimal.
Con todo esto resuelto voy a ejecutar mi programa:


Y compruebo que funciona bien..

Ahora se puede ya modificar todo con un editor de recursos. Extraño es que el Resource Hacker no me deja pero el Exescope y el XN Resource sí.

Una cosa curiosa que podéis hacer es que si queréis cambiar la dirección Web o el correo electrónico, solamente hay que modificar con un editor hexadecimal esto comentado y listo.


No quería extenderme tanto, pero ya he comentado en este amplio tutorial que modificar un programa puede ser muy trabajoso, y con este último ejemplo ha quedado demostrado..

Consideraciones finales sobre Embryo Patcher v.1.2:
Después de utilizarlo unas cuantas veces observé que el programa tiene algún bug y se cierra no sé por qué. (Con el archivo original.)
También al traducirlo observé que el límite de cambios de 2 archivos es 255.
Pienso que hay muchos y mejores programas que este, lo comento por si alguien aprovechando este tutorial quiere utilizar el Embryo Patcher.
Por ej. el programa diablo2oo2's Universal Patcher tiene muchísimas más opciones y es un programa en desarrollo y muy bueno... Además Shaddy nos hizo un excelente tutorial del manejo de este gran programa. Descarga:
dUP2.Diablo Universal Patcher v2.17 by ShaDDy
Su página web es la siguiente:
http://diablo2oo2.di.funpic.de/dup.htm

Eso es porque no has leído los tutes...
Si por ejemplo, el 14 te pide pass, es porque Ricardo en el 13 te pide que con la explicación que él ha dado, resuelvas tú un crackme. La solución al crackme 13 es la pass del 14..
 

Súbelo a ver si podemos hacer algo..

Estás haciendo una pregunta..
Yo hace tiempo utilicé dos programas: TZ copy protection y TZ exe protector.
Son programas gratuitos (el exe no estoy seguro)e incluso el TZ copy protection en su página web que te pongo, tienes el código fuente en ¡VB!.

Echa un vistazo a esta página a ver si es esto lo que buscas:
http://www.pandreonline.com/tzcopy/