Muy buen trabajo y gracias por compartir.
¡Te has metido de lleno a estudiar el PE header! Excelente.

Hoy quiero compartir con ustedes un artículo interesante que he leído realizado por Yago:

"En esta entrega de la saga, vamos a analizar una amenaza de tipo 'Dropper', es decir, un fichero cuya misión es descargar e instalar otra pieza de malware con más funcionalidad." Todo el artículo completo en:

http://www.securitybydefault.com/2012/05/reversing-malware-tales-dropper-dropped.html

Muy interesante, gracias por estos retos.

Lo primero que debes saber es el formato de la dll. ¿Es realmente una dll?¿Tiene formato PE?
PE: The Portable Executable (PE) format is a file format for executables, object code and DLLs, used in 32-bit and 64-bit versions of Windows operating systems.

A mí no me gusta que lo abras con un editor básico como el notepad, porque luego al guardarlo puedes perder involuntariamente mucha información.

¿La dll se puede cargar en OllyDBG? ¿Te muestra código.?

Pero antes de nada, yo me pregunto lo principal: ¿Para qué quieres solo agregar cadenas de texto? ¿Y la funcionalidad? Deberás luego programar en ensamblador el código para que te dé esos datos que quieres agregar no?

El programa multiextractor es también muy bueno para esto. Lee este ejemplo que hicimos en el subforo de ingeniería inversa.

http://foro.elhacker.net/ingenieria_inversa/tutorial_para_modificar_programas_ej_10_redimensionar_matrizvb_19jul2010-t134513.0.html;msg1311424#msg1311424

Si no lo consigues, déjanoslo en descarga para probar.

Solo me conecté hoy para darte las gracias por ese código. ¡Qué interesante!

Realmente esta es una triste noticia y más de un usuario que ha colaborado con tantos mensajes en el foro.

Yo quiero decirte que todos los que llevamos tiempo en el foro y colaboramos asiduamente, creo que también hemos tenido alguna vez la idea de "mandar todo al carajo".

Bueno, yo espero que solo sea un punto y seguido y cuando pase el tiempo y dispongas de él, puedas venir a disfrutar sin sentir que sea una obligación.

¡Qué va! No tienes que pedir perdón por esto. Para eso está un foro, para que los usuarios pregunten sus dudas. Puedes preguntar tranquilamente todas tus dudas.
Los demás usuarios te intentarán ayudar u orientar.

Me sienta mal que digas "que no lo voy a hacer" porque pienso que no has hecho nada malo y el foro está para preguntar. Por muy tontería que sea, haz tu pregunta, ya que tu duda resolverá la duda de otros que también comienzan.

Parece ser que ese programa no está empacado. Es decir, que posiblemente el OEP sea el que aparece cuando cargas el programa en OllyDBG.

Eso es porque no se ha cargado la librería de Visual Basic. ¿Estás seguro que es un Visual Basic? ¿Qué dice RDG Packer Detector?

Ejecuta el programa. Pulsa F9.

En el momento que arranque páusalo: F12

Y ahora pon un Hardware Breakpoint en  ThunRTMain. Un BP no te valdrá para nada.
Y reinicia.