Ok, segun veo tiene lo minimo, menos mal no tubo copymem II, ahora ya te podras guiar por mi tute jeje, pero fielmente te recomiendo los de solid son los mejores.
Ahora lo que tenes que hacer es evitar que corra en 2 procesos a traves de un BP en OpenMutexA (tildando todas las excepciones en Debuggin options + exceptions para que solo pare por el bp y no confundir con otras cosas jeje) y como a la segunda o en otros casos a la 3 parada del olly en este BP, podes poner eax a 1 despues del retn de esta api, y asi evitaras que corra en 2 procesos, ahora para hallar el oep, lo podes hacer de muchas de las formas convencionales (no todas a veces funkan
), pero la que me sirvio es como explica solid en sus tutes, es poner un BP en CreateThread y cuando pare llegar al retn y buscar un poco hacia abajo hasta dar con unas llamadas indirectas (la mas comun es call EAX), y a la segunda que aparece, creo que siempre es asi, esa sera entonces la llamada al OEP y de ahi anda la mona
, tambien lo podras hacer poniendo un BP ON MEMORY ACCES en la sección CODE. Luego de llegar al OEP solo te restaria reparar la IAT, dumpear y arreglar el pe-header copiandolo del original jeje.
Espero te sirva, aunque como diré siempre los tutes de Solid son lo mejor en estos casos jeje, lo que acabo de decir es tan solo una añadidura
.
salu2.
AmeRiK@nO
Mostrar Mensajes
, si aud si le para 2 veces, luego de ello es donde debes buscar la call r32, como dice Shaddy (CALL EAX) o ver si para en la sección code despues de poner el BP ON EXECUTION, y si no tiene pinta de OEP al parar prueba nuevamente con F9, normalmente en la primera parada no es.
por eso digo lee el tute de solid que hay mas abajo jeje) o debugblocker tenes unas formas de hacerlo, mira pasale el armaFp y ahi te dice que protecciones usa, y luego de eso lee esto jeje: