AmeRiK@nO, gracias por la ayuda que me has prestado, la verdad impagable, intentaste con un olly limipo??, sin plugins ni nada??, sino me temo que tendras que formatear. A menos que alguien sepa bien que le esta pasando.

Gracias AmeRiK@nO, entonces solo me queda buscar el salto magico y aplicar el script, cuando llege a casa me pongo a buscarlo. gracias

Saludos.

Mientras que Shadow responde la pregunta de  AmeRiK@nO, posteo mi duda.

Este es el principio de mi posible IAT



Y este es el fin????  en 00985658  00000000




Porque como tengo mas instrucciones del tipo SFrame.0097F3D6, quiza siga mas para abajo.

Saludos y mil gracias por la ayuda

Una vez Dumpeado, con el ImpRec, no me encuentra las importaciones, osea la IAT debe estar echa pelota, ahora me surgue una duda,

este es mi OEP



y esta es la sección a donde me lleva el jump



Mi pregunta es, cual call es la que tengo que seguir en el dump para poner el HBP on write???

Gracias tena, lo encontre, ahora lo dumpeo con el ollydump??? o con LordPE???

Esto parece una conversacion de msn jejej.

Hay tena!!!!  ! soy un idiota, o talvez este saturado de tanto asm, en fin, mil gracias.

Ahora, me faltaria encontrar el oep no??? poniendo un BP on acces en la sección text 41000 no??.

Saludos y gracias,

Bueno, las novedades:

No se porque, pero ahora el segundo proceso se crea antes que olly pare en CreateMutexA, no se que sera. Shadow, si sigo tu metodo, el del CALL R32, me da error de que no puede acceder a la pocicion F5638CF7, que no es redeable, o leeible.

Algun otro metodo???

Gracias AmeRiK@nO y Shadow, sus respuestas como siempre impecables  , les comento los avances.

He seguido las instrucciones de AmeRiK@nO, he puesto un BP en CreateMutexA, para evitar que se cree el segundo proceso en la segunda parada de la api, poniendo EAX a 0, el problema es que funciono bien, es mas puse un BP on Access en la sección .code y llege a lo que me parecia el OEP, ya que dos instrucciones mas abajo tenia la api getstartupinfo, el caso es que intente dumpear y el olly se travo, emepzo a ejecutarce una rutina y no andubo mas, es asi como digo, sonara raro pero asi fue. El problema es que ahora eax no vale mas 0 sino BC, AC, B0, etc, nunca 0, pero si lo pongo a 0 tampoco anda ya que queda en running y no arranca el programa.

Voy a ver como soluciono este problema  y les comento mas resultados.

Saludos y gracias.

Gracias por la respuesta AmeRiK@nO, la aplicacion que me diste dio esta info.

<------- 08-11-2008 23:11:17 ------->

!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
!- Version 4.48

Mañana lee los tutos gracias por la ayuda.

QUe tal gente, el tema es el siguiente, se que armadillo es complejod e atacar, pero me gustaria empezar de una vez jeje.

Tengo un ejecutable, segun el peid Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks. ahora, en el administrador de tareas tengo dos procesos llamados igual, con el nombre de mi ejecutable.

Como procedo??? en el baul de ricardo hay muchisimas teorias, alguno me diria cual es la mas indicada??? gracias.