rodeo

PD: http://enciclopedia_universal.esacademic.com/187015/lessueste

lessueste

PD: Valen palabras extranjeras?

ciabogar

dopamina

ronquido

soberbio

dodecaedro

Como dice Tinco, es GetProcAddress.

Esto se delata en:

35E06100  /$  8BFF             MOV EDI,EDI
35E06102  |.  55               PUSH EBP
35E06103  |.  8BEC             MOV EBP,ESP
35E06105  |.  68 2C23E135      PUSH 3D.35E1232C                         ;  UNICODE "mscoree.dll"
35E0610A  |.  FF15 3021E135    CALL DWORD PTR DS:[35E12130]
35E06110  |.  85C0             TEST EAX,EAX
35E06112  |.  74 15            JE SHORT 3D.35E06129
35E06114  |.  68 1C23E135      PUSH 3D.35E1231C                         ;  ASCII "CorExitProcess"
35E06119  |.  50               PUSH EAX
35E0611A  |.  FF15 3C21E135    CALL DWORD PTR DS:[35E1213C]
35E06120  |.  85C0             TEST EAX,EAX
 

Es la típica secuencia LoadLibrary - GetProcAddress...

Saludos!

Si dejas tildada esa opciuón, el plugin omitirá las excepciones que necesitas contar. En mi maquina son 3, y creo que no deberian cambiar en la tuya.


La excepciones de Olly (Alt+O - Exceptions)

Bueno, me bajé la lección porque no la tengo y no recuerdo nada.

Para llegar al OEP en XP SP3 y OllyStrong:

1) Destildar la opcion Skip Some exceptions en OllyStrong.
2) Tildar todas las excepciones.
3) Ejecutar y mirar el log. Contar las excepciones (deberian ser 3).
4) Destildar todas las excepciones y quitar todos los BPs y HBPs.
5) Ejecutar y dar SHIFT+F9 por cada excepcion hasta llegar a la ultima. En esta, poner un BP en la sección .text (401000) y dar SHIFT+F9.
6) Va a parar en la sección del packer. Usar CTRL+F9 para llegar al RET.
7) Una vez en el RET, poner nuevamente el BP en la sección .text (401000) y dar F9.
8) OEP

Saludos!