Bueno, lo estuve mirando un poco y saqué lo siguiente:
Para obtener un desempacado "casi" completo:
1) Abrir el EXE en Olly y en el EP hacer ALT+E para ir al listado de modulos.
2) De la lista seleccionar MSVBVM60.DLL y hacer doble-click para saltar al modulo.
3) Hacer CTRL+G y poner "ThunRTMain" (sin las comillas). En la dirección donde queda Olly, poner un BP con F2.
4)Ejecutar con F9 y cuando para en nuestro BP, colocarse sobre el primer valor de la pila y darle ENTER.
5) De la dirección que aparece en la ventana de CPU, escrolar 2 instrucciones hacia arriba (hasta el PUSH o mejor dicho, hasta 4070C8). Ese es nuestro OEP. Reconocemos que es el OEP de un programa hecho en VB6.
6) Colocar un HBP en esa direccion y hacer CTRL+F9 para reiniciar el programa.
7) Cuando reinicia, hacer ejecutar con F9 y cuando para en el HBP, dumpear con OllyDump y reconstruir IAT con ImpRec.
Ahora, por lo poco que he visto, este EXE tiene algunas "trampas". Por ejemplo, la IAT de un programa hecho en VB6 (como este) sólo tiene llamadas a la DLL MSVBVM60.DLL. Pero este tiene llamadas a GDI32 y OPENGL32. Asi que habrá que analizar porqué estas entradas están así.
Bueno, por lo pronto, ya tienes algo más con lo que poder continuar...
Saludos!
EDITADOPara obtener un EXE funcional, conviene recontruirlo con LordPE.
Al final, sólo quedará una entrada "mala" en la IAT. Esta entrada apunta a una sección del packer. Fíjate en el dumpeado la función que está en 4F4E90. Esa función llama a esa entrada de la IAT. Además podrás ver cosas "interesantes" en la misma función (como por ej, la cadena ".key" e "lkey15"
)
Si analizas esa función, seguro lo sacas....
Mostrar Mensajes
