Hola!

Si. No sé si cifrado, pero codificado, seguro.

En estos dias lo iré mirando y te cuento...

Saludos!

Hola!

Te cuento un poco del EXE. Está empacado con tElock v0.98. e conseguido desempacarlo exitosamente, pero el EXE "detecta" el desempacado, por ello estoy haciéndole modificaciones.

Pero, bueno, la mejor noticia, es que he conseguido hacerlo correr libremente, al empacado y al desempacado.

Hay 2 lugares, en el EXE, donde se automodifica el código. La 1era parte (D2A606) se realiza cuando se intenta ingresar el serial de registración. Que por cierto, PARECE que la primera palabra "correcta" es AK47GDLL (me parece que al programador le gusta el Counter Strike )
La 2da parte (D2A946), es cuando le das al botón de Ingresar al programa. Aqui es donde el programa detecta el desempacado. Utilizando esta "desencriptacion" de código, consigue "ver" que ha sido desempacado y genera una excepcion quetermina el proceso.

Usando el depurador, se pueden tener las 2 versiones del programa corriendo (empacada y liberada) y asi, ver dónde radica la diferencia (que es sólo en 2 bytes )

Bueno, hasta ahora eso tengo (quizas un poco mas, pero no quiero decir nada hasta no estar seguro).

Por lo pronto, la idea es: utilizar el proceso de desencriptacion del código usado para ingresar al programa, para poder determinar una clave de registro correcta. Lo cual es lógico, pues la rutina de desencriptacion de código es la misma en ambos casos.

Bueno, eso es todo por ahora.

Sigo mirando y si hay noticias, les cuento  

Saludos!

Hola!

Cualquier editor Hexadecimal debería servirte para abrir el archivo (UltraEdit, WinHex, ect)

De todas formas, le voy a pegar una miradita al soft, a ver que sale.

PD: Quizas deberías haber posteado esto en Ingeniería Inversa...

Saludos!

Hola!

Pues, luego de leer lo que has puesto, debo decirte que tu enfoque de la Ingenieria Inversa, no está del todo correcto (ojo!, al menos para mi).

El acercamiento que has planteado, es el de un programador intentando "ver" las protecciones del programa.

Como consejo, aprende primero a utilizar el debugger y las herramientas que "vienen" con el (RDG, PEiD, LordPe, ImpRec, etc,etc). Te recomiendo el curso "OllyDbg desde cero" de Ricardo Narvaja.

Desde el punto de vista que has empezado, puede ser que logres saltear la proteccion, pero normalmente, NO es asi (aunque debo admitir, que saber programar, ayuda MUCHO en este "arte"  )

Aunque sólo es una opinión...

Saludos!

PD: Cualquier pregunta, ya sabes, estamos aqui...
PD2: Lo voy a descargar para darle una miradita

Hola!

La verdad, nunca me enfrenté a ese packer (y tampoco escuché de él )

Lo que te puedo sugerir, son las teorías 312, 731 y 887 de la web de Ricardo Narvaja. Estas tratan el tema de enfrentar packers desconocidos.
Las teorías están aqui:

Espero te sean útiles 

Saludos!

Hola!

También puedes saltearlo con Olly, usando el método del PUSHAD-POPAD. El UPX scrambler, es en teoría, lo mismo que UPX, pero modificado.

Con el método anterior, el OEP queda muy cerca. Sólo debes tracear un poco mas, hasta encontrar el "JMP largo".

Saludos!

Hola!

Me parece que el problema lo tienes aqui:

      If Mid(cadena, i, 1) = vbCrLf Then
 

Estas comparando 1 caracter (el del Mid) con 2 caracteres del Enter (0x0Dh + 0x0Ah)

Saludos!

Hola!

En el sitio de Iczelion puedes encontrar una DLL que te permite el manejo del PE Header.

Saludos!

Hola!

Aquí tienes un tutorial sobre cómo desempacar enigma:

Espero te sea útil  

Saludos!

No lo creo.

Es más sencillo bajarse el crackeado de Taringa 

Saludos!