Bueno, realmente no se si lo llegaste a desempacar del todo bien, puesto que si te desordenó la IAT, y utilizaste el script sólamente con el salto, es posible que olvidases que suelen utilizar GetTickCount para calcular el tiempo que tarda desde que mete la API hasta que se guarda, y al aver un bp ese tiempo ya no es el mismo, así que probablemente deberías tener en cuenta eso, el JBE debajo del GetTickCount.

Te recomiendo un tute de AbsshA, en el webstorage de Ricardo en Concursos 2008 el concurso 1 nivel 4 sino me equivoco donde desempaca el "VideoRedo", ahí tienes un script facilón.

Y también estaría bien que si te rompe la IAT que la cambies de sección, ésto lo hace muy bien el arminline, y además, te las pone en su sitio.

Salu2..

jajaja pues si, era una opción. Lo importante es que se ha solucionado .

Salu2 ...

Bueno, jajaja, probablemente te paso algo parecido a lo que ami me pasaba. Aunque dudo que tu utilices un portátil.

Yo en el portátil que utilizo tengo una utilidad que se llama "fingernav" que con tus huellas dactilares de cada dedo puedes configurar para hacer una función. Y se activaba o desactivaba con F8. Así que cuando quería trazar se activaba la función.

Así que para probar que pasa, primero intenta hacer una traza normal desde Debug - Step Into o Debug - Step Over, y ver si funciona. Si funciona quiere decir que un programa externo captura ese F8 o ese F7 y no deja que OllyDBG lo reciba.

Salu2..

En cuanto a Americano, si si, ese es el OEP, porque lo he visto en los últimos armadillos y he desempaquetado alguno con ese OEP. Y no son como los de verdad XD.

En cuanto a KJD XD, si, esa es la tabla, las librerías efectivamente se separaran con un DWORD "00", y como ahí no tienes IAT scramble pues la tienes más o menos fácil.

Para saber el largo es mejor que clickees 2 veces en el margen de las direcciones desde el punto de inicio para qu ete diga el final ej:

$+F79 -> Ultima api (buena o tirada)

Salu2...

si si, ese es el OEP destrozado.

Bien, pero cuando dices nombre, te refieres al Nombre de la VENTANA, no?, porque me dices el nombre puede ser el nombre del .exe de cualquier cosa, joer maxo te digo ponme mas de 1 frase, y me pones 1 linea y media. Ala ala, se nota que hay ganas eh?

Por cierto, para que quieres todo esto, al caso?

Salu2...

Actualmente en ésta sección se tratan temas de Ing. Inversa.

Contesté a lo que pedías, y es más de lo que puedo ofrecerte aquí. Para cualquier otro tipo de tema tienes varios como por ejemplo.

http://foro.elhacker.net/analisis_y_diseno_de_malware-b17.0/

Así que primero, no respondas a post que nada tienen que ver con lo que preguntas (me da igual que ponga TheMida), y haz las preguntas en su lugar.

Buenas noches.

Autor: karmany
Fecha: 09 de noviembre de 2008

Es un tutorial que se sacó karmany de la manga en poco rato, y para no perderlo lo colocamos aquí, ya que está muy bien .

http://depositfiles.com/files/4slwrg0ej

Si cuando lo ejecutas se cierra "repentinamente", puede pasar, o bien que lo abras en una VMware y te lo detecte, que haya generado un error y se cierre automáticamente, o que tengas una versión que no funciona correctamente.

En cualquiera de los casos puedes probar, o bien a buscar una nueva versión, o diferente sitio de donde lo descargaste, o bien ponerte en contacto con el soporte técnico del producto.

Salu2...

jajaj si bueno, en OllyDBG puedes hacer una búsqueda de un:

call r32

ésto dará todos los resultados de los registros de "32 Bits" (EAX, EBX, ECX, etc), de la misma manera también puedes buscar.

mov eax, r8

etc.

También, imagina que llegas del CreateThread, y eres un vagoo como yo que no le apetece buscar el call r32. Entonces le das a CTRL + T (Run Trace options) y pones que tracee hasta encontrar una instruccion de las siguientes, y pones.

call r32, le das a CTRL+F12 (TRACE OVER), para que no te entre en las DLL y listo.

Salu2...