tuto rapido:
el PEiD nos dice que esta empacado con "PECompact 2.x -> Jeremy Collake", le pongo algunos plugins de Anti-AntiDebug a mi olly, uso el metodo del HB en el stack cuando guarda los registros (en 479EC2 PUSH EBP) para llegar al OEP
paso las exepciones y caigo en
479F52 JMP NEAR EAX
ese es el salto final del packer, dando F8 llegamos al OEP, ahi se puede dumpear y arreglar la IAT, la IAT no me dio problemas pero aun asi me dio error despues.
Como soy muy vago yo y ya teniendo el OEP no voy a complicarme... voy a trabajar ahi mismo, busco las apis que trabajan con la fecha que usa el programa y se deduce facilmente q el salto decisivo es 470A69 JE 470CAF, se soluciona cambiadolo por un JMP 470CAF
como estoy trabajando con el programa packado lo ideal seria hacer un loader pero en este caso esa rutina se ejecuta al iniciar el programa asi que no me vale con un programa externo, miro que el salto final del packer esta ya en el codigo antes de ejecutar asi que voy a utilizar el propio packer como loader
cambio el JMP NEAR EAX por
JMP 479F76 (xk me fije que hay unos bytes abajo q si cambian)
para agregar ahi mi injerto
luego en 479F76
479F76 MOV DWORD PTR DS:[0470A69h],0241E9h
//cambia el JE por JMP479F80 JMP NEAR EAX
//salta al OEPpongo el año 2009, pruebo y todo OK , crackeado
http://www.freeuploader.com/view.php/150483.rarsaludos
Mostrar Mensajes
, mas que cosas del IE y algunas cosas de html. pero nada de java descifrado.