Hola a todos, tanto tiempo, espero que esté bien, bueno les comento que necesito su ayuda, nunca pido favores pero esta dll no me da, les pido por favor si alguien puede hacerle un unpack, se los pido, ando a falta de tiempo, se los agradecería desde el fondo de mi corazón (es una DLL importante para mi).
http://www.mediafire.com/?crgqqqr13qyxzw5 (http://www.mediafire.com/?crgqqqr13qyxzw5)
Muchas gracias
UND3R
Agrego script e información recolectada:
OEP 5A32
INICIO 12000
SIZE 200
IMGBASE 35E00000
Script:
// Protection Plus 4.xx OEP Finder & Import Fixer by GaBoR {RES}
var v
var t
sto
sto
mov t,esp
bphws t,"r"
find eip,#01E8FFD0#
mov v,$RESULT
add v,0D
bphws v,"x"
run
bphwc v
mov v,eax
sto
find v,#83F80377#
mov v,$RESULT
repl v,#83F80377#,#83F803EB#,4
run
bphwc t
sto
sto
cmt eip," This is the OEP!"
msg "Dump & fix IAT somehow!"
No logro saber a que API apunta: 35E1213C (una sin resolver)
Saludos
ya lo tenés! apunta a GetProcAddress y listo.
https://mega.co.nz/#!eIUiCSgD!FzAsNHk90-qriAVWf9VAlDdIRvlmBsIg6y8KFgf4f7g
soy un perro para los packers pero la podés probar a ver si anda.
Ahh si en vez de con el script la haces a mano, EBP apunta a la api y Edi la dirección!
Como dice Tinco, es GetProcAddress.
Esto se delata en:
35E06100 /$ 8BFF MOV EDI,EDI
35E06102 |. 55 PUSH EBP
35E06103 |. 8BEC MOV EBP,ESP
35E06105 |. 68 2C23E135 PUSH 3D.35E1232C ; UNICODE "mscoree.dll"
35E0610A |. FF15 3021E135 CALL DWORD PTR DS:[35E12130]
35E06110 |. 85C0 TEST EAX,EAX
35E06112 |. 74 15 JE SHORT 3D.35E06129
35E06114 |. 68 1C23E135 PUSH 3D.35E1231C ; ASCII "CorExitProcess"
35E06119 |. 50 PUSH EAX
35E0611A |. FF15 3C21E135 CALL DWORD PTR DS:[35E1213C]
35E06120 |. 85C0 TEST EAX,EAX
Es la típica secuencia LoadLibrary - GetProcAddress... ;)
Saludos!
Múchísimas gracias :o, no saben lo cual feliz estoy, probaré si la dll corre, luego les comento, saludos :)
Les comento que todo salió a la perfección, saludos. ;-)