Estoy trancado con este prog. ya que esta empaquetado con UPX 0.89.6 - 1.02 / 1.05 - 1.24 segun el Peid, lo beno es que utilizo el GuiPex y no hace nada, lo intento hacer manualmente con el Olly, facil, pero cuando trato de ejecutar el programa ya supuestamente descomprimido me da este error: "No se encuentra el punto de entrada del procedimiento GetSa en la biblioteca de vínculos dinámicos comdlg32.dd." No se como hacer en este caso.
¿Alguna sugerencia? ???
Buenas, Has reconstruido correctamente la IAT? Has modificado la cabecera del ejecutable con el OEP?.
Saludos
Gracias x contestar, pero no he modificado la cabecera y no le habia reconstruido el IAT pero lo hago y nada. Sigue igua.
Buenas, si solo tenia Upx y el prog corría bien empacado, pues me parece que tenes que rever la Reconstruccion IAT, tb proba el dump fixer del peeditor, (RS=VS; RO=VO)
Saludos
Lo mas probable es q tengas un programa "hackeado" para UPX(ya sabeis esos q modifican cierta parte para no permitir que se desempaque con UPX tradicional).
Intanta bajar un compresor original de UPX e intenta desinstalarlo con upx.exe -d programa.exe
Si te indica que fue hackeado ó que no lo puede descomprimir, lo mas seguro es que este comprimido y parcheado con algo como UPXShit,UPXScramble..etc..
El PEiD cuenta con varios plugins para detectar e incluso para desempacar programa de UPX Modificados. Utiliza el plugin de Crypto Analyzer y si te da algun resultado como :
CRC32:: 0000XXX :: 00xxxxxxx
Entonces fue modificado el archivo comprimido con UPX.
Hay varios manuales para desempacar estas joyitas.. y los puedes encontrar en la lista de correo de cracklatinos:
hxxp://www.crackslatinos.hispadominio.net
En este caso q te menciono solo seria cuestion de cambiar el CRC32 con un plugin con el q tambien cuenta el PEiD.
Aunque tambien existen scripts de Olly q lo hacen automatico
Regards!