The Cleaner 4

[krc_4u]

Estoy trancado con este prog. ya que esta empaquetado con UPX 0.89.6 - 1.02 / 1.05 - 1.24 segun el Peid, lo beno es que utilizo el GuiPex y no hace nada, lo intento hacer manualmente con el Olly, facil, pero cuando trato de ejecutar el programa ya supuestamente descomprimido me da este error: "No se encuentra el punto de entrada del procedimiento GetSa en la biblioteca de vínculos dinámicos comdlg32.dd." No se como hacer en este caso.

¿Alguna sugerencia? ???

[4rS3NI(]

Buenas, Has reconstruido correctamente la IAT? Has modificado la cabecera del ejecutable con el OEP?.

Saludos

[krc_4u]

Gracias x contestar, pero no he modificado la cabecera y no le habia reconstruido el IAT pero lo hago y nada. Sigue igua.

[4rS3NI(]

Buenas, si solo tenia Upx y el prog corría bien empacado, pues me parece que tenes que rever la Reconstruccion IAT, tb proba el dump fixer del peeditor, (RS=VS; RO=VO)

Saludos

[UnpaCker!]

Lo mas probable es q tengas un programa "hackeado" para UPX(ya sabeis esos q modifican cierta parte para no permitir que se desempaque con UPX tradicional).

Intanta bajar un compresor original de UPX  e intenta desinstalarlo con upx.exe -d programa.exe

Si te indica que fue hackeado ó que no lo puede descomprimir, lo mas seguro es que este comprimido y parcheado con algo como UPXShit,UPXScramble..etc..

El PEiD cuenta con varios plugins para detectar e incluso para desempacar programa de UPX Modificados. Utiliza el plugin de Crypto Analyzer y si te da algun resultado como :

CRC32:: 0000XXX :: 00xxxxxxx

Entonces fue modificado el archivo comprimido con UPX.

Hay varios manuales para desempacar estas joyitas.. y los puedes encontrar en la lista de correo de cracklatinos:

hxxp://www.crackslatinos.hispadominio.net

En este caso q te menciono solo seria cuestion de cambiar el CRC32 con un plugin con el q tambien cuenta el PEiD.

Aunque tambien existen scripts de Olly q lo hacen automatico

Regards!