Mensajes

Se puede pero no es facil.

No.

Busca el campo AddressOfEntryPoint en 3.4.1.Optional Header Standard Fields (Image Only), es el offset 16.

Y te vuelvo a recomendar que uses el OllyDbg, con ese programa podes ver en memoria todo el ejecutable e incluso te muestra estos campos del PE.

Lo que me interesa saber es si en VB se puede manejar este DWORD y kon que funcion.....

Un DWORD son 4 bytes. ¿Como lo podes manejar? Para escribirlo en el archivo de la misma manera que escribis cualquier dato binario en un archivo. En memoria no necesitas cambiarlo para nada pero sino lo harias usando WriteProcessMemory.

Eso es cambiar el entry point, es lo que te estabamos explicando. Hay un DWORD (4 bytes) que indica la direccion (offset) del entry point. Tambien se puede meter un salto sobreescribiendo el entry point real pero es mas complejo y no tiene sentido en este caso ...

Mira bien el documento, busca entry point y si queres investiga y practica con el OllyDbg que es un depurador de modo Usuario bastante util para estas cosas.

No lo se la verdad (busca formato PE), en realidad TODO (o casi) esta en ingles y no demasiado en castellano. Es fundamental ENTENDER ingles para poder moverse en este mundo de la informatica ...

http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx

Sera una ristra de bytes me imagino y no una string como tal. Despues de haber descifrado todo saltas o llamas (jmp/call) al entry point original del programa.

Efectivamente y esta despues de descifrar tiene que saltar al codigo descifrado.

http://www.madshi.net/ Esta escrita en Delphi por cierto.

Modificar el entry point es muy simple, es un DWORD (cuatro bytes). Tenes que saber bien el formato PE.