Mensajes

Efectivamente, lo he probado con dos crakme's en UPX y en los dos ha funcionado.
El reto....... haber quien lo hace con la mitad de codigo y claro esta que funcione

Saludos

Tinkipinki el script para UPX ocupa muy pocas lineas. Este script hace mas que desempacar UPX solamente.... 

Pregunta es CLS. Ahi esta Nahuel (+ncr) que es el "creador".... 

El mismo plugin se usa para depurar...

Podrias sacar la base del modulo (con GMI) y despues sacar el dato del PE Header. Con eso ya tienes todos los datos necesarios.

Pero digo, q no hay forma de hacerlo manualmente?

Claro, con Olly.

no lo se, veremos que dicen .:UND3R:. o alguno de estos que de verdad controlan de ingenieria inversa.

Con eso quieres decir que lo que hemos puesto Apuromafo y yo no cuenta???

Creo que te has equivocado... 

Según lo que puso Apuromafo, la DLL esta empacada, por eso Olly tiene problemas.

Pero bueno... debe ser que no sabemos de qué estamos hablando... 

Saludos!

Como analisas manualmente una dll?

No lo hizo manualmente. Hay muchas herramientas de analisis de ejecutables (EXEs, DLLs, etc, etc)

Ejemplos: http://woodmann.com/collaborative/tools/index.php/Category:Exe_Analyzers

Saludos!

Como dice mafo, la instruccion mov acepta 3 parametros, donde el tercero es el size a mover (en bytes)

Podrias usar Flash...

[- A flag with an exclamation mark in front (one of !CF, !PF, !AF, !ZF, !SF, !DF, !OF)]

Revisaste el README de OdbgScript?

3.1 Language
------------
The scripting language of OllyScript is an assembly-like language.

In the document below, src and dest can be (unless stated otherwise):
- Constant in the form of a hex number without prefixes and suffixes, with leading 0 (i.e. 00FF, not 0x00FF or 00FFh)
   For decimal values, use the point (i.e. 100. 128.)
- Variable previously declared by VAR, or are declared with MOV
- A 32-bit registers (one of EAX, EBX, ECX, EDX, ESI, EDI, EBP, ESP, EIP).
   A 16-bit register (one of AX, BX, CX, DX, SI, DI, BP, SP)
   A 8-bit register (one of AL, AH, ... DL, DH)
- A memory reference in square brackets (i.e. [401000] points to the memory at address 401000,
   [ecx] points to the memory at address ecx).
- A flag with an exclamation mark in front (one of !CF, !PF, !AF, !ZF, !SF, !DF, !OF)
- Sometimes byte strings are required. Those are scripted as #6A0000# (values between two #) and
   must have an even number of characters.
   Some byte strings can contain the wildcard '?', for example #6A??00# or #6?0000#
- A combination of these values with operators:

You can use operators in your scripts, +-*/&|^>< for dword and + to concatenate strings.
- Operators > and < are shr and shl (>> and << in C/C++)
- Operator ^ is XOR
- Operator & is AND
- Operator | is OR

Bajate el PDF del link que te di y lo verás...