Mensajes

Los eliminaste de la IAT en ImpRec???

Si no los eliminas, van a aparecer de vuelta... 

Asi es, bruteforce es la unica forma.

Coincido con mafo, usa Dup2 y listo... 

Quizas esa parte aleatoria no se tenga en cuenta eln la comprobacion final....

Tendrias que reversear toda la funcion a ver quie sale.

De ultima, podrias hacer un bruteforce de esos valores para ver como va cambiando la cosa...

Es que la secuencia de APIs que te han dado es la usada para hacerlo en cualquier lenguaje.

ReadProcessMemory, WriteProcessMemory y CreateProcess son las principales (en VB puedes usar Shell). Despues, quizas necesites de VirtualProtect si necesitas escribir en la sección de codigo del ejecutable.

Con IsBadReadPtr (y familiares) puedes determinar si una posicion de memoria se puede leer/escribir.

En fin.. Las APIs son esas, el lenguaje es lo de menos...

Como ayuda, te puedo indicar que leas las teorias 349 a 353 de la web de Ricardo Narvaja: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/

Ahi veras como hacerlo en ASM. Por supuesto, esto es un loader-DEBUGGER. MUCHO mas potente que un loader simple. Si bien la diferencia es importante, con la misma diferencia te daras cuenta de como trabaja la cosa y asi podras hacer un loader simple en 2 patadas...

Saludos!

Entro todos los dias a mirar un poco, pero con escaso tiempo... 

Si te attachas, el proceso ya esta corriendo, por lo que no podras parar nunca en el OEP con el fin de dumpearlo (claro, esto es al menos que no uses algun tipo de artilugio para que el EXE pare en el oep solito, como por ej. insertarle un jmp eip).

De todas formas, el attacheo es util cuando no puedes sortear las protecciones antidebug del inicio y si el packer no tiene antiattach, puedes debuggear el mismo en puntos que te sean necesarios, como por ej.: hacer click en algun boton, ingresar texto, etc.

Hola!

Todas las herramientas que necesites las puedes bajar desde aqui: http://ricardonarvaja.info/WEB/ (Solo desbes buscar )

Ahora:

... tengo win 7 de 63 bits ...

A ese Windows no lo conozco...  (Son 64 los bits...   )

Saludos!

El mejor decompilador es el mismo que le da las ordenes a tus dedos para escribir el mensaje que has puesto... 

Si la aplicacion esta en PCODE, usa VBDecompiler 7.6 (la version full, no la lite).

Saludos!

Creo que estas confundiendo los temas.

Un programa en Visual Basic 6 (o 5) puede estar compilado de 2 formas: en codigo nativo o PCODE.

En codigo nativo vas a ver todo el codigo de la aplicacion en ASM (instrucciones x86).

Ahora, cuando esta en PCODE, las instrucciones no estan en ASM, estan expresadas usando instrucciones que ejecutara la maquina virtual (VM) de Visual Basic. La maquina virtual esta dentro de la libreria MSVBVM60.DLL (o bien MSVBVM50.DLL si es VB5).

Por eso es que ves que se llaman opcodes a los de ASM y a los de la VM de VB.

Ah! Cada instruccion a ejecutarse (ya sea por el procesador o por una VM) puede dividirs (normalmente) entre codigo de operacion (opcode) y operandos. El opcode es el identificador de la tarea que debe realizarse con los operandos. En MOV eax, ebx el opcode es el MOV. Lo mismo para instrucciones de una VM.