pasar el crackme y analizarlo de otra forma?
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#1042
Ingeniería Inversa / Re: Luego de aceptar la licencia, al utilizarlo se conecta para corroborar [duda]
15 Junio 2011, 20:59 PM
InternetReadFile
InternetWriteFile
algunas que siempre aparecen en otras app para el ID
GetTickCount, QueryPerformanceCounter, GetSystemTime
una tool aveces que apoya es kam
http://www.kakeeware.com/
otro api monitor
http://www.rohitab.com/
puedes leerlo que es valido aqui:
http://foro.elhacker.net/ingenieria_inversa/saber_que_funciones_ejecuta_un_programa-t289382.0.html
un metodo..
1)firewall
2) buscar strings http
3) buscar string GET /POST /1.1
4) simplemente nopear o anular esas llamadas
5) hacer hook (muy avanzado aun, pero es lo mas común en ciertas aplicaciones)
InternetWriteFile
algunas que siempre aparecen en otras app para el ID
GetTickCount, QueryPerformanceCounter, GetSystemTime
una tool aveces que apoya es kam
http://www.kakeeware.com/
otro api monitor
http://www.rohitab.com/
puedes leerlo que es valido aqui:
http://foro.elhacker.net/ingenieria_inversa/saber_que_funciones_ejecuta_un_programa-t289382.0.html
un metodo..
1)firewall
2) buscar strings http
3) buscar string GET /POST /1.1
4) simplemente nopear o anular esas llamadas
5) hacer hook (muy avanzado aun, pero es lo mas común en ciertas aplicaciones)
#1043
Ingeniería Inversa / Re: Tutoriales sobre emulación, estudio y desempacado de dongles, mochilas
15 Junio 2011, 20:53 PM
otra tool util para scan PE para dongle, suele servir
pid.gamecopyworld.com PID
usando el buscador encontre esto como base por si alguien quiere leer:
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
763-Crackeando um Dongle PROTEQ C50032 com uso de uma dll - por RUMBLE.rar
785-Beginners dongle part 1 y 2 English.rar
mochila:
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/901-1000>
939-Tutorial Mochilas.rar
984-HASP4+.NET_en_mi_mochila_por_Mintaka.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
784-Emulando una mochila Sentinel SuperPro por Lionel.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/101-200>
129-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 3.rar
128-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 2.rar
127-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 1.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1213-Otra mochila Sentinel por Lionel.pdf
1229-Emulando HASP4 SIN Mochila - Parte Ia. Comenzando con Los Servicios+por+El+Cid.pdf.zip
Hasp:
48 archivo(s) encontrado(s).
<http://ricardonarvaja.info/WEB/CONCURSOS VIEJOS/CONCURSOS 2004-2006/CONCURSO 57>
541-Desempacado de HASP Envelope en una DLL utilizando emulador - por marciano.zip
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/201-300>
240-Lidiando con un HASP - ScanVec Inspire 1.1 por ICE CUBE.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/601-700>
687-Inline_Emulation_of_HASP4_PartI_HighEnergy.rar
646-Manually_Unpacking_HASP_SL_by_potassium_v1_1.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
734-Loader Debugger para un programa protegido con HASP por Lionel.rar
733-Emulacion de HASP4 con el nuevo driver HASP HL por Lionel.rar
797-Desempacar HASP HL 2.16 _ Hilo por karmany.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/101-200>
127-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 1.rar
132-Otro HASP - PARTE 1.rar
133-OTRO HASP - PARTE 2.rar
134-OTRO HASP - PARTE 3.rar
129-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 3.rar
128-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 2.rar
135-Resolviendo el Crackme con HASP por Shadow&Dark.rar
139- TERCER HASP PROGRAMA ARQ + CC parte 1.rar
140-TERCER HASP PROGRAMA ARQ + CC parte 2.rar
141-TERCER HASP PROGRAMA ARQ + CC parte 3.rar
142-Trace.exe un HASP de Cimagrafi _primax.rar
148- PROGRAMA TEOWIN INSTALADO COMO TIME HASP (parte1) (NO INCLUYE PROGRAMA).rar
149- PROGRAMA TEOWIN INSTALADO COMO TIME HASP parte 2 final.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1259- Hasp HL cracking tools with movie Tut by dave_omirora .7z
1229-Emulando HASP4 SIN Mochila - Parte Ia. Comenzando con Los Servicios+por+El+Cid.pdf.zip
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/701-800/733-Emulacion%20de%20HASP4%20con%20el%20nuevo%20driver%20HASP%20HL%20por%20Lionel.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
734-Loader Debugger para un programa protegido con HASP por Lionel.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1223-studio inicial eutron smartkey por Lionel.pdf
1213-Otra mochila Sentinel por Lionel.pdf
1204-Eliminando shell de Sentinel por Lionel.pdf
Sentinel
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/901-1000>
983-SentinelLM.pdf.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1229-Emulando HASP4 SIN Mochila - Parte Ia. Comenzando con Los Servicios+por+El+Cid.pdf.zip
1298-Estudio_de_una_Proteccion_Hardlock_por_El_Cid.pdf
otros mas en ingles:
http://tuts4you.com/download.php?list.15
are:
Advanced Study on FLEXlm System [ Unknown Author ]
Beginners Quick & Dirty Dongle Patching [ Resrever ]
HASP HL Envelope 1.x (Unpacking) [ Zipdecode ]
HASP SL - A Deeper Dig [ Potassium ]
PACE iLok (Unpacking) [ Quosego ]
Sentinel SuperPro (Removing Dongle Protection) [ Shub-Nigurrath ]
tambien mediafire.com/apuromafo en ingenieria inversa, tutoriales dongles
el link es :
http://www.mediafire.com/apuromafo#7bhm0xsi34cu2,1
otras de pago:
http://foro.elhacker.net/ingenieria_inversa/iquestno_hay_nada_mas_actual_sobre_mochilas_hasp-t163921.0.html
pid.gamecopyworld.com PID
usando el buscador encontre esto como base por si alguien quiere leer:
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
763-Crackeando um Dongle PROTEQ C50032 com uso de uma dll - por RUMBLE.rar
785-Beginners dongle part 1 y 2 English.rar
mochila:
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/901-1000>
939-Tutorial Mochilas.rar
984-HASP4+.NET_en_mi_mochila_por_Mintaka.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
784-Emulando una mochila Sentinel SuperPro por Lionel.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/101-200>
129-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 3.rar
128-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 2.rar
127-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 1.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1213-Otra mochila Sentinel por Lionel.pdf
1229-Emulando HASP4 SIN Mochila - Parte Ia. Comenzando con Los Servicios+por+El+Cid.pdf.zip
Hasp:
48 archivo(s) encontrado(s).
<http://ricardonarvaja.info/WEB/CONCURSOS VIEJOS/CONCURSOS 2004-2006/CONCURSO 57>
541-Desempacado de HASP Envelope en una DLL utilizando emulador - por marciano.zip
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/201-300>
240-Lidiando con un HASP - ScanVec Inspire 1.1 por ICE CUBE.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/601-700>
687-Inline_Emulation_of_HASP4_PartI_HighEnergy.rar
646-Manually_Unpacking_HASP_SL_by_potassium_v1_1.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
734-Loader Debugger para un programa protegido con HASP por Lionel.rar
733-Emulacion de HASP4 con el nuevo driver HASP HL por Lionel.rar
797-Desempacar HASP HL 2.16 _ Hilo por karmany.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/101-200>
127-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 1.rar
132-Otro HASP - PARTE 1.rar
133-OTRO HASP - PARTE 2.rar
134-OTRO HASP - PARTE 3.rar
129-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 3.rar
128-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 2.rar
135-Resolviendo el Crackme con HASP por Shadow&Dark.rar
139- TERCER HASP PROGRAMA ARQ + CC parte 1.rar
140-TERCER HASP PROGRAMA ARQ + CC parte 2.rar
141-TERCER HASP PROGRAMA ARQ + CC parte 3.rar
142-Trace.exe un HASP de Cimagrafi _primax.rar
148- PROGRAMA TEOWIN INSTALADO COMO TIME HASP (parte1) (NO INCLUYE PROGRAMA).rar
149- PROGRAMA TEOWIN INSTALADO COMO TIME HASP parte 2 final.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1259- Hasp HL cracking tools with movie Tut by dave_omirora .7z
1229-Emulando HASP4 SIN Mochila - Parte Ia. Comenzando con Los Servicios+por+El+Cid.pdf.zip
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/701-800/733-Emulacion%20de%20HASP4%20con%20el%20nuevo%20driver%20HASP%20HL%20por%20Lionel.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
734-Loader Debugger para un programa protegido con HASP por Lionel.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1223-studio inicial eutron smartkey por Lionel.pdf
1213-Otra mochila Sentinel por Lionel.pdf
1204-Eliminando shell de Sentinel por Lionel.pdf
Sentinel
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/901-1000>
983-SentinelLM.pdf.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1229-Emulando HASP4 SIN Mochila - Parte Ia. Comenzando con Los Servicios+por+El+Cid.pdf.zip
1298-Estudio_de_una_Proteccion_Hardlock_por_El_Cid.pdf
otros mas en ingles:
http://tuts4you.com/download.php?list.15
are:
Advanced Study on FLEXlm System [ Unknown Author ]
Beginners Quick & Dirty Dongle Patching [ Resrever ]
HASP HL Envelope 1.x (Unpacking) [ Zipdecode ]
HASP SL - A Deeper Dig [ Potassium ]
PACE iLok (Unpacking) [ Quosego ]
Sentinel SuperPro (Removing Dongle Protection) [ Shub-Nigurrath ]
tambien mediafire.com/apuromafo en ingenieria inversa, tutoriales dongles
el link es :
http://www.mediafire.com/apuromafo#7bhm0xsi34cu2,1
otras de pago:
http://foro.elhacker.net/ingenieria_inversa/iquestno_hay_nada_mas_actual_sobre_mochilas_hasp-t163921.0.html
#1044
Ingeniería Inversa / Re: opinion
15 Junio 2011, 20:42 PMCita de: mutanteHenry en 15 Junio 2011, 00:04 AM
MIL GRACIAS, no me faltan ganas de aprender, sino ojos, ahora se por lo menos el nombre por donde empezar... mochilas
mil gracias de nuevo, lo del tuto de narvaja lo estoy leyendo, pero ya saben que son como 700 paginas
saludos
Citarhttp://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/
la mas rapida para lectura es en .pdf
Citarhttp://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/EN%20FORMATO%20PDF%20por%20OTUP/
animo y se que se puede
ademas hay buscador para palabras clave:
http://ricardonarvaja.info/WEB/buscador.php
dongle:
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
763-Crackeando um Dongle PROTEQ C50032 com uso de uma dll - por RUMBLE.rar
785-Beginners dongle part 1 y 2 English.rar
mochila:
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/901-1000>
939-Tutorial Mochilas.rar
984-HASP4+.NET_en_mi_mochila_por_Mintaka.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
784-Emulando una mochila Sentinel SuperPro por Lionel.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/101-200>
129-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 3.rar
128-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 2.rar
127-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 1.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1213-Otra mochila Sentinel por Lionel.pdf
1229-Emulando HASP4 SIN Mochila - Parte Ia. Comenzando con Los Servicios+por+El+Cid.pdf.zip
Hasp:
48 archivo(s) encontrado(s).
<http://ricardonarvaja.info/WEB/CONCURSOS VIEJOS/CONCURSOS 2004-2006/CONCURSO 57>
541-Desempacado de HASP Envelope en una DLL utilizando emulador - por marciano.zip
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/201-300>
240-Lidiando con un HASP - ScanVec Inspire 1.1 por ICE CUBE.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/601-700>
687-Inline_Emulation_of_HASP4_PartI_HighEnergy.rar
646-Manually_Unpacking_HASP_SL_by_potassium_v1_1.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
734-Loader Debugger para un programa protegido con HASP por Lionel.rar
733-Emulacion de HASP4 con el nuevo driver HASP HL por Lionel.rar
797-Desempacar HASP HL 2.16 _ Hilo por karmany.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/101-200>
127-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 1.rar
132-Otro HASP - PARTE 1.rar
133-OTRO HASP - PARTE 2.rar
134-OTRO HASP - PARTE 3.rar
129-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 3.rar
128-Comenzando suave a entender mochilas Hasp con OLLYDBG parte 2.rar
135-Resolviendo el Crackme con HASP por Shadow&Dark.rar
139- TERCER HASP PROGRAMA ARQ + CC parte 1.rar
140-TERCER HASP PROGRAMA ARQ + CC parte 2.rar
141-TERCER HASP PROGRAMA ARQ + CC parte 3.rar
142-Trace.exe un HASP de Cimagrafi _primax.rar
148- PROGRAMA TEOWIN INSTALADO COMO TIME HASP (parte1) (NO INCLUYE PROGRAMA).rar
149- PROGRAMA TEOWIN INSTALADO COMO TIME HASP parte 2 final.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1259- Hasp HL cracking tools with movie Tut by dave_omirora .7z
1229-Emulando HASP4 SIN Mochila - Parte Ia. Comenzando con Los Servicios+por+El+Cid.pdf.zip
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/701-800/733-Emulacion%20de%20HASP4%20con%20el%20nuevo%20driver%20HASP%20HL%20por%20Lionel.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/701-800>
734-Loader Debugger para un programa protegido con HASP por Lionel.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1223-studio inicial eutron smartkey por Lionel.pdf
1213-Otra mochila Sentinel por Lionel.pdf
1204-Eliminando shell de Sentinel por Lionel.pdf
Sentinel
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/901-1000>
983-SentinelLM.pdf.rar
<http://ricardonarvaja.info/WEB/CURSO NUEVO/TEORIAS NUMERADAS/1201-1300>
1229-Emulando HASP4 SIN Mochila - Parte Ia. Comenzando con Los Servicios+por+El+Cid.pdf.zip
1298-Estudio_de_una_Proteccion_Hardlock_por_El_Cid.pdf
#1045
Ingeniería Inversa / Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
14 Junio 2011, 02:32 AM
entonces doy por hecho que lo desempacaste, felicidades ^^
#1046
Ingeniería Inversa / Re: Duda sobre el Ollydbg
14 Junio 2011, 02:32 AM
en ollydbg 2 es
EDIT-> copy to executable
saludos Apuromafo
EDIT-> copy to executable
saludos Apuromafo
#1047
Ingeniería Inversa / Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
13 Junio 2011, 23:10 PM
el largo esta mal..es solo eso..los datos recuerda restar la imagebase..eso es todo
#1048
Ingeniería Inversa / Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
13 Junio 2011, 23:04 PM
a mi me corre de lo mas bien:
datos para el import rec
oep: 00040300 (oep-imagebase)
RVA:000430F0 (comienzo iat-imagebase)
largo 584 (final de la iat..)
y el dump de la primera sección con import rec..
datos para el import rec
oep: 00040300 (oep-imagebase)
RVA:000430F0 (comienzo iat-imagebase)
largo 584 (final de la iat..)
y el dump de la primera sección con import rec..
#1049
Ingeniería Inversa / Re: opinion
13 Junio 2011, 22:10 PM
opinion:
cuando uno lee las chinchetas hay comentarios interesantes:
http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html
ahi encontraras el curso de ricardo entre algun escrito o enlace de ahi.
te sugiero:
->primero analizar, con PID, con exeinfoPE, RDG, y otros (PE scan. aveces puedes saber en que esta compilado, en que proteccion te enfrentas o algun tip curioso)
tutoriales hay varios
entre guias o apuntes de dongle, mochilas, emulacion hasp y otros hay bastante material, lo que falta es las ganas de aprender, y leer..espero no sea tu caso
ricardonarvaja escribio tutoriales, y tambien considera los dongles, favor leerlos y luego revisar denuevo y seguir aqui:
http://foro.elhacker.net/ingenieria_inversa/tutoriales_sobre_emulacion_estudio_y_desempacado_de_dongles_mochilas-t328593.0.html
cuando uno lee las chinchetas hay comentarios interesantes:
http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html
ahi encontraras el curso de ricardo entre algun escrito o enlace de ahi.
te sugiero:
->primero analizar, con PID, con exeinfoPE, RDG, y otros (PE scan. aveces puedes saber en que esta compilado, en que proteccion te enfrentas o algun tip curioso)
tutoriales hay varios
entre guias o apuntes de dongle, mochilas, emulacion hasp y otros hay bastante material, lo que falta es las ganas de aprender, y leer..espero no sea tu caso
ricardonarvaja escribio tutoriales, y tambien considera los dongles, favor leerlos y luego revisar denuevo y seguir aqui:
http://foro.elhacker.net/ingenieria_inversa/tutoriales_sobre_emulacion_estudio_y_desempacado_de_dongles_mochilas-t328593.0.html
#1050
Ingeniería Inversa / Re: Ayuda con OEP de unpackme- FSG 1.31 - dulek
13 Junio 2011, 22:05 PM
abro el depurador
y bajo hacia abajo
00478083 FF37 PUSH DWORD PTR DS:[EDI]
00478085 AF SCAS DWORD PTR ES:[EDI]
00478086 EB 09 JMP SHORT unpackme.00478091
00478088 FE0F DEC BYTE PTR DS:[EDI]
0047808A -0F84 7082FCFF JE unpackme.00440300
00478090 57 PUSH EDI
00478091 55 PUSH EBP
00478092 FF53 04 CALL DWORD PTR DS:[EBX+4]
00478095 8906 MOV DWORD PTR DS:[ESI],EAX
00478097 AD LODS DWORD PTR DS:[ESI]
00478098 85C0 TEST EAX,EAX
0047809A ^75 D9 JNZ SHORT unpackme.00478075
0047809C 8BEC MOV EBP,ESP
0047809E C3 RETN
el salto al oep indica que es 440300, una estructura de delphi
la primera entrada indica
00405DC4 -FF25 EC314400 JMP DWORD PTR DS:[4431EC] ; kernel32.GetModuleHandleA
comenzando en el dump
004430EC 00000000
->004430F0 7C809737 kernel32.GetCurrentThreadId
004430F4 7C92188A ntdll.RtlDeleteCriticalSection
004430F8 7C9110ED ntdll.RtlLeaveCriticalSection
004430FC 7C911005 ntdll.RtlEnterCriticalSection
00443100 7C809FA1 kernel32.InitializeCriticalSection
$+558 >58C72777 comctl32.ImageList_BeginDrag
$+55C >58C3C035 comctl32.ImageList_Remove
$+560 >58C4129B comctl32.ImageList_DrawEx
$+564 >58C491C9 comctl32.ImageList_Draw
$+568 >58C42F51 comctl32.ImageList_GetBkColor
$+56C >58C3C2B8 comctl32.ImageList_SetBkColor
$+570 >58C3D440 comctl32.ImageList_ReplaceIcon
$+574 >58C729E3 comctl32.ImageList_Add
$+578 >58C3E1C2 comctl32.ImageList_GetImageCount
$+57C >58C3BD2E comctl32.ImageList_Destroy
$+580 >58C3BB5B comctl32.ImageList_Create
$+584 >00000000
y bajo hacia abajo
00478083 FF37 PUSH DWORD PTR DS:[EDI]
00478085 AF SCAS DWORD PTR ES:[EDI]
00478086 EB 09 JMP SHORT unpackme.00478091
00478088 FE0F DEC BYTE PTR DS:[EDI]
0047808A -0F84 7082FCFF JE unpackme.00440300
00478090 57 PUSH EDI
00478091 55 PUSH EBP
00478092 FF53 04 CALL DWORD PTR DS:[EBX+4]
00478095 8906 MOV DWORD PTR DS:[ESI],EAX
00478097 AD LODS DWORD PTR DS:[ESI]
00478098 85C0 TEST EAX,EAX
0047809A ^75 D9 JNZ SHORT unpackme.00478075
0047809C 8BEC MOV EBP,ESP
0047809E C3 RETN
el salto al oep indica que es 440300, una estructura de delphi
la primera entrada indica
00405DC4 -FF25 EC314400 JMP DWORD PTR DS:[4431EC] ; kernel32.GetModuleHandleA
comenzando en el dump
004430EC 00000000
->004430F0 7C809737 kernel32.GetCurrentThreadId
004430F4 7C92188A ntdll.RtlDeleteCriticalSection
004430F8 7C9110ED ntdll.RtlLeaveCriticalSection
004430FC 7C911005 ntdll.RtlEnterCriticalSection
00443100 7C809FA1 kernel32.InitializeCriticalSection
$+558 >58C72777 comctl32.ImageList_BeginDrag
$+55C >58C3C035 comctl32.ImageList_Remove
$+560 >58C4129B comctl32.ImageList_DrawEx
$+564 >58C491C9 comctl32.ImageList_Draw
$+568 >58C42F51 comctl32.ImageList_GetBkColor
$+56C >58C3C2B8 comctl32.ImageList_SetBkColor
$+570 >58C3D440 comctl32.ImageList_ReplaceIcon
$+574 >58C729E3 comctl32.ImageList_Add
$+578 >58C3E1C2 comctl32.ImageList_GetImageCount
$+57C >58C3BD2E comctl32.ImageList_Destroy
$+580 >58C3BB5B comctl32.ImageList_Create
$+584 >00000000