Mensajes

Lo primero que debes saber es el formato de la dll. ¿Es realmente una dll?¿Tiene formato PE?
PE: The Portable Executable (PE) format is a file format for executables, object code and DLLs, used in 32-bit and 64-bit versions of Windows operating systems.

A mí no me gusta que lo abras con un editor básico como el notepad, porque luego al guardarlo puedes perder involuntariamente mucha información.

¿La dll se puede cargar en OllyDBG? ¿Te muestra código.?

Pero antes de nada, yo me pregunto lo principal: ¿Para qué quieres solo agregar cadenas de texto? ¿Y la funcionalidad? Deberás luego programar en ensamblador el código para que te dé esos datos que quieres agregar no?

El programa multiextractor es también muy bueno para esto. Lee este ejemplo que hicimos en el subforo de ingeniería inversa.

http://foro.elhacker.net/ingenieria_inversa/tutorial_para_modificar_programas_ej_10_redimensionar_matrizvb_19jul2010-t134513.0.html;msg1311424#msg1311424

Si no lo consigues, déjanoslo en descarga para probar.

Solo me conecté hoy para darte las gracias por ese código. ¡Qué interesante!

Realmente esta es una triste noticia y más de un usuario que ha colaborado con tantos mensajes en el foro.

Yo quiero decirte que todos los que llevamos tiempo en el foro y colaboramos asiduamente, creo que también hemos tenido alguna vez la idea de "mandar todo al carajo".

Bueno, yo espero que solo sea un punto y seguido y cuando pase el tiempo y dispongas de él, puedas venir a disfrutar sin sentir que sea una obligación.

...lo siento karmany te he hecho perder el tiempo, pero os prometo que no lo voy a volver a hacer. un saludo a todos.

¡Qué va! No tienes que pedir perdón por esto. Para eso está un foro, para que los usuarios pregunten sus dudas. Puedes preguntar tranquilamente todas tus dudas.
Los demás usuarios te intentarán ayudar u orientar.

Me sienta mal que digas "que no lo voy a hacer" porque pienso que no has hecho nada malo y el foro está para preguntar. Por muy tontería que sea, haz tu pregunta, ya que tu duda resolverá la duda de otros que también comienzan.

Parece ser que ese programa no está empacado. Es decir, que posiblemente el OEP sea el que aparece cuando cargas el programa en OllyDBG.

tipeo HE ThunRTMain me dice comando desconocido, "Unknown identifier" lo siento no se ponerlo es la primera vez que veo ThunRTMain, me pondre a estudiarlo enseguida lo siento.

Eso es porque no se ha cargado la librería de Visual Basic. ¿Estás seguro que es un Visual Basic? ¿Qué dice RDG Packer Detector?

Ejecuta el programa. Pulsa F9.

En el momento que arranque páusalo: F12

Y ahora pon un Hardware Breakpoint en  ThunRTMain. Un BP no te valdrá para nada.
Y reinicia.

Para VB en Código Nativo es muy sencillo porque la primera call llamada es:
ThunRTMain


Así que en OllyDBG pon un BP/HBP ahí y darás con el OEP enseguida.

Un OEP característico de VB6 nativo es este: (OEP = 00401408)

Código (asm) [Seleccionar] Expandir

004013FA  - FF25 80104000   jmp near dword ptr ds:[401080]           ; MSVBVM60.EVENT_SINK_Release
00401400  - FF25 D4104000   jmp near dword ptr ds:[4010D4]           ; MSVBVM60.ThunRTMain
00401406    0000            add byte ptr ds:[eax],al
00401408    68 48794000     push 407948                              ; ASCII "VB5!6&VB6ES.DLL"
0040140D    E8 EEFFFFFF     call 00401400                            ; jmp to MSVBVM60.ThunRTMain

Es que lo suyo es analizarlo con un editor o visor de PE. Con el mismo OllyDBG 1.10 se puede hacer perfectamente.

Carga el ejecutable en OllyDBG 1.10 y en la ventana de dump ve a la dirección virtual donde se haya cargado el ejecutable y pulsa botón derecho → Special → PE header

De todos modos si The Swash te ha dicho que es tema de Bound Import, ya te lo puedes creer.

El tema ha sido movido a ASM.

http://foro.elhacker.net/index.php?topic=361722.0