Mensajes

Para intentar ayudarte tendrías que ser un poco más explícito.

Se pueden unir archivos de muchísimas formas... intenta poner tu duda con más detalles...

No tengo muy claro exactamente lo que quiers hacer...

Saludos y bienvenido al foro.

Para evitar esa alerta, tienes dos opciones:

1) Modificar con un editor de encabezado el valor "Base of code" a su valor correspondiente.
2) Utilizar el plugin OllyAdvanced que permite saltar esta advertencia:
http://tuts4you.com/download.php?view.75

Le he echado un vistazo y pienso lo mismo que Tena.
OEP = 00410579
Compilador = Visual C++

La IAT está destruída y está en una sección que ha creado en ejecución. Es muy curioso cómo llama a las funciones... Es muy fácil saber cuál es cada API pero repararla requiere tiempo..

Voy a probar si ImportRe tiene algún plugin o puede trazarlo adecuadamente.

Edit. Para hacerlo todo rápidamente habrá que programar un plugin para ImportRe porque a mano es lento.(son muchas). Las  funciones son llamadas así:

Código [Seleccionar] Expandir

00A9163E    0000            add byte ptr ds:[eax],al
00A91640    0000            add byte ptr ds:[eax],al
00A91642    50              push eax
00A91643    60              pushad
00A91644    B8 03010000     mov eax,103
00A91649    68 10B24805     push 548B210
00A9164E  - FF25 82CF4D00   jmp near dword ptr ds:[4DCF82]           ; Copia_de.004DB88E

He echado un vistazo al código.

Algunas secciones no se observa correctamente el nombre de la misma, esto es porque lo haces así:

Código [Seleccionar] Expandir

wsprintf(sName,"%s",ISH->Name);

Para que los nombres se vean correctamente, es mejor no utilizar wsprintf, de este siguiente modo se verán correctos:

Código [Seleccionar] Expandir

lstrcpyn(&sName, LPCSTR(ISH->Name), 9); //el máximo son 8 caracteres. lo he hecho para VC.

Creo que con las importaciones pasa algo parecido...
Un saludo

Edit...
Parece una tontería pero queda mucho mejor que los valores hexadecimales estén con formato de 8 bytes, es decir, en vez de hacer así:

Código [Seleccionar] Expandir

wsprintf(sVOffset,"%X",ISH->VirtualAddress);

hacerlo así:

Código [Seleccionar] Expandir

wsprintf(sVOffset,"%08X",ISH->VirtualAddress);

Interesante proyecto..

Quiero comentar que cuando haces lo siguiente:

Código [Seleccionar] Expandir

ISH->SizeOfRawData=ISH->SizeOfRawData+0x200;

No siempre el valor que hay que sumar es 200h bytes, esto depende del valor de file alignment. Tiene que ser:

Código [Seleccionar] Expandir

ISH->SizeOfRawData=ISH->SizeOfRawData+múltiplo de file alignment;

La sección (intermedia) la puedes agrandar hasta un máximo del valor de Virtual size (ocupando la sección). La última sección puede tener un valor no múltiplo de file alignment y el programa funcionará correctamente.

He visto que preguntabais por el valor de SizeofImage. Este valor es la suma de la memoria virtual y es importantísimo ponerlo bien porque si no no funcionará. Tiene que ser múltiplo de Section Alignment redondeando por arriba.

Los valores de Virtual Address pueden no ser múltiplos de section alignment y normalmente indican dónde acaba realmente el código.(lo que ocupa).

Todo esto lo comento porque yo he hecho una aplicación para añadir bytes en secciones y me encontré con estos problemas.
Imagen:

[CRACKME: NaXoS 2.0 por [Everth]]

CRACKME: NaXoS 2.0 por [Everth]

Autor: [Everth]
Nombre: Crackme NaXoS v2.0
Fecha: 26 de agosto de 2009
Tamaño: 250 KB
Hash MD5: ed7653cc86e34ab89eb54de250b29d3d
Compilador y/o Packer: UPX -> Borland C++
Objetivos:
1. Realizar keygen.
2. Encontar tu serial valido.
3. Parchea el crackme.
Dificultad: ? (1-10).
Descarga del crackme:
mismo link.
Post Original:
http://foro.elhacker.net/ingenieria_inversa/naxos_20-t265394.0.html
Tutorial con la solución:
Solucionado por ThUnDeR_07
Link tute:
http://sites.google.com/site/thundercrackslatinos/Home/tutes/Solucion_NaXoS2_0.rar?attredirects=0

¿Verdad que no se le puede poner una nueva sección a un programa hecho en VB?
Gracias!!!

Eso es falso. Añade una nueva sección a un VB y después desde un editor de PE header modifica los siguientes valores:
Bound Import RVA y Bound Import size y los pones a cero. Y ya funcionará correctamente.

[14 de agosto de 2009 Nueva versión plugin Olly Avanced 1.27]

14 de agosto de 2009 Nueva versión plugin Olly Avanced 1.27

Uno de los plugins más importantes para la solución de distintos bugs en OllyDbg v1.10 y la ocultación del mismo. Realmente una herramienta imprescindible y recién sacada del horno.
Este plugin es trabajo de MaRKuS TH-DJM y la nueva versión es la 1.27. Las anteriores creo que todas fueron beta.

Enlace:
http://tuts4you.com/download.php?view.75

Hola krc_4u, ¡cuánto tiempo sin saber de tí!

Realmente mi mensaje no te va a solucionar nada, ya que no he utilizado Corso. Ya he visto tus últimos mensajes y estás interesado en Visual FoxPro y ya sé que hay bastante poca información al respecto, yo tampoco conozco mucha más. Yo alguna vez he utilizado algún descompilador pero no tengo mucha más experiencia que esa y si no se conoce bien ese lenguaje sí que es complejo.

Espero tengas suerte y me alegro de verte por akí.
Un saludo

1º) La IAT con OllyDBG no lo estás haciendo bien o no entiendo cómo lo estás haciendo porque:
00408088  push eax;  PCX1000.008B0EB8
no es un salto a ninguna función, salta al mismo exe, entonces no puede ser...

2º) Con IRec: "no aparece ninguna entrada inválida, solo aparecen 573 entradas que son válidas"...
-De eso se trata... ¿por qué no pruebas cuando tengas todas válidas a pulsar en "Fix Dump" y seleccionas tu dumpeado?