Mensajes

Lo acabo de leer, no conocía ese programa para activar botones; pues nada gracias, muy buen tuto para iniciarse

Aquí tienes varios manuales, están en inglés casi todos

http://www.tuts4you.com/download.php?150.list.11.50.download_name.ASC

Lo acabo de compilar con el dev c++ y me funciona bien



Te paso mi ollydbg.ini, por si fuera algún problema de configuración. Supongo que estás usando un olly en condiciones, versión 1.10.

http://rapidshare.com/files/142382430/ollydbg.ini.html

Los pasos son:
- cargar el exe en olly
- botón derecho, search for / all intermodular calls
- pinchas dos veces sobre msvcrt.prinft lo que te llevará a la línea donde está esa llamada
- barra espaciadora y te aparece el comando, donde ves la dirección a la que apunta el call
- situándote en esa dirección, ya ves la dirección que te he puesto en la imagen

Igual te preguntas por qué no hay un call directo: CALL 77C1186A
La razón es porque esas direcciones de las funciones que exportan las dll son variables, pueden cambiar según el sistema operativo, o incluso usando el mismo s.o. Entonces lo que hacen los programas es tener una tabla de direcciones, la IAT, que el s.o. rellena con dichas direcciones al cargar el ejecutable en memoria. Entonces, la llamada de hace forma indirecta. La razón de que NO sea un CALL [dir] que es más directo que un CALL a un JMP [dir], como estás viendo, no la recuerdo ahora mismo.

Teniendo el exe para echarle un vistazo sería de ayuda.

He mirado las opciones de olly, y ninguna produce lo que a ti te pasa.

De todas formas, si sobre ese comando pulsas la barra espaciadora, verás la dirección de esa llamada, que si la sigues, te debe conducir a la dirección de esa función dentro de la msvcrt.

El plug-in lo puedes bajar de:
http://tuts4you.com/download.php?view.85

Ahí verás dentro de la carpeta i386 el sys. Nunca lo he usado, no te puedo ayudar.

Según comentan:
http://www.woodmann.com/forum/archive/index.php/t-9317.html

desmarca la casilla

Options/Debugging options/Exceptions/Single-step break

CD ONE: (700MB. Each part 100MB)

Código [Seleccionar] Expandir

http://rapidshare.com/files/139865742/CRKKIT_2010_CD1.part1.rar
http://rapidshare.com/files/139871508/CRKKIT_2010_CD1.part2.rar
http://rapidshare.com/files/139877181/CRKKIT_2010_CD1.part3.rar
http://rapidshare.com/files/139882522/CRKKIT_2010_CD1.part4.rar
http://rapidshare.com/files/139887801/CRKKIT_2010_CD1.part5.rar
http://rapidshare.com/files/139854534/CRKKIT_2010_CD1.part6.rar
http://rapidshare.com/files/139860050/CRKKIT_2010_CD1.part7.rar

CD TWO: (450MB. Each part 100MB)

Código [Seleccionar] Expandir

http://rapidshare.com/files/140335058/CRKKIT_2010_CD2.part1.rar
http://rapidshare.com/files/140331307/CRKKIT_2010_CD2.part2.rar
http://rapidshare.com/files/140332761/CRKKIT_2010_CD2.part3.rar
http://rapidshare.com/files/140331381/CRKKIT_2010_CD2.part4.rar
http://rapidshare.com/files/140329781/CRKKIT_2010_CD2.part5.rar


Lo ha posteado ZZZXXX en woodmann. Igual puede ser interesante

Le eché un vistazo ayer y vi que no era un vb normal, así que de momento, hasta que que no aprenda más sobre estructura de programas en vb, no intentaré siquiera resolverlo. En fin, este post inútil es para agradecerte el aporte.

Aún no me he metido en el tema de desempacar, pero cuando lo haga:

- Estudiaré la estructura de un PE:
http://www.tuts4you.com/download.php?view.235
- Y me leeré todos los manuales que pueda sobre el tema, empezando con packers simples, como el upx, y luego subiendo en dificultad.

No sé qué nivel de conocimientos tienes, pero para saber desempacar un programa necesitas saber bastante: saber qué trucos antidebugger tiene, encontrar el OEP, restaurar la IAT, etc.

Probablemente no es esta la respuesta que buscas, pero bueno 

Lo acabo de leer, muy detallado todo, muchas gracias