Otro packer bastante sencillo, y seguimos aprendiendo formas de llegar al OEP y seguimos mirando posibilidades que se nos presentan para llegar a este...
Abrimos el RDG Packer Detector y al parecer esta un poco desactualizada la signature pero igual nos da el nombre del Packer...
![](http://img241.imageshack.us/img241/8373/20435143.png)
Abrimos con el OllyDBG y observamos su EP y a grandes rasgos su rutina...
![](http://img708.imageshack.us/img708/883/45121433.png)
Traceamos hasta llegar a esta call...
![](http://img716.imageshack.us/img716/5430/77698919.png)
Vamos a los registros y en el registro ESP le damos click derecho, follow in dump...
![](http://img6.imageshack.us/img6/7024/70448973.png)
En el dump ponemos un breakpoint, hardware...
![](http://img293.imageshack.us/img293/286/61165597.png)
Nos aparece una nueva ventana y seleccionamos "Access - Dword" y click en Ok
![](http://img207.imageshack.us/img207/5261/58186059.png)
Le damos a run o F9 y caemos en esta zona...
![](http://img139.imageshack.us/img139/5489/86309245.png)
Analizamos el codigo para ver las verdaderas instrucciones...
![](http://img80.imageshack.us/img80/93/86365205.png)
Empezamos a tracear y cuando le damos en F8 en la primera call que encontramos nos para en el OEP...
![](http://img181.imageshack.us/img181/33/22801440.png)
Abrimos el IREC y seleccionamos el proceso... y con click derecho, Advanced Commands, Select Code Section(s)
![](http://img246.imageshack.us/img246/999/h10.png)
Con la opcion solo de la section .text le damos click en el boton Full Dump y guardamos...
![](http://img443.imageshack.us/img443/568/h11q.png)
Ahora si ponemos el OEP sin la image base ==> 0x271B0 Click en boton IAT AutoSearch, Get Import y Fix Dump y arreglamos el dumpeado que anteriormente hicimos...
![](http://img515.imageshack.us/img515/7979/h12u.png)
Lo analizamos con el RDG y observamos que ya no esta empacado y observamos el lenguaje en que fue hecho...
![](http://img710.imageshack.us/img710/7011/h13p.png)
Por ultimo ejecutamos para comprobar el funcionamiento del ejecutable y todo correcto...
![](http://img691.imageshack.us/img691/8971/h14.png)
Feliz Cracking
Saludos
CronuX