Siguiendo la rutina otro packer tambien sencillo, pero de todo se aprende...
Primero ejecutamos el RDG Packer Detector y verificamos con que esta packeado...
![](http://img375.imageshack.us/img375/1459/45166230.png)
Abrimos con el OllyDBG y observamos su EP...
![](http://img85.imageshack.us/img85/8044/70231364.png)
Lo que haremos sera ejecutar hasta el ret mas cercano esto en el menu debug - "Execute till return"
![](http://img26.imageshack.us/img26/2365/97230350.png)
Caemos en el y lo pasaremos con F8...
![](http://img214.imageshack.us/img214/4499/42415827.png)
Y vaya sorpresa la primera instruccion un pushad y un aspecto muy parecido al Aspack...
![](http://img146.imageshack.us/img146/4084/82004480.png)
En esta ocasion lo que haremos sera buscar por una cadena hexadecimal el posible salto al OEP ya sabiendo que su estructura es similar o igual al Aspack...
![](http://img149.imageshack.us/img149/2869/81120980.png)
Escribimos la cadena 68 00 00 00 00 C3 que corresponde a las instrucciones
PUSH 0
RET
![](http://img524.imageshack.us/img524/1887/81504144.png)
Y nos la encontramos y observamos que mas arriba esta el POPAD asi la misma forma del Aspack por eso nos comprueba que si es el camino al OEP...
![](http://img177.imageshack.us/img177/5232/39455784.png)
Pondremos un BreakPoint en la instruccion RET y con F9 o run corremos para que pare ahi y nos lleve al OEP...
![](http://img63.imageshack.us/img63/4126/27531894.png)
Paramos en el OEP y dumpearemos...
![](http://img529.imageshack.us/img529/7366/s10v.png)
Dumpeamos con la opcion de Rebuild Import desmarcada ya que es mejor y mas confiable con el IREC...
![](http://img801.imageshack.us/img801/8881/s11x.png)
Abrimos el IREC y seleccionamos el proceso, pondremos el verdadero OEP sin image base ==> 0x271B0, click en IAT AutoSearch, Click en Get Import y vemos que todas estan funcionando y Click en Fix Dump... y seleccionamos el dumpeado...
![](http://img259.imageshack.us/img259/8283/s12c.png)
Comprobamos con el RDG que esta sin packer y el lenguaje de programacion...
![](http://img827.imageshack.us/img827/2436/s13q.png)
Verificamos que el ejecutable haya quedado funcional y bien...
![](http://img718.imageshack.us/img718/727/s14v.png)
Feliz Cracking
Saludos
CronuX