Hola ahora volviendo a revisar algunos packer, son sencillos pero de ellos se aprende algo, esta vez un sencillisimo packer que a simple vista deja ver el salto al OEP y no destruye la tabla de importaciones ni nada por el estilo...
Primero ejecutamos el RDG Packer Detector y observamos que esta empacado con el DalKrypt...
![[Imagen: 44548791.png]](http://img256.imageshack.us/img256/1475/44548791.png)
Lo abrimos con el OllyDBG y observamos a grandes rasgos su estructura, su EP y al final de este nos muestra un salto a EDI...
![[Imagen: 63405520.png]](http://img708.imageshack.us/img708/4595/63405520.png)
Tan sospechoso este salto que le ponemos un breakpoint y le damos run o F9 y al caer ahi observamos que el registro EDI vale 0x4271B0 ==> OEP
![[Imagen: 68603009.png]](http://img832.imageshack.us/img832/7396/68603009.png)
Lo pasamos con F8 y caemos justamente en el OEP...
![[Imagen: 13852144.png]](http://img813.imageshack.us/img813/3303/13852144.png)
Dumpeamos el ejecutable y desmarcamos la casilla de Rebuild Import ya que lo haremos con el IREC...
![[Imagen: 86775002.png]](http://img541.imageshack.us/img541/254/86775002.png)
Abrimos el IREC y seleccionamos el proceso y colocamos en el OEP sin la ImageBase es decir 0x4271B0 - 0x400000 = 0x271B0 y click en boton IAT AutoSearch
![[Imagen: 73464911.png]](http://img836.imageshack.us/img836/9444/73464911.png)
Le damos click en el boton Get Import, Despues de ver que no hay API invalidas y esta todo correcto le damos click al boton Fix Dump y seleccionamos el dumpeado que hicimos anteriormente...
![[Imagen: 43214252.png]](http://img84.imageshack.us/img84/447/43214252.png)
Revisamos de nuevo con el RDG para observar que ya nos muestra el compilador y que no esta empacado...
![[Imagen: 65638336.png]](http://img515.imageshack.us/img515/9666/65638336.png)
Y ejecutamos para verificar que quedo funcional el ejecutable, y modificamos las string para comprobar...
![[Imagen: 46167179.png]](http://img233.imageshack.us/img233/1134/46167179.png)
Feliz Cracking
Saludos
CronuX
