Jak Napisać Loader Spakowanego Programu?

[Teesik]

Przy pewnym crackme(dokładnie crackme duelista nr.5, pierwszy link w moim poprzednim temacie) w pliku info jest taki fragment:

Welcome to my Crackme #5, which has the goal to

introduce newbie/medium crackers to the new

generation of patchers that are growing: memory

patchers or loaders.

Więc nie wdając się w sposób jaki ta aplikacja jest spakowana, StepOver'em udało mi się dotrzeć jakoś do OEP. Poprawiając jeden skok można spokojnie ominąć wstępny MsgBox, rozwiązanie w Ollym w pełni działa...

Ale gdy dochodzi do pisania loadera to trafiam na pewne problemy:

Ogólnie to sens pisania loadera jest taki -

1.CreateProcess z flagą SUSPENDED

2.Bawię się dowoli WriteProcessMemory poprzez hProcess które uzyskuję z ProcessInformation

3.ResumeThread

Tyle że to rozwiązanie nie chce działać, bo program jest spakowany >.>

Żeby jakoś to rozwiązać i napisać działający loader powinienem poznać algorytm jaki kryje się za tamtym packerem("not found" w peid, jakaś produkcja własna), czy istnieje jakaś prostsza opcja? np.postawienie breakpointa z poziomu c++ gdzieś po OEP?

[MrOMGWTF]

wiedziałem że to będzie pytanie a nie tutorial...

[Osama]

Zgraj rozpakowany plik ollym i pracuj na tym rozpakowanym?

[OmegaArma]

Wrzuć do olly-ego, naciśnij na tak gdy zapyta czy analizować, naciśnij raz F7, z prawej w rejestrach kliknij na esp>>follow in dump, zaznacz pierwsze 4 bajty, ppm>>breakpoint on hardware>on access>>dword.\

Teraz kliknij na play, poczekaj chwile i spróbuj zrobić dumpa, wątpię żeby ta metoda podziałała, ale zawsze warto spróbować:P