| Сейчас на форуме: ManHunter, Magister Yoda, rtsgreg1989 (+10 невидимых) |
 |
eXeL@B —› Основной форум —› Всезнающий @all что это может быть ? |
| Посл.ответ | Сообщение |
|
|
Создано: 12 июня 2005 21:14 · Личное сообщение · #1 Помогите разобратся с такой зверюгой : Создаёт два процесса , 1 распаковщик другой имхо сама прога , оба прога ессно дампится не хочет Содержит только одну секцию .text Начинается так ... 00401A95 > 55 PUSH EBP 00401A96 8BEC MOV EBP,ESP 00401A98 B8 85FC0523 MOV EAX,2305FC85 00401A9D BB A92B2FAD MOV EBX,AD2F2BA9 00401AA2 50 PUSH EAX 00401AA3 E8 00000000 CALL JE338.00401AA8 00401AA8 58 POP EAX 00401AA9 2D A81A0000 SUB EAX,1AA8 00401AAE B9 6D1A0000 MOV ECX,1A6D 00401AB3 BA 211B0000 MOV EDX,1B21 00401AB8 BE 00100000 MOV ESI,1000 00401ABD BF C0530000 MOV EDI,53C0 00401AC2 BD F01A0000 MOV EBP,1AF0 00401AC7 03E8 ADD EBP,EAX 00401AC9 8175 00 DAA2735F XOR DWORD PTR SS:[EBP],5F73A2DA 00401AD0 8175 04 5F813D14 XOR DWORD PTR SS:[EBP+4],143D815F 00401AD7 8175 08 E4485C6F XOR DWORD PTR SS:[EBP+8],6F5C48E4 00401ADE 8175 0C 69F9EC0B XOR DWORD PTR SS:[EBP+C],0BECF969 00401AE5 8175 10 EE920CE6 XOR DWORD PTR SS:[EBP+10],E60C92EE Расшифровывают код ниже 00401AEC 03C8 ADD ECX,EAX 00401AEE 03D0 ADD EDX,EAX 00401AF0 D952 70 FST DWORD PTR DS:[EDX+70] 00401AF3 A7 CMPS DWORD PTR DS:[ESI],DWORD PTR ES:[ED> 00401AF4 02D1 ADD DL,CL 00401AF6 B6 D1 MOV DH,0D1 00401AF8 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command 00401AF9 -66:77 84 JA SHORT 00001A80 Спасибо!  |
|
|
Создано: 13 июня 2005 03:22 · Личное сообщение · #2 А не слишком ли мало ты дал чтоб тебе помочь? Название проги урл |
|
|
Создано: 13 июня 2005 08:00 · Личное сообщение · #3 это точно, по таким данным ничего не понять. NoName пишет: Создаёт два процесса , 1 распаковщик другой имхо сама прога может заказная арма? =) ----- once you have tried it, you will never want anything else |
|
|
Создано: 13 июня 2005 15:11 · Поправил: NoName · Личное сообщение · #4 А какая информация нужна ? exeшник в инете не болтается софта является специфическим SFX инсталятором , котор. перед установкой проверяет HWID / KEY Кстати PEID показал "Unknown (Overlay *)" |
|
|
Создано: 13 июня 2005 16:00 · Личное сообщение · #5 тут надо на экзеху смотреть иначе никак - сам разбирайся короче =) ----- once you have tried it, you will never want anything else |
|
|
Создано: 13 июня 2005 22:30 · Личное сообщение · #6 Так вот и запостил , потому-что немогу разобраться ... Беда короче, тем неменее спасибо за внимание ! |
|
|
Создано: 13 июня 2005 23:57 · Поправил: NoName · Личное сообщение · #7 ------------------------------------------------------------ Вроде разобрался ! В коде присутствуют фрагменты типа: PUSH XXXXXXXXX ; ASCII "TS_LOADER" .... А когда распаковался сам лоадер нашёл фрагмент : 7FF53FDF 68 646BF97F PUSH 7FF96B64 ; ASCII "040920" 7FF53FE4 68 5C6BF97F PUSH 7FF96B5C ; ASCII "2.501" 7FF53FE9 68 2C6BF97F PUSH 7FF96B2C ; ASCII "Thinstall Version %s / %s, Windows %d.%d (%s) " blablabla 
7FF54055 68 D46AF97F PUSH 7FF96AD4 ; ASCII "Thinstall loaded at %x-%x " 7FF5405A E8 31010000 CALL 7FF54190 Значит Thinstall v 2.5 ? Кто-нибудь сталкивался с этой хреновиной я понял это аля SFX архива???? Как выдрать из него начинку полностью ? |
|
eXeL@B —› Основной форум —› Всезнающий @all что это может быть ? |
Для печати