 |
eXeL@B —› Основной форум —› Можно ли использовать модули антивируса для распаковки |
| Посл.ответ | Сообщение |
|
|
Создано: 07 декабря 2005 01:52 · Личное сообщение · #1 Пришла тут одна мысля в голову - можно ли использовать модули антивируса для снятия протекторов? Тот же каспер распознает вирусы запакованные армадиллой или обсидиумом, если понять, как оно устроено можно получить универсальный автоматический анпакер, к тому же постоянно обновляющийся  |
|
|
Создано: 07 декабря 2005 03:54 · Личное сообщение · #2 SASH_113 Ну и вчем проблема ? 
|
|
|
Создано: 07 декабря 2005 04:00 · Личное сообщение · #3 Z0oMiK пишет: Ну и вчем проблема ? Сделай автоматический анпакер на основе каспера, если проблем нет 
|
|
|
Создано: 07 декабря 2005 04:13 · Личное сообщение · #4 Лучьше Веба
----- DREAMS CALL US |
|
|
Создано: 07 декабря 2005 04:16 · Личное сообщение · #5 Лучьше Веба Нет, именно каспера - он больше пакеров знает. Веб отличается меньшей прожорливостью и классным эвристиком, что здесь не надо. |
|
|
Создано: 07 декабря 2005 04:22 · Личное сообщение · #6 Лольная тема имхо... невозможно. так как не надо путать виртуальную распаковку с реальной 
|
|
|
Создано: 07 декабря 2005 06:45 · Личное сообщение · #7 Антивирю по ходу достаточно более-менее секцию кода распаковать, чтобы по сигнатуркам поглядеть вирь это или нет. Так что полностью наверное они и не распаковывают. |
|
|
Создано: 07 декабря 2005 06:52 · Личное сообщение · #8 Да, так и есть они только сигнатуру достают и боле им ничего ненадо. Я как-то поднимал такой вопрос на другом форуме... |
|
|
Создано: 07 декабря 2005 08:49 · Поправил: TOG · Личное сообщение · #9 Я как-то разбирался с API drweb'a, делал плагин для Far, так вот помнится мне, что упакованые файлы на самом деле разворачивались в памяти, потому что если к телу запаковываемой проги прицепить вирь(просто дописать его в конец файла), а потом запаковать и дать дрвебу, то дрвеб его находил. Т.е. он не трассировкой вышел на виря. Правда вот аспирин он не брал. |
|
|
Создано: 07 декабря 2005 09:53 · Личное сообщение · #10 WELL пишет: Антивирю по ходу достаточно более-менее секцию кода распаковать, чтобы по сигнатуркам поглядеть вирь это или нет ИМХО прав, а такая распаковка фтопку, это тот же резалт даст что и просто сдампленная петулсами прога, т.е. бесполезно =) ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 07 декабря 2005 10:02 · Личное сообщение · #11 TOG пишет: Т.е. он не трассировкой вышел на виря. Я об этом помнится спрашивал как-то уже. Трассировка для определения вирей занятие нереальное. Слишком много времени займёт. Антивири не трэйсят
|
|
|
Создано: 07 декабря 2005 10:10 · Личное сообщение · #12 WELL пишет: Антивири не трэйсят Это точно, не хватало еще, чтобы антивирусы нас так заражали. 
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 09 декабря 2005 03:13 · Личное сообщение · #13 Неа, не трейсят - в досовые времена некоторые трейсили, и под эти ав писали эксплоиты, када они малвару запускали при скане, с тех пор не трейсят, в статике распаковывают
|
|
|
Создано: 09 декабря 2005 03:13 · Личное сообщение · #14 WELL пишет: Антивирю по ходу достаточно более-менее секцию кода распаковать, чтобы по сигнатуркам поглядеть вирь это или нет. Ну это в принципе и так понятно, насчет АВТОМАТИЧЕСКОГО анпакера я конечно погорячился Smon пишет: такая распаковка фтопку, это тот же резалт даст что и просто сдампленная петулсами прога Да, но все равно до OEP не нужно добираться вручную WELL пишет: Антивири не трэйсят Тем не менее в каспере есть либа kltrace.dll среди прочего экспортирующая функции StartTrace , StartTraceModule и StartTraceThread , вызывающиеся из checktool.dll Я каспер очень поверхностно смотрел (там кстате Visual C++ 6.0 [Debug] =) ), может у кого-то появится энтузиазм поглубже поисследовать
ЗЫ в каспере есть файлы *.ppl половина из которых dll не экспортирующие никаких функций, половина вобще хз что, не понятно как из них что-то вызывается |
|
|
Создано: 09 декабря 2005 03:53 · Личное сообщение · #15 SASH_113 пишет: Да, но все равно до OEP не нужно добираться вручную Ради только этого стОит ли так извращаться с антивирем? |
|
|
Создано: 10 декабря 2005 00:19 · Личное сообщение · #16 SASH_113 Гы кстати ты знаешь у одного чела который разобрался с форматом файлов АВП до тебя крышу начисто снесло? имхо забей здоровее будешь...
|
|
|
Создано: 10 декабря 2005 07:28 · Личное сообщение · #17 Red Bar0n пишет: разобрался с форматом файлов АВП до тебя крышу начисто снесло У drweb'a всего одна dll, но зато какая ! И кое-какая инфа по аго api есть. |
|
|
Создано: 10 декабря 2005 13:00 · Личное сообщение · #18 ИМХО нет смысла страдать фигней, лучше распаковывать все самому - быстрее будет и для мозгов полезнее. ----- Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску. |
|
|
Создано: 10 декабря 2005 13:03 · Личное сообщение · #19 4kusNick При этом если знаешь как распаковывать
|
|
|
Создано: 17 декабря 2005 20:26 · Личное сообщение · #20 TOG пишет: У drweb'a всего одна dll, но зато какая ! И кое-какая инфа по аго api есть Поделись если не жалко 
|
|
eXeL@B —› Основной форум —› Можно ли использовать модули антивируса для распаковки |
Для печати