У антивируса касперского есть dll, которая експортирует антивирусные функции: поиск вирусов, поиск в архивах, я почти написал утилиту, но надо еще чуть-чуть,
что делает:
1. Унпакер инсталяшек\пакеров\архивов (больше 1000 форматов)
2. Встраивание кода свои проги...

Что надо сделать, прога распаковывает архивы в память, но куда - не понятно, надо найти этот "буфер"...

для работы нужены 3 dll из AVP 4, и базы, в архиве исходники...
mailto:ganzzz-destroer@mail.ru

d933_13.07.2006_CRACKLAB.rU.tgz - avprip.rar

| Сообщение посчитали полезным:

[OffTop]
ganzzz, на мой взгляд - прога полезная. Тока бы исчё понять как её юзать . Удачи тебе в дальнейшем написании.
[/OffTop]

| Сообщение посчитали полезным:

ну чтобы найти буфер, пускай прога че нить распакует(ехе) а ты помищи MZ в памяти %)
когда авп сканит запакованный файл, в некоторый момент можно выдернуть полностью распакованный файл из темпа ;)
ganzzz пишет:
1. Унпакер инсталяшек\пакеров\архивов (больше 1000 форматов)
почти универсальный анпакер на основе авп? =)
ganzzz пишет:
2. Встраивание кода свои проги...
что это значит? или ты пропустил предлог..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

по-моему это нереально - антивирус распаковывает ровно столько сколько нужно чтобы понять что файл - вирус (по-моему только секцию кода), о работоспособном файле и речи не идет.

а потрошитель баз уже был - утилита от z0mbie

-----
in search of sunrise

| Сообщение посчитали полезным:

ganzzz пишет:

Значит так, с архивом rar он распаковывает файлы в склероз, будем считать
что и с остальными архивами он поступает также.

ыыы ))

А вообще тулза прикольная, может потом раскопаешь чтонить исчо

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

2 bloom: Распаковывает он все, (с аривами во всяк случае ;)), вот только куда???, там какие-то структуры,
и надо найти где в этой структуре указатель на структуру... (или чтото вроде этого)..., а насчет "утилита от z0mbie", не знаеш где взять???

2 Shidla: Как юзать:
1: комилируем, (я собирал на Delphi7).
2: находим Файлы от касперского(v3-4):
WINNT: Avp_iont.dll
WIN9X: Avp_io.vxd,Avp_io32.dll.
AvpBase.dll
*.avc
avp.set

Dll, кидаем в path, или к проге, редактируем пути в avprip.cfg .

сейчас доступна лишь одна команда: l - Лист.

допустим смотрим какой нибудб архив:

>avprip.exe l CDRoller530.exe
---------------------------------------------------------------------- -----
archive: # Inno2019 1891764 CDRoller530.exe
file: 522240 CDRoller530.exe/dll
file: 9856 CDRoller530.exe/Messages
file: 12267 CDRoller530.exe/Script
file: 62976 CDRoller530.exe/data0001
file: 1295872 CDRoller530.exe/data0002
---------------------------------------------------------------------- -----
Опаньки, так это же у нас InnoSetup...

или
>avprip.exe l test.zip
---------------------------------------------------------------------- -----
archive: ZIP 209 test.zip
file: 95 test.zip/test.rar
archive: RAR 95 test.zip/test.rar
file: 18 test.zip/test.rar/test.txt
---------------------------------------------------------------------- -----

| Сообщение посчитали полезным:

ganzzz пишет:
Распаковывает он все, (с аривами во всяк случае ;))
ну конечно распаковывает, иначе как же он файлы внутри проверять будет. вот только навряд ли целиком - памяти не хватит ))) в работе с протами это тоже не поможет. никаких работоспособных файлов нет, даже близко.

начет z0mbie - у него было много полезных прог для работы с базами КАВа, вот толлько сайт его прикрыт давно, - вот посмотри в аттаче какие тулзы классные, распаковщики баз,

выбирай - тулзы, к вечеру думаю смогу залить

-----
in search of sunrise

| Сообщение посчитали полезным:

аттач

c980_14.07.2006_CRACKLAB.rU.tgz - New Folder.rar

-----
in search of sunrise

| Сообщение посчитали полезным:

вот для интересующихся выкладываю потрошители баз КАВ



public.int3.net/share/potr.rar

-----
in search of sunrise

| Сообщение посчитали полезным:

секретный stuff в базах КАВ
public.int3.net/share/avp4sru.zip

ЗЫ: есть весь z0mbie.host.sk - пишите если что надо

-----
in search of sunrise

| Сообщение посчитали полезным:

2 bloom Сенькю Вери Матчь!!! (или ща закачаю и буду изучать)...

| Сообщение посчитали полезным:

AVP Alarm Generator + Source

22a5_16.07.2006_CRACKLAB.rU.tgz - avpfuck2.zip

-----
in search of sunrise

| Сообщение посчитали полезным:

Генератор *.AVC с исходниками
(хотя вещь бесполезная скорее всего, хотя может с форматом поможет разобраться)

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
Генератор баз *.AVC с исходниками
Хде? При правке сообщений ссылки вроде теряются...
Насчёт avpfuck, там вроде sta-файлов не хватает, хотя может я недоглядел, мельком глянул...

| Сообщение посчитали полезным:

Archer пишет:
Насчёт avpfuck, там вроде sta-файлов не хватает, хотя может я недоглядел, мельком глянул...

sta - файлы делает потрошитель баз

-----
in search of sunrise

| Сообщение посчитали полезным:

Dr.Web Base Unpacker


6a5d_16.07.2006_CRACKLAB.rU.tgz - unp_vdb.rar

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom
>ЗЫ: есть весь z0mbie.host.sk - пишите если что надо
а вот это:
2005.01.09 | added article: polymorphic games
2005.01.05 | added: "rich" info dumper
2005.01.03 | added: libtcc usage example
2005.01.02 | added: tcpswitch 2.00, description
нельзя случаем получить?

| Сообщение посчитали полезным:

кто-нить копал kav шестой версии? avp.exe запускает сам себя с параметром -r, как сервис. Под олей периодически вылетает. Каспер насовал какие-то GetTickCount. Фиксится возвратом функцией нуля. Однако, периодически вылетает с непонятным эксепшном. В предыдущих версиях тоже такое было?

| Сообщение посчитали полезным:

WolfHunter пишет:
а вот это:
2005.01.09 | added article: polymorphic games
2005.01.05 | added: "rich" info dumper
2005.01.03 | added: libtcc usage example
2005.01.02 | added: tcpswitch 2.00, description
нельзя случаем получить?

можно

20c4_17.07.2006_CRACKLAB.rU.tgz - zom.rar

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom unp_vdb как она вообще работает ? у меня чет ничего не получается

| Сообщение посчитали полезным:

Z0oMiK пишет:
bloom unp_vdb как она вообще работает ? у меня чет ничего не получается
да древняя тулза.. скорее всего для досовского Веба, да и формат баз наверно с тех времен поменялся.

-----
in search of sunrise

| Сообщение посчитали полезным:

нашел таки у себя тулзу avpoffset.zip - помжно проверить файл на предмет налчия в нем сигны из баз.
если находит - то показывает где находится сигна и длину.

тулза от SennaSpy
еще у него был проект AVP Clone - по ходу то же что-то интересное, вот только найти сейчас не пркдставляется возможным
все сайиы этого чела прибиты

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
да древняя тулза.. скорее всего для досовского Веба, да и формат баз наверно с тех времен поменялся.
Очень жаль да и с Касперским тоже чет не пашеть

| Сообщение посчитали полезным:

www.wasm.ru/forum/viewtopic.php?id=11448

| Сообщение посчитали полезным:

Z0oMiK пишет:
Очень жаль да и с Касперским тоже чет не пашеть
а вот с касперским очень даже все воркает.

-----
in search of sunrise

| Сообщение посчитали полезным:

reverser пишет:
www.wasm.ru/forum/viewtopic.php?id=11448
спасибо за линк. и за avcparser

off: а вот про z0mbie я в шоке. неужели BHC - это все z0mbie..?? только не понимаю причины..

-----
in search of sunrise

| Сообщение посчитали полезным:

ни4его нового - 4то зомба = бхц между строк понятно было любому, кто про4ел хоть 1 выпуск...

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

Вот набрел на форум, давно это было... ну ладно...

По адресу www.ganzzz.tu2.ru/files/avprip.rar находится новая версия, вполне может распаковывать, правда по одному файлу,... года через три наверно будет распаковывать пачками ;)

| Сообщение посчитали полезным:

блин, глючный хостинг у меня, ссылку копи-пастить

| Сообщение посчитали полезным:

Поделитесь кто-нить файликами avpbase.dll, avp_iont.dll

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: