Написал свой первый unpacker.
Задача:Найти OEP,востановить импорт и т.д
Сложность:Очень сложно,для профи.
slil.ru/24765423

| Сообщение посчитали полезным:

чё умный самый? фтопку такие анпакми)))



-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Novic, slil.ru нерулид, перезалей, а то у меня качается на скорости 0,3кб , юзай например dump.ru
кста сразу, он на дельфи написан? А то размер внушительный ))
Novic пишет:
Сложность:Очень сложно,для профи.
не в обиду, но в последнее время, когда так пишут, то туда либо вешают фимиду, либо там анпакми типа упх)) как у тебя, еще не знаю)
P.S. Фтопку такие анпакми, сам их анпакай и запускаю, развелось цукингов, то пинча в анпакми закидывают, то вирь в крякми... ((

| Сообщение посчитали полезным:

Hellspawn пишет:
чё умный самый? фтопку такие анпакми)))
Хмм..на самом деле никакого трояна в unpacker нету

| Сообщение посчитали полезным:

Novic пишет:
Хмм..на самом деле никакого трояна в unpacker нету
хз, просто например я много тестил разные аверы на детект пинча и других троев и вирей, не одного ложного срабатывания пинча еще не видел

| Сообщение посчитали полезным:

VAD87 пишет:
хз, просто например я много тестил разные аверы на детект пинча и других троев и вирей, не одного ложного срабатывания пинча еще не видел
Короче если мне не веришь можешь взять любой нормальный снифер и проследить за сет.активностью на компе.Никакого трояна в unpacker нету и небыло,100%

| Сообщение посчитали полезным:

Novic пишет:
Короче если мне не веришь можешь взять любомой нормальный снифер и проследить за сет.активностью на компе.Никакого трояна в unpacker нету и небыло,100%
прочти внимательно:
VAD87 пишет:
Novic, slil.ru нерулид, перезалей, а то у меня качается на скорости 0,3кб , юзай например dump.ru
вот как кто-нибудь переложит на норм хост, я солью и гляну, а пока я просто констатирую факты

| Сообщение посчитали полезным:

VAD87 пишет:
Novic пишет:
Короче если мне не веришь можешь взять любомой нормальный снифер и проследить за сет.активностью на компе.Никакого трояна в unpacker нету и небыло,100%
прочти внимательно:
VAD87 пишет:
Novic, slil.ru нерулид, перезалей, а то у меня качается на скорости 0,3кб , юзай например dump.ru
вот как кто-нибудь переложит на норм хост, я солью и гляну, а пока я просто констатирую факты
Ok
dump.ru/files/g/g5506363146/

| Сообщение посчитали полезным:

Novic, нах дамп. ру там регицца нада(...// блин просило вход... а сча нет
кто нить переложите сие творение на рапиду.
Novic, не анпакер, а анпакми. Объяснить разницу?

Интересно хуле запакованный весит 700 кб? сча на ВМ посорю...

-----
Researcher

| Сообщение посчитали полезным:

раз
www.virustotal.com/resultado.html?f22f59a41e40f9e92357e7c2f581b27a

два
эта хрень не любит виртуалку, отладчик, плодит тучу потоков, вытается проинжектиться в
другие процессы))) (какой милый протектор)

вообщем достало меня в нём ковыряться =)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

overwriter пишет:
Novic, нах дамп. ру там регицца нада(...// блин просило вход... а сча нет
для слива рега ненужна, по крайней мере я не регался и норм сливаю
overwriter пишет:
Интересно хуле запакованный весит 700 кб? сча на ВМ посорю...
там кажись дельфи (возможно трой) + хз че за прот сверху (возможно что там дотфикс 3,х)
на вм не запускается, пишет что данное приложение не может быть запушено на вм, тож наводит на размышления, вот кста еще немного инфы про этот файл:
http://www.virustotal.com/resultado.html?f22f59a41e40f9e92357e7c2f581b 27a http://www.virustotal.com/resultado.html?f22f59a41e40f9e92357e7c2f581b27a
P.S. Хелл сцуко опередил немного ))

| Сообщение посчитали полезным:

VAD87 пишет:
на вм не запускается, пишет что данное приложение не может быть запушено на вм, тож наводит на размышления
Ага. Ток попробовал)) Кто-то читал стотью КК "Побег из ВМ Вари" )))
Штука уже интересная... может кто без ВМ поставит и посморит вдруг че оно куда нить пропесало) раз чел упоминал сниферы, значит, что то перехватывается с целью подмены данных снифера)) (если это вообще трой)

-----
Researcher

| Сообщение посчитали полезным:

webfile.ru/placed.php?id=1505917
Кто тут просил на нормальный файлообмненник залить!
Чет мне стремно ковырять без виртуалки + под отладчиком его мегакрякми не поотлаживаешь =\

| Сообщение посчитали полезным:

У мну под отладчиком воркает, по крайней мере до окошка, типа нефиг под виртуалкой пускать. В принципе есть лишний комп, но лень ставить и разбираццо. Кидает дебаг строку, что фемида, может она и есть (хз, не игрался с ней ни разу), слишком хитро для самописного. А вообще ф топку такие анпакми, которые не пашут на виртуалке и на которые антивирь орёт.

| Сообщение посчитали полезным:

Тож под отладчиком работает. Может и Фемида...пейды и др. не задетектили... где там автор?

-----
Researcher

| Сообщение посчитали полезным:

Сверху похоже на PEBundle, потом ещё чем-то покрыто, может и фемидой. Благо, релизили не так давно. После этого барахла перестали работать некоторые файлы+некоторый софт стал себя странно вести. Учитывая это, а также остальные вещи (палиццо изо всех сил, не дружит с виртуалкой, странно пашет и тд), да и автора первый раз видим, предлагаю взять автора на карандашик. Может я и параноик, но подобные случаи уже были, типа стриппера 2.15.
И ещё раз подниму тему о недопустимости выкладывания вещей челами, чей ранг меньше Х. Может модерам это как-то контролировать?

| Сообщение посчитали полезным:

так с отключенным бэкдором вари работает.

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
так с отключенным бэкдором вари работает.

напомни, как отключать

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Может модерам это как-то контролировать?
Может сносить топики с подобным содержанием от неизвестных челов?
ну и банан для профилактики вручать...
Блин все понимают,что у чела прот не свой, и прога ведет себя странно, но продолжают ковырять

| Сообщение посчитали полезным:

Гы, вы реверсеры, или кто? Если даже трой, то надо как минимум, выяснить как эта хрень детектит варю. Обычно вариантов не так уж много - sidt, rdtsc, детект по чипсету... Ну я не думаю что тут юзаются баги в эмуляции вари.... В свое время всякую дрянь приходилось ковырять часто. Щаз к сожалению времени на все не хватает. Вот лол, если крякеры какого то трояна испугались ))))))

ЗЫ: сори за оффтоп, понятия не имею что там на самом деле

-----
Research is my purpose

| Сообщение посчитали полезным:

Почему у меня PeID говорит (hardcore scan), что это
ASPack 2.xx Heuristic Mode -> Alexey Solodovnikov [Overlay]
?

| Сообщение посчитали полезным:

=TS= пишет:
напомни, как отключать

+1

Error_Log пишет:
крякеры какого то трояна испугались

трояны реверсить - это не наша забота))) некоторм за это деньги платят пусть и реверсят сидят...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Блин ну сказано же нету в unpacker вирусов,троянов

| Сообщение посчитали полезным:

Блин ну сказано же нету в unpacker вирусов,троянов
Скажи хоть чем запаковано,и нах он создает столько процессов О_О

| Сообщение посчитали полезным:

Mavlyudov пишет:
Почему у меня PeID говорит (hardcore scan), что это
ASPack 2.xx Heuristic Mode -> Alexey Solodovnikov [Overlay]
?
Простое совпадение сигнатур не более того.

| Сообщение посчитали полезным:

Novic пишет:
Блин ну сказано же нету в unpacker вирусов,троянов

чё за бред? нахера ему тогда инжектиться во все процессы подрят?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

El_Diablo пишет:
Скажи хоть чем запаковано
Unpacker упакован UPX+моим собственный криптором.

| Сообщение посчитали полезным:

моим собственный криптором
Че твой криптор забыл в системной дире? О_о

| Сообщение посчитали полезным:

Novic, раз ты утверждаеш что криптор твой и троя там нет, тогда ответь на один вопрос, почему если анпакать его не на ВМ, то вылетают с ошибкой разные процессы, например svchost.exe, services.exe и другие? Причем, вылетают они по одиночке подрят.
Если на файле твой криптор и он не светился на разных троях, то детектить его антивири небудут...

| Сообщение посчитали полезным:

Novic пишет:
Задача:Найти OEP,востановить импорт и т.д
00466E04 55 PUSH EBP
00466E05 8BEC MOV EBP,ESP
00466E07 83C4 F0 ADD ESP,-10
00466E0A B8 0C6C4600 MOV EAX,Unpacker.00466C0C
00466E0F E8 4CEEF9FF CALL Unpacker.00405C60
00466E14 A1 48894600 MOV EAX,DWORD PTR DS:[468948]
00466E19 8B00 MOV EAX,DWORD PTR DS:[EAX]
00466E1B E8 14A2FEFF CALL Unpacker.00451034
00466E20 8B0D 2C8A4600 MOV ECX,DWORD PTR DS:[468A2C] ; Unpacker.00469C08
00466E26 A1 48894600 MOV EAX,DWORD PTR DS:[468948]
00466E2B 8B00 MOV EAX,DWORD PTR DS:[EAX]
00466E2D 8B15 90694600 MOV EDX,DWORD PTR DS:[466990] ; Unpacker.004669DC
00466E33 E8 14A2FEFF CALL Unpacker.0045104C
00466E38 A1 48894600 MOV EAX,DWORD PTR DS:[468948]
00466E3D 8B00 MOV EAX,DWORD PTR DS:[EAX]
00466E3F E8 88A2FEFF CALL Unpacker.004510CC
00466E44 E8 13CFF9FF CALL Unpacker.00403D5C
============
табличка целая.
начало:0046A114//поправил
конец:0046A724
джампы по коду напрямую к функе указаны.
============
Чё то он в процессах шифруется.Этим же кажется и ольку детектит.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: