| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› Такая вот защита |
| Посл.ответ | Сообщение |
|
|
Создано: 11 декабря 2009 19:06 · Поправил: VOLKOFF · Личное сообщение · #1 Учитывая ответы в топике "Чем запаковано", стало еще интересней узнать суть защиты. Дабы не нарушать более правил вышеупомянутого топика, создал отдельную тему. 1 Самодел форма, кнопка 2 rapidshare.com/files/319358595/Subzh.rar.html 3 10Кб 4 Nothing found * 5 Nothing found 6 .code.text.rdata.data.rsrc BoRoV пишет: ничем не запаковано, это троян VOLKOFF пишет: Это 100% не троян, паковки походу и правда нет, но код как-то запутан (из самой проги скорее) tihiy_grom пишет: И что же это, если не троян?http://www.virustotal.com/ru/analisis/96ab491c8fc454f8aa8304b30a ef7eb3 8b32b23c15485781827a0b474445fd05-1260543861 MasterSoft пишет: VOLKOFF пишет:паковки походу и правда нет, но код как-то запутан (из самой проги скорее) Ну на самом деле по таким признакам можно характиризовать наверное большинство троянов. VOLKOFF пишет: Раз уж пошло немного не по правилам топика, я все же отвечу.Это есть то, чем кажется - простое окно с простой кнопкой и еще одно окно с кнопкой.Болше ничего.Предыстория: Volkoff писал(а):Конечно и это не представляет никакой сложности для ручной распаковки Оппонент пишет: Ага, ну да! Тогда попробуй получи оригинальный файл проги из вложения.Вредоносного кода 101% нет. Написана на пурике. Вот еще вариат типа крякмиса (надо узнать пасс, т.е. не обойти его а именно узнать)  3636_11.12.2009_CRACKLAB.rU.tgz - Test_pass.exe
 |
|
|
Создано: 11 декабря 2009 19:33 · Поправил: Sunzer · Личное сообщение · #2 Странный топ, написан первый файл походу на фасме, ну и что что пеид не видит? Там малварь какая то, если поверхностно листинг полистать. А если не поверхностно, то обычная форма, и поверх пакер. Насчет второго, там тоже нечего мего крутого нет, распаковываешь файл, нопишь тут 00401369 74 16 JE SHORT 00401381 ; Dumped_.00401381 и все пароли принимает. Распакованый в атаче 2180_11.12.2009_CRACKLAB.rU.tgz - Dumped_.exe
|
|
|
Создано: 11 декабря 2009 19:39 · Личное сообщение · #3 Sunzer, ты хоть пост первый читал? ))) Там есть и на чем написано и в чем "прикол" второго файла во вложении, который добавлен "до кучи". |
|
|
Создано: 11 декабря 2009 19:41 · Поправил: Sunzer · Личное сообщение · #4 Ну и? Я сказал что висит пакер сверху, дал распакованый тебе, показал где что править. Защиты как таковой нет. |
|
|
Создано: 11 декабря 2009 19:50 · Поправил: Isaev · Личное сообщение · #5 Sunzer пишет: показал где что править. кто же правит такие вещи? Да и написано: VOLKOFF пишет: надо узнать пасс, т.е. не обойти его а именно узнать pass: 5454353654768359437768578436 а вообще конечно Sunzer пишет: Защиты как таковой нет. главное распаковать... а дампится он просто ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 11 декабря 2009 19:54 · Личное сообщение · #6 NTQ1NDM1MzY1NDc2ODM1OTQzNzc2ODU3ODQzNg== 5454353654768359437768578436 |
|
|
Создано: 11 декабря 2009 19:57 · Личное сообщение · #7 VOLKOFF делай кучу скрытых проверок на распакованность, чтобы в зависимости от этого менялся ключ будет интересней и проверка с правильным ключом как сравнение строк - 
----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 11 декабря 2009 20:11 · Поправил: tihiy_grom · Личное сообщение · #8 VOLKOFF насчёт твоей первой проги в топике "Чем упаковано" - она накрыта тем же самым, что и вирусня из . так что остальные проги уже бессмысленно накрывать этой поделкой  сигнатуры уже давно у аверов включены в базы
|
|
|
Создано: 11 декабря 2009 21:12 · Поправил: VOLKOFF · Личное сообщение · #9 Sunzer пишет: NTQ1NDM1MzY1NDc2ODM1OTQzNzc2ODU3ODQzNg==5454353654768359437768578436 Вот NTQ1NDM1MzY1NDc2ODM1OTQzNzc2ODU3ODQzNg== лежит в памяти воткрытую  Но с цифровым паролем аналогии не нашел =) Isaev пишет: делай кучу скрытых проверок на распакованность, чтобы в зависимости от этого менялся ключ будет интереснейи Хмм... tihiy_grom пишет: насчёт твоей первой проги в топике "Чем упаковано" - она накрыта тем же самым, что и вирусня из этого топика.так что остальные проги уже бессмысленно накрывать этой поделкой сигнатуры уже давно у аверов включены в базы Она ничем не накрыто вообще - файл это то, что выдал компилятор =) Крики из-за запуска прямо из памяти, видимо. Спасибо всем за участие, если получится что интересное, отпишусь в эту тему. |
|
|
Создано: 11 декабря 2009 21:21 · Личное сообщение · #10 VOLKOFF пишет: Но с цифровым паролем аналогии не нашел =) на 00401364 поставь бряк и увидишь свой пасс расшифрованный и готовый к проверке проверять нужно не явно ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 11 декабря 2009 21:26 · Личное сообщение · #11 VOLKOFF пишет: Она ничем не накрыто вообще - файл это то, что выдал компилятор =) кимпилятор такого не может выдать
|
|
|
Создано: 11 декабря 2009 21:32 · Поправил: VOLKOFF · Личное сообщение · #12 Исходники показать? Isaev пишет: на 00401364 поставь бряк и увидишь свой пасс расшифрованный и готовый к проверкепроверять нужно не явно И точно... |
|
|
Создано: 11 декабря 2009 21:34 · Личное сообщение · #13 VOLKOFF пишет: Исходники показать? показать
|
|
|
Создано: 11 декабря 2009 21:59 · Личное сообщение · #14 Ну смотри, это от второй, но там все также, отличаются лишь шифруемый файл и ключи шифровки. f988_11.12.2009_CRACKLAB.rU.tgz - Исходник.rar
|
|
|
Создано: 11 декабря 2009 22:09 · Личное сообщение · #15 VOLKOFF такой код будут палить все антивирусы создавать процесс и писать в него - это не гут 
|
|
eXeL@B —› Протекторы —› Такая вот защита |
Для печати