| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› Что за прот или пакер |
| Посл.ответ | Сообщение |
|
|
Создано: 23 января 2010 07:21 · Личное сообщение · #1 Недавно в фоксе всплыло окно с каким то порно сайтом, типа на шару ролики и тд. Понятно что сначала троян потом ролики, решил проверить. Так и есть при клике по ролику выскакивает меседж типа скачать новый 10 флеш плеер, ну а как бонус в середине троян. Начала его смотреть ни один сканер не показывает чем шифронут, если у кого есть что за дрянь, будет интересно выслушать. Ссыль на сам плеер www.multiupload.com/807RZ1RPN2 Сам сайт если кто захочет скачать с источника porno.real-pornovideos.com/xxx/?uid=21&tmpbrid=2108  |
|
|
Создано: 23 января 2010 09:38 · Личное сообщение · #2 Ну есть же отдельно топик по вирусам, отдельно топик по определению прота, неужто туда никуда запихать нельзя было? |
|
|
Создано: 23 января 2010 10:25 · Личное сообщение · #3 Арч сори, незаметил, если можно перенести, закинь в нужный раздел |
|
|
Создано: 23 января 2010 12:46 · Личное сообщение · #4 |
|
|
Создано: 23 января 2010 14:16 · Личное сообщение · #5 Sunzer За ссыль спасибо, расскажи как да чем распаковал, не мне одному интересно будет ЗЫ tgz на юнихе распаковывал?=) |
|
|
Создано: 23 января 2010 15:28 · Личное сообщение · #6 tgz winrar без проблем открывает |
|
|
Создано: 23 января 2010 15:41 · Личное сообщение · #7 gr0t пишет: расскажи как да чем распаковал, не мне одному интересно будет Распаковывается не тяжелее чем upx, что там рассказывать то... |
|
|
Создано: 23 января 2010 15:54 · Поправил: gr0t · Личное сообщение · #8 Sunzer Хочешь сказать модифицированный upx, поэтому и сканеры не берут или что-то самописное? |
|
|
Создано: 23 января 2010 16:33 · Личное сообщение · #9 Самописное, хватит на PEID надеятся |
|
|
Создано: 23 января 2010 16:45 · Поправил: theCollision · Личное сообщение · #10 gr0t Включаешь Апи шпиона и после таких вот строчек: Code:
задаешься вопросом " А почему это большое различие между адресами ? Это означает нужно после этого VirtualProtect потыкать на Ф8 подольше и выйдешь на нужное место, вот оно: Code:
т.е. push ebp \ mov ebp, esp . Ну а дальше дамп на этом месте и востановление импорта ImpRec или вручную,если не влом ;) А почему решил что это OEP ? 1) один из признаков это popad 2) передача управление на кусок кода, который находится на значительном растоянии. А по-умному, то первым делом смотреть в HIEW, возможно там сразу будет видно, что к чему, вот пример: Code:
Сразу видно и настройка прав памяти и popad и передача управления на неизвестный кусок памяти. Значит проверить шальную мысль по адресу 0042E0EC и возможно анализ на получение дампа завершен! Ну собственно все! ;) ----- My love is very cool girl. |
|
|
Создано: 24 января 2010 08:20 · Личное сообщение · #11 theCollision Спс, по делу и без понтов. |
|
eXeL@B —› Протекторы —› Что за прот или пакер |
Для печати