Какие пакеры юзают lzo ?

Сейчас на форуме: (+7 невидимых)

Посл.ответ	Сообщение
sys_dev Ранг: 57.1 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 10 мая 2010 14:11 · Личное сообщение · #1 Есть lzo1x_s1.sh из библиотеки lzo и мне бы хотелось знать хоть один пакер, который юзает этот алго сжатия ;) кто может подсказать?

sys_dev Ранг: 57.1 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 10 мая 2010 14:29 · Личное сообщение · #2 пока узнал о существовании "PE Protector" , который этот алго юзает. Какой еще ? ;)
Kerathris Ранг: 1.9 (гость) Активность: 0=0 Статус: Участник	Создано: 10 мая 2010 14:39 · Личное сообщение · #3 Ищи исходники пакеров guru-exe
DrGolova Ранг: 199.6 (ветеран), 12thx Активность: 0.1↘0 Статус: Участник www.uinc.ru	Создано: 10 мая 2010 21:50 · Личное сообщение · #4 В основном всякая маргинальщина. На вскидку: YodaProtect, SoftDefender, IDAppProtect, Enigma, SDProtector
sys_dev Ранг: 57.1 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 10 мая 2010 22:56 · Личное сообщение · #5 DrGolova я распознал алгоритм в пакере только с помощью своей коллекции сорцов, т.е. сравнивал логику работы. Но мля, это же стоко надо сравнивать каждый раз. Как можно автоматизировать? При этом код декомпрессоров можно ведь и морфить! возникает вопрос, что хоть можно юзать для распознавания ? Взять хэши бинарного кода алгоритмов не предлагать из-за возможного морфинга!
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 10 мая 2010 23:18 · Личное сообщение · #6 sys_dev пишет: не предлагать из-за возможного морфинга хочешь приблизиться к универсалу, эвристику пиши, как у антивирей ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 10 мая 2010 23:18 · Личное сообщение · #7 sys_dev Для PEiD есть плагин KANAL v2.90 ----- Nulla aetas ad discendum sera
sys_dev Ранг: 57.1 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 10 мая 2010 23:21 · Личное сообщение · #8 Flint KANAL юзаем, хорош, но не всегда может помочь ;) Может есть оптимизирующие вещи, а потом анализащие выходной результат ?! Но чтото я не видел подобное! ;(
DrGolova Ранг: 199.6 (ветеран), 12thx Активность: 0.1↘0 Статус: Участник www.uinc.ru	Создано: 11 мая 2010 01:27 · Личное сообщение · #9 > сравнивал логику работы ну так это самый действенный метод - юзабельных библитек сжатия чуть более десятка, так что "знать врага в лицо" не так уж сложно. Отличаются обычно константами, настройками, а то и просто это рекомпайл с ксором. В больших сложных декомпрессорах попадаются таблички/константы, можно загуглить. Иногда можно поискать таблички/копирайты либы сжатия в самом пакере, если в декомпрессоре их нет. Пока я не постиг дзен, у меня был брутфорсер, который пробовал разжать поток всеми известными методами со всеми возможными параметрами. Но дело это не благодарное - половиу методов пишут криворукие быдлокодеры, так что на неродных данных декомпрессоры падают тока в путь разрушая все кучи и стэки. Я тока и делал что стабилизировал их поделки =)
sys_dev Ранг: 57.1 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 11 мая 2010 13:23 · Личное сообщение · #10 DrGolova >>В больших сложных декомпрессорах попадаются таблички/константы Примеры? ;) какие на твой взгляд сложные декомпрессоры и заслуживают уважения или хоть какого-то уважения? >>Я тока и делал что стабилизировал их поделки =) можешь поделиться опытом? ;) К примеру относительно APlib, LZMA, LZO ? >>Пока я не постиг дзен, у меня был брутфорсер У меня родилась идея детекта по хэшам и в виде плагина к Hiew , если код не полиморфен и чист,то прогнать и получить хэш, а далее по базе в плагине, базу пополнять в виде оверлея к файлу плагина с небольшой инфой о каждом алгоритме и вижу это так: размер кода, название, версия, сайт, сам код. Конечно это не поможет в сложных случаях, но на ряде самопальных умеющих юзать APLib или только научившиеся, более чем достаточно будет. Но какие еще могут быть мысли ?! Может замечания по улучшению вашей идеи: "у меня был брутфорсер, который пробовал разжать поток всеми известными методами со всеми возможными параметрами" ?
DrGolova Ранг: 199.6 (ветеран), 12thx Активность: 0.1↘0 Статус: Участник www.uinc.ru	Создано: 13 мая 2010 02:50 · Личное сообщение · #11 >>> В больших сложных декомпрессорах попадаются таблички/константы > Примеры? ;) какие на твой взгляд сложные декомпрессоры и заслуживают уважения или хоть какого-то уважения? Zlib, Bzip2, Lzma, LHA (by Haruyasu Yoshizaki и >9000 его клонов в виде приватных платных компонент для б-г мерзкого Delphi) > У меня родилась идея детекта по хэшам и в виде плагина к Hiew Забудь - сорцы в основном на С/C++ - за компилерами и опциями не угнаца простым сигнатурам, а поведенческие судя по всему тебе еще не по зубам > базу пополнять в виде оверлея к файлу плагина с небольшой инфой о каждом алгоритме А че так скромно? Рекомендую сразу поднимать всемирное SQL облако, связь через торренты и все такое =)
sys_dev Ранг: 57.1 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 13 мая 2010 12:03 · Личное сообщение · #12 >>а поведенческие судя по всему тебе еще не по зубам возможно, но хотелось бы уточнить, что вы имеете ввиду? Возможно, имеете ввиду применение эмулятора каким-либо способом? >>А че так скромно? Рекомендую сразу поднимать всемирное SQL облако, связь через торренты и все такое =) улыбнуло! ;)

Для печати