Сейчас на форуме: (+7 невидимых)

 eXeL@B —› Протекторы —› Не удается определить обфусцированные функции kernel32
Посл.ответ Сообщение

Ранг: 2.4 (гость), 3thx
Активность: 0=0
Статус: Участник

 Создано: 10 ноября 2011 17:26
· Личное сообщение · #1

Искал по константам,почему-то не нашлось.
Функция №1
Code:
  1. 00E322A5   50               PUSH EAX
  2. 00E322A6   C7C0 A0000000    MOV EAX,0A0
  3. 00E322AC   870424           XCHG DWORD PTR SS:[ESP],EAX
  4. 00E322AF   52               PUSH EDX
  5. 00E322B0   C7C2 6000917C    MOV EDX,7C910060
  6. 00E322B6   871424           XCHG DWORD PTR SS:[ESP],EDX
  7. 00E322B9  ^E9 BFFFFFFF      JMP 00E3227D

Функция №2
Code:
  1. 00E32AAF   8BFF             MOV EDI,EDI
  2. 00E32AB1   87D5             XCHG EBP,EDX
  3. 00E32AB3   52               PUSH EDX
  4. 00E32AB4   87D5             XCHG EBP,EDX
  5. 00E32AB6   8BEC             MOV EBP,ESP
  6. 00E32AB8   87CB             XCHG EBX,ECX
  7. 00E32ABA   87D9             XCHG ECX,EBX
  8. 00E32ABC   FF75 0C          PUSH DWORD PTR SS:[EBP+C]
  9. 00E32ABF   58               POP EAX
  10. 00E32AC0   87DF             XCHG EDI,EBX
  11. 00E32AC2   53               PUSH EBX
  12. 00E32AC3   87DF             XCHG EDI,EBX
  13. 00E32AC5   FF75 08          PUSH DWORD PTR SS:[EBP+8]
  14. 00E32AC8   5F               POP EDI
  15. 00E32AC9   E9 01000000      JMP 00E32ACF
  16. 00E32ACE   000B             ADD BYTE PTR DS:[EBX],CL
  17. 00E32AD0   47               INC EDI
  18. 00E32AD1   10A9 00000269    ADC BYTE PTR DS:[ECX+69020000],CH
  19. 00E32AD7   0F85 CC000000    JNZ 00E32BA9
  20. 00E32ADD   FF75 10          PUSH DWORD PTR SS:[EBP+10]
  21. 00E32AE0   58               POP EAX
  22. 00E32AE1   8A48 FD          MOV CL,BYTE PTR DS:[EAX-3]
  23. 00E32AE4   83C0 F8          ADD EAX,-8
  24. 00E32AE7   8D09             LEA ECX,DWORD PTR DS:[ECX]
  25. 00E32AE9   F6C1 01          TEST CL,1
  26. 00E32AEC   8D6424 FC        LEA ESP,DWORD PTR SS:[ESP-4]
  27. 00E32AF0   893424           MOV DWORD PTR SS:[ESP],ESI
  28. 00E32AF3  ^0F84 49FFFFFF    JE 00E32A42
  29. 00E32AF9   F6C1 08          TEST CL,8
  30. 00E32AFC   8D89 A6E5E48D    LEA ECX,DWORD PTR DS:[ECX+8DE4E5A6]
  31. 00E32B02   8D89 5A1A1B72    LEA ECX,DWORD PTR DS:[ECX+721B1A5A]
  32. 00E32B08  ^0F85 7FFFFFFF    JNZ 00E32A8D

Функция №3
Code:
  1. 00DE305A   52               PUSH EDX
  2. 00DE305B   C7C2 04020000    MOV EDX,204
  3. 00DE3061   871424           XCHG DWORD PTR SS:[ESP],EDX
  4. 00DE3064   8D6424 FC        LEA ESP,DWORD PTR SS:[ESP-4]
  5. 00DE3068   C70424 E001917C  MOV DWORD PTR SS:[ESP],7C9101E0
  6. 00DE306F   8D89 520A3397    LEA ECX,DWORD PTR DS:[ECX+97330A52]
  7. 00DE3075   8D89 AEF5CC68    LEA ECX,DWORD PTR DS:[ECX+68CCF5AE]
  8. 00DE307B   E8 00000000      CALL 00DE3080
  9. 00DE3080   870424           XCHG DWORD PTR SS:[ESP],EAX
  10. 00DE3083   8D40 0F          LEA EAX,DWORD PTR DS:[EAX+F]
  11. 00DE3086   870424           XCHG DWORD PTR SS:[ESP],EAX
  12. 00DE3089   68 CBE8907C      PUSH 7C90E8CB
  13. 00DE308E   C3               RETN

Функция №4
Code:
  1. 00E902FC   8BFF             MOV EDI,EDI
  2. 00E902FE   87C2             XCHG EDX,EAX
  3. 00E90300   87D1             XCHG ECX,EDX
  4. 00E90302   87C1             XCHG ECX,EAX
  5. 00E90304   87D1             XCHG ECX,EDX
  6. 00E90306   50               PUSH EAX
  7. 00E90307   8BC5             MOV EAX,EBP
  8. 00E90309   870424           XCHG DWORD PTR SS:[ESP],EAX
  9. 00E9030C   8BEC             MOV EBP,ESP
  10. 00E9030E   8D9B AB4FC0EF    LEA EBX,DWORD PTR DS:[EBX+EFC04FAB]
  11. 00E90314   8D9B 55B03F10    LEA EBX,DWORD PTR DS:[EBX+103FB055]
  12. 00E9031A   64:A1 18000000   MOV EAX,DWORD PTR FS:[18]
  13. 00E90320   8B4D 08          MOV ECX,DWORD PTR SS:[EBP+8]
  14. 00E90323   51               PUSH ECX
  15. 00E90324   8F40 34          POP DWORD PTR DS:[EAX+34]
  16. 00E90327   872C24           XCHG DWORD PTR SS:[ESP],EBP
  17. 00E9032A   8D6424 04        LEA ESP,DWORD PTR SS:[ESP+4]
  18. 00E9032E   C2 0400          RETN 4


Функции обфусцированы Старфорсом




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 10 ноября 2011 17:37
· Личное сообщение · #2

Функция №4
похоже на SetLastError:
Code:
  1. 7C90FE30 n>    8BFF            MOV EDI,EDI
  2. 7C90FE32   /.  55              PUSH EBP
  3. 7C90FE33   |.  8BEC            MOV EBP,ESP
  4. 7C90FE35   |.  64:A1 18000000  MOV EAX,DWORD PTR FS:[18]
  5. 7C90FE3B   |.  8B4D 08         MOV ECX,DWORD PTR SS:[EBP+8]
  6. 7C90FE3E   |.  8948 34         MOV DWORD PTR DS:[EAX+34],ECX
  7. 7C90FE41   |.  5D              POP EBP
  8. 7C90FE42   \.  C2 0400         RETN 4

в первой что по адресу 7C910060 ?
в в третьей 7C90E8CB

-----
[nice coder and reverser]


Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 10 ноября 2011 18:17
· Личное сообщение · #3

Ты так ничего и не понял. Я даже не представляю насколько нужно быть тупым, чтобы прошло столько времени и человек упорно продолжал тупить.

Первая функция после деморфа:
push 0A0
push 7C910060
jmp 00E3227D

Что тут определять, если даже версия винды неизвестна?

Вторая функция:
mov edi, edi
push ebp
mov ebp, esp
mov eax, [ebp+0c]
push edi
mov edi, [ebp+08]
jmp 00E32ACF
* тут идет бред *

Мало того, что бреда столько накидал, так и еще какие то огрызки для опознания предоставил, не сказав при этом целевую систему.

-----
Yann Tiersen best and do not fuck

Ранг: 2.4 (гость), 3thx
Активность: 0=0
Статус: Участник

 Создано: 10 ноября 2011 18:21 · Поправил: ratsforce
· Личное сообщение · #4

Hellspawn пишет:
похоже на SetLastError
как-то особого сходства не наблюдается
Hellspawn пишет:
в первой что по адресу 7C910060 ?
FF
Hellspawn пишет:
в третьей 7C90E8CB
7C90E8CB /$ 68 20E9907C PUSH ntdll.7C90E920

Нагадил так функции Starforce 4.50.6.16 Basic

PE_Kill пишет:
Мало того, что бреда столько накидал, так и еще какие то огрызки для опознания предоставил, не сказав при этом целевую систему.

Ты сам тупой как пробка,вся необходимая информация для определения функций имеется. Не знаешь - не лезь

| Сообщение посчитали полезным: OspylaC, Calypso


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 10 ноября 2011 18:33
· Личное сообщение · #5

Про импорт в прошлом топике ясно написали, что делать. Если не понимаешь, что там написано и как это всё сделать, сходи лучше займись чем попроще.
И не стоило пытаться обойти бан, нерегав новых ников. Забанен.


 eXeL@B —› Протекторы —› Не удается определить обфусцированные функции kernel32
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати