Сигнатуры протекторов

Сейчас на форуме: (+6 невидимых)

Посл.ответ	Сообщение
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 19 июня 2012 11:14 · Поправил: Rio · Личное сообщение · #1 Привет Всем! Объясните пожалуйста, какой алгоритм действий используется при определении упаковщика, протектора по имющейся базе сигнатур без сторонних анализаторов, т.е. вручную например при помощи hex редактора. Например UPX: [UPX v0.89.6 - v1.02 / v1.05 - v1.22] signature=?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 8A 06 46 88 07 47 01 DB 75 07 8B 1E 83 EE FC 11 DB 72 ED B8 01 ?? ?? ?? 01 DB 75 07 8B 1E 83 EE FC 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE FC ep_only=true .. Я беру 4 байта 8A 06 46 88 и прохожу поиском во FlexHex если есть совпадение, то это UPX, или совсем по-другому?

ZaZa Ранг: 158.5 (ветеран), 219thx Активность: 0.12↘0.01 Статус: Участник	Создано: 19 июня 2012 11:44 · Поправил: ZaZa · Личное сообщение · #2 1. Ищещь EP... 2. Берешь всю эту строку (?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 8A 06 46 88 07 47 01 DB 75 07 8B 1E 83 EE FC 11 DB 72 ED B8 01 ?? ?? ?? 01 DB 75 07 8B 1E 83 EE FC 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE FC) и ищещь с маской... То есть все что вопросами - любые байты, а все, что явно указано, то и должно быть... Пример: 01 02 03 04 05 06 07 01 02 03 04 05 06 07 01 02 03 04 05 06 07 01 02 03 8A 06 46 88 07 47 01 DB 75 07 8B 1E 83 EE FC 11 DB 72 ED B8 01 01 02 03 01 DB 75 07 8B 1E 83 EE FC 11 DB 11 C0 01 DB 73 01 75 02 8B 1E 83 EE FC Это UPX, так как указанные байты в сигнатуре стоят именно на тех местах и полностью совпадают... Надо брать всю последовательность, чтобы уменьшить число совпадений... ----- One death is a tragedy, one million is a statistic.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 19 июня 2012 11:46 · Поправил: Модератор · Личное сообщение · #3 Опечатка выше, OEP не при делах. ep_only-это искать только на точке входа. Именно EP, а не OEP.
ZaZa Ранг: 158.5 (ветеран), 219thx Активность: 0.12↘0.01 Статус: Участник	Создано: 19 июня 2012 11:51 · Личное сообщение · #4 Archer Ошибочка вышла... Это я и хотел сказать... ----- One death is a tragedy, one million is a statistic.
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 19 июня 2012 12:14 · Поправил: Rio · Личное сообщение · #5 to:ZaZa and Archer >>1. Ищещь EP... так EntryPoint:=PEHead.OptionalHeader.AddressOfEntryPoint; ?
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 19 июня 2012 12:24 · Личное сообщение · #6 Так, в мане по ПЕ так и написано.
Rio Ранг: 95.5 (постоянный), 36thx Активность: 0.08↘0.04 Статус: Участник	Создано: 22 июня 2012 07:54 · Личное сообщение · #7 А как найти вручную EP, например с помощью HIEW, ведь в Hiew при открытии я сразу оказываюсь по адресу 00400000, но т.к. файл упакован UPX, то EP (в Оле) показывает 00469C00?
ZaZa Ранг: 158.5 (ветеран), 219thx Активность: 0.12↘0.01 Статус: Участник	Создано: 22 июня 2012 08:29 · Личное сообщение · #8 Не понял чего ты хочешь, но догадываюсь... Скорее всего тебе надо определиться, что ты хочешь найти: EP или OEP. Отличия указаны --> ЗДЕСЬ (FAQ) <-- ----- One death is a tragedy, one million is a statistic.
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 22 июня 2012 08:34 · Личное сообщение · #9 Ну Archer написал же, читайте маны. В режиме hex или decode F8->F5

Для печати