Распаковка с помощью OllyDbg

Сейчас на форуме: (+7 невидимых)

Посл.ответ	Сообщение
RezCr05 Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 10 ноября 2012 20:00 · Личное сообщение · #1 Добрый вечер уважаемые форумчане. Вданный момент пытаюсь решить след. задачу: Необходимо распаковать файл с помощью OllyDbg. Внимание: Файл содержит зловредный код. Пароль к архиву: test Не удается найти точку OEP, не могли бы Вы мне намекнуть на ее место расположение. Можете указать на диапазон, в которой она распологается. Задачу решаю исключительно в самообразовательных целях. Спасибо. 57c6_10.11.2012_EXELAB.rU.tgz - test.rar

schokk_m4ks1k Ранг: 31.0 (посетитель), 70thx Активность: 0.14↘0 Статус: Участник	Создано: 10 ноября 2012 20:22 · Поправил: schokk_m4ks1k · Личное сообщение · #2 код вроде как чистый! какой оеп? с чего ты взял что упаковано чем то? на секции посмотри) add: что то все таки навешано, крипт от антивирусов, по ходу самописный какой то
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 10 ноября 2012 20:58 · Личное сообщение · #3 Все под шаблон сделано. 1) Пошаговая распаковка LOOP. 2) Затем список импортируемых функций. 3) Загрузка библиотеки WinSock. Visual С++ 7 Подобие OEP here: Code: 0043A586 /> \6A 60 PUSH 60 0043A588 \|. 68 50034500 PUSH OFFSET 00450350 0043A58D \|. E8 0A020000 CALL 0043A79C 0043A592 \|. BF 94000000 MOV EDI,94 0043A597 \|. 8BC7 MOV EAX,EDI 0043A599 \|. E8 12DBFFFF CALL 004380B0 ; Allocates 148. bytes on stack 0043A59E \|. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 0043A5A1 \|. 8BF4 MOV ESI,ESP 0043A5A3 \|. 893E MOV DWORD PTR DS:[ESI],EDI 0043A5A5 \|. 56 PUSH ESI 0043A5A6 \|. FF15 C0724400 CALL DWORD PTR DS:[4472C0] \| Сообщение посчитали полезным: RezCr05
RezCr05 Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 11 ноября 2012 00:09 · Личное сообщение · #4 Первый пункт я заметил, а остальные нет. Спасибо, посмотрю повнимательней.

Для печати