Очень трудный пакер в первый раз

Сейчас на форуме: (+9 невидимых)

Посл.ответ	Сообщение
Fenikz Ранг: -0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 03 апреля 2014 10:46 · Личное сообщение · #1 Привет всем! Для набора опыта скачал себя вот такой анпакер, peid кричит что это UPolyX.. Никакого PUSHAD вообще нет. Пробую сломать по туториалама, вообще облом. Подскажите правильный путь анпака и вообще с чего тут начать. 20b2_03.04.2014_EXELAB.rU.tgz - packer.rar

ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 03 апреля 2014 11:13 · Личное сообщение · #2 Fenikz https://ssl.exelab.ru/f/action=vthread&forum=13&topic=11325&page=30 Для начала. ----- Stuck to the plan, always think that we would stand up, never ran.
DimitarSerg Ранг: 253.5 (наставник), 684thx Активность: 0.26↘0.25 Статус: Участник radical	Создано: 03 апреля 2014 11:20 · Личное сообщение · #3 Ух ёб... https://www.virustotal.com/ru/file/6a1d5e819be3829455da076ad469acf2c89dd989134bc130153e80e2d5c99828/analysis/ Я и сам не пользуюсь антивирусами и слабо им верю... но 41/47 ----- ds
Fenikz Ранг: -0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 03 апреля 2014 11:23 · Личное сообщение · #4 ARCHANGEL Скачал DiE,посмотрел, ничем не запакован. Тогда я вообще не понимаю как распаковать его если он ничем не упакован, но упакован ARCHANGEL Можешь пожалуйста посмотреть, только там есть какая то малвара. Я не знаю что она делать. Видимо надо её достать.
DimitarSerg Ранг: 253.5 (наставник), 684thx Активность: 0.26↘0.25 Статус: Участник radical	Создано: 03 апреля 2014 11:26 · Личное сообщение · #5 Fenikz Надо было в топик с вирусней а не в протекторы постить ! Лог BSA: Code: Detailed report of suspicious malware actions: Checked for debuggers Code injection in process: c:\program files\internet explorer\iexplore.exe Code injection in process: c:\winxp\system32\drwtsn32.exe Code injection in process: c:\winxp\system32\dwwin.exe Created a mutex named: CTF.Asm.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003 Created a mutex named: CTF.Compart.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003 Created a mutex named: CTF.Layouts.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003 Created a mutex named: CTF.LBES.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003 Created a mutex named: CTF.TimListCache.FMPDefaultS-1-5-21-1644491937-842925246-1957994488-1003MUTEX.DefaultS-1-5-21-1644491937-842925246-1957994488-1003 Created a mutex named: CTF.TMD.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003 Created a mutex named: Local\_!MSFTHISTORY!_ Created a mutex named: Local\c:!documents and settings!reverser!cookies! Created a mutex named: Local\c:!documents and settings!reverser!local settings!history!history.ie5! Created a mutex named: Local\c:!documents and settings!reverser!local settings!temporary internet files!content.ie5! Created a mutex named: MSCTF.Shared.MUTEX.IKH Created a mutex named: RasPbFile Created a mutex named: SHIMLIB_LOG_MUTEX Created an event named: DbgEngEvent_00000988 Created an event named: i00000CF8 Created process: (null),C:\WINXP\system32\drwtsn32 -p 3320 -e 948 -g,(null) Created process: (null),C:\WINXP\system32\dwwin.exe -x -s 992,C:\WINXP\system32 Created process: c:\progra~1\intern~1\iexplore.exe,(null),(null) Detected process privilege elevation Enumerated running processes Got computer name Got system default language ID Got user name information Got volume information Listed all entry names in a remote access phone book Modified file in defined folder: C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log Modified file in defined folder: C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp Opened a service named: RASMAN Opened a service named: Sens Started a service Terminated process: ????????°?-?? потом аварийно закрылось ----- ds
Fenikz Ранг: -0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 03 апреля 2014 11:29 · Личное сообщение · #6 DimitarSerg Извиняй Ну тут о не в вирусне дело. Я не могу понять где точка входа в начало вирусни, не могу понять.
DimitarSerg Ранг: 253.5 (наставник), 684thx Активность: 0.26↘0.25 Статус: Участник radical	Создано: 03 апреля 2014 11:35 · Личное сообщение · #7 DimitarSerg пишет: Я не могу понять где точка входа OEP: 0043A586 6A 60 PUSH 60 ----- ds
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 03 апреля 2014 11:44 · Личное сообщение · #8 Добавлю к тому, что написал DimitarSerg 69.43.161.170 69.43.160.215 109.75.162.57 74.125.136.147 74.125.136.94 ayb.dns-look-up.com 69.43.161.170 bidr.trellian.com 69.43.160.215 www.winstmethode.com 109.75.162.57 в темп unpackme.exe
Fenikz Ранг: -0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 05 апреля 2014 22:04 · Личное сообщение · #9 F_a_u_s_t Не понял
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 06 апреля 2014 02:27 · Личное сообщение · #10 Fenikz пишет: Не понял Сетевая активность бинаря, в папке темп результат этой активности.
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 06 апреля 2014 11:27 · Личное сообщение · #11 Fenikz пишет: F_a_u_s_t Не понял Банить тебя пора! Так понятнее? ----- aLL rIGHTS rEVERSED!

Для печати