Распаковка TheHyper Protector

Сейчас на форуме: (+6 невидимых)

Посл.ответ	Сообщение
lenovo Ранг: 3.9 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 06 октября 2016 22:04 · Поправил: lenovo · Личное сообщение · #1 Наткнулся на вот такую загагулину. В сети информации нет ,как и самого протектора, Есть ли Мануалы или какие распаковщики? вот упакованный пациент. Интересует процесс распаковки поиска точки входа и тд. PS:+ мыслишка проскользнула имея пакованный файл можно ли востановить сам упаковщик (если да то как)? 1df4_06.10.2016_EXELAB.rU.tgz - NTS.7z

daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 06 октября 2016 23:57 · Поправил: daFix · Личное сообщение · #2 lenovo В загрузчике реализована какая-то простенькая виртуальная машина, выборка обработчиков оппкодов лежит по адресу 0104A621 Образ Kernel32 копирует в выделенное пространство и дальнейшие API вызовы происходят уже в копию образа. Пока застрял на ZwQueryInformationProcess с параметром ProcessDebugObjectHandle Палюсь и стек уходит в небеса ----- Research For Food
nv Ранг: 5.5 (гость), 2thx Активность: 0.01↘0 Статус: Участник	Создано: 07 октября 2016 01:12 · Личное сообщение · #3 Не от этой приблуды ноги растут? https://exelab.ru/f/action=vthread&forum=1&topic=7989 \| Сообщение посчитали полезным: lenovo
dosprog Ранг: 431.7 (мудрец), 389thx Активность: 0.73↘0.32 Статус: Участник	Создано: 07 октября 2016 02:36 · Личное сообщение · #4 --> OpenRCE <--
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 09 октября 2016 05:18 · Личное сообщение · #5 daFix После первого теневого системного вызова(Id > 1000) антидебага нет - делаем небольшой стаб, который мониторит сервисы и генерит Int3, тогда олли приаттачится. Можно это и в кернел отладчике сделать, кому как удобнее. Ну что бы не парится с антидебагом при запуске. Но там в памяти мусор" из за морфа(или может обфускации хз), так что дальнейшие действия не ясны, тоесть деморфить и раскуривать вм в случае крякми это слишком долго. ----- vx \| Сообщение посчитали полезным: daFix, Gideon Vi
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 10 октября 2016 03:55 · Личное сообщение · #6 difexacaw Ну да, так раньше старфорс отлаживали) Не стал уже париться и дальше долбить стаб. Хотя, было бы больше времени, поковырял бы его. Действительно интересная штуковина ----- Research For Food
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 10 октября 2016 20:19 · Поправил: difexacaw · Личное сообщение · #7 daFix Вся виртуализация, криптование етц, всё упирается одну ключевую проблему - нет способа гарантировано отделить код от данных, это изначально баг в самой идеи пе формата. Как следствие полное изменение кода можно сделать корректно только с некоторой и причём малой вероятностью. Посему это и не применяется. В данном случае такое тоже смысл имеет, это не морф, это обфускация, скорее всего реализована на макросах как обычно, только так можно обьяснить те переходники на апи. И доказательством этого может быть отсутствие самого криптора/протектора, так как он и есть этот семпл ----- vx

Для печати