 |
eXeL@B —› Протекторы —› Распаковка драйвера |
| Посл.ответ | Сообщение |
|
|
Создано: 27 ноября 2005 17:35 · Поправил: Модератор · Личное сообщение · #1 Вот недавно залезла ко мне на комп какая-то нехорошая бяка (нашел я ее случайно) и теперь вот хочу узнать что она могла сделать. Я вчера менял дрова для звуковухи и у меня навернулась винда. Чтобы удалить кривые дрова я загрузился в вигнду на другом винте и случайно увидел в папке system32\drivers странный драйвер i386p.sys который я раньше не видел никогда. После загрузки в рабочую виндду драйвер стал невидим. Я проверил систему на руткиты с помощью RootkitRevealer но он ничего не нашел, хотя скрытый файл 100% есть. Я попытался дизассемблировать драйвер, но он видимо чем-то запакован. Вот собственно у меня и возник вопрос к сдешним гуру - чем запакован этот драйвер и как его распаковать? [Аттач удален по просьбе одного из участников форума]  |
|
|
Создано: 27 ноября 2005 17:50 · Личное сообщение · #2 Хочу спросить уважаемого модератора - ЗА ЧТО УДАЛЕН АТАЧ? Я же не нарушаю никаких правил форума. |
|
|
Создано: 27 ноября 2005 17:54 · Личное сообщение · #3 Аттачить трояны, да еще и драйверные на форуме запрещено (равно как и вирусы, кряки и прочее). На то есть приватные Личные_Сообщения и ирк канал #cracklab ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 27 ноября 2005 18:07 · Личное сообщение · #4 Тогда изменю вопрос: Чем обычно пакуют драйвера и как их распаковывать? |
|
|
Создано: 27 ноября 2005 18:30 · Личное сообщение · #5 Любезный. Вопрос не корректен. Нужна информация к размышлению, т.е. аттач. |
|
|
Создано: 27 ноября 2005 18:37 · Личное сообщение · #6 Zver пишет: Чем обычно пакуют драйвера и как их распаковывать? Драйвера обычно не пакуют, точнее приватные пакеры есть... но я их сам не видел... но есть информация что они есть... принцип распаковки думаю такойже как и Dll... правда скорее всего придется распаковывать статически или под софтайсом ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 27 ноября 2005 18:48 · Личное сообщение · #7 ну хотя бы vmprotect - он на дрова нормально ложится |
|
|
Создано: 27 ноября 2005 18:58 · Личное сообщение · #8 ssx пишет: ну хотя бы vmprotect - он на дрова нормально ложится ну он не пакер 
----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 27 ноября 2005 19:31 · Поправил: TOG · Личное сообщение · #9 VMProtect это уже диагноз ? |
|
|
Создано: 27 ноября 2005 20:04 · Личное сообщение · #10 TOG пишет: VMProtect это уже диагноз ? Если ДА, то это довольно волосатое чудовище. Хотя опять же если запакована процедура целиком (с пролоом и эпилогом), то это не так страшно, а вот если байт 10, то это .... гимнастика для ума ммммммм. не совсем понимаю ход твоих мыслей. почему декомпилить 10 байт сложнее чем всю процедуру? |
|
|
Создано: 27 ноября 2005 20:34 · Личное сообщение · #11 Если процедура была целиком закручена, то начало и конец можно запросто предположить, следовательно и ускорить перебор. А все что меньше 10 байт (по моему мнению), тут уже сиди гадай, что это было: add [ebp+XX],X call x mov x, y Для меня прога с закрученными 7 байтами обернулась довольно мутным уикэндом. |
|
|
Создано: 27 ноября 2005 20:44 · Поправил: Grey · Личное сообщение · #12 DELITE ----- TBR |
|
|
Создано: 27 ноября 2005 23:24 · Поправил: infern0 · Личное сообщение · #13 TOG пишет: Если процедура была целиком закручена, то начало и конец можно запросто предположить, следовательно и ускорить перебор генацвале, ты хоть одну функу полностью закрытую вмпротом декомпилил ? какой перебор, что перебирать будем ? |
|
|
Создано: 28 ноября 2005 06:55 · Личное сообщение · #14 Да. брутить там ничего не надо. Тормознул я. |
|
eXeL@B —› Протекторы —› Распаковка драйвера |
Для печати