00400000 00001000 ZForever 0 PE header
00401000 000C4000 ZForever 0 .text
004C5000 0009E000 ZForever 0 .data
00563000 00001000 ZForever 0 .tls
00564000 00001000 ZForever 0 .rdata
00565000 00013000 ZForever 0 55mfd40.
00578000 00003000 ZForever 0 .edata
0057B000 00061000 ZForever 0 .rsrc
005DC000 00011000 ZForever 0 szlmy5se
005ED000 00081000 ZForever 0 icdh9lou
0066E000 00101000 ZForever 0 b569e8ae

www.bestzvit.com.ua

| Сообщение посчитали полезным:

FockuS
98% вероятности это exe cryptor тут на форуме базы к peid были скачай и убЕдись ;)
add
hxxp://www.exelab.ru/f/action=vthread&forum=3&topic=2413&p age=0#24 вот тут ;)

| Сообщение посчитали полезным:

не 99 а 100.. это он..

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Red Bar0n

Она защищена EXECryptor - ом. Имхо я всегда розличаю по секциям что это криптор, помоему больше не одна защита так не "срёт" туда

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

Да, кстати, а какой код ExeCryptor ставит в TlsCallback? Просто палит отладчик, взаимодействия с потоками программы нет?

| Сообщение посчитали полезным:

> Да, кстати, а какой код ExeCryptor ставит в TlsCallback?
> Просто палит отладчик, взаимодействия с потоками программы нет?
вспомнилось интервью Релаера со строк про ТЛС =)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Больше на маскировку похоже! Хотя какая разница пугани его отладчиком да узнаешь!

| Сообщение посчитали полезным:

pavka пишет:
Больше на маскировку похоже! Хотя какая разница пугани его отладчиком да узнаешь!


Какая маскировка! 100% криптор.

| Сообщение посчитали полезным:

SLV
Не нашёл я в его интервью ни слова про Tls.
FockuS
Если это ExeCryptor, то OllyDbg запустит файл и он завершится ещё до начала отладки.

| Сообщение посчитали полезным:

agentru
Может ты и версию скажешь? С чего такая увереность? Ну а если даже и так, что из того?
Судя по тому хламу что валяется на Фтпшнике вряд ли там что то особо новое!

| Сообщение посчитали полезным:

pavka пишет:
Может ты и версию скажешь? С чего такая увереность? Ну а если даже и так, что из того?
Судя по тому хламу что валяется на Фтпшнике вряд ли там что то особо новое!

Версию а ты сможешь? я нет. А уверенность потому как эту прогу копал один знакомый и он ошибиться ну никак немог.

| Сообщение посчитали полезным:

В tls никакого необратимого функционала быть не может, иначе бы это не работало под 95/98/ME
Так что максимум проверки на отладчик и целостность.

| Сообщение посчитали полезным:

NullSession пишет:
Не нашёл я в его интервью ни слова про Tls.

плохо искал

| Сообщение посчитали полезным:

DrGolova

а ты мозгами пораскинь что мешает под 9х пойти по другой ветке?

| Сообщение посчитали полезным:

NullSession пишет:
Если это ExeCryptor, то OllyDbg запустит файл и он завершится ещё до начала отладки.

Это только если не предпринять мер противодействия неправильному ходу событий

| Сообщение посчитали полезным:

Asterix OllyDbg его запускает только через Shift+F9
Испытаю на exe cryptor

| Сообщение посчитали полезным:

FockuS пишет:
OllyDbg его запускает только через Shift+F9
Что есть Shift+F9. Attach что ли ? У меня нет такой комбинации -
наверное плюг какой-то ...

| Сообщение посчитали полезным:

Asterix
Asterix пишет:
Это только если не предпринять мер противодействия неправильному ходу событий
Плагин заюзать?

| Сообщение посчитали полезным:

NullSession пишет:
Плагин заюзать?

Как вариант, но есть и другие интересные методы

| Сообщение посчитали полезным:

tundra37 пишет:
Что есть Shift+F9
Проход через ошибки

| Сообщение посчитали полезным:

Asterix
Буду признателен, если скажешь какие именно.
t3stament01
В смысле проход через исключения? Хотя да, одно и то же.

| Сообщение посчитали полезным:

Есть полно методов и примочек для ExeCryptorа что можно не парится с Tls! и System breakpoint!
Хотя поимать его в отладчике это еще не все! Но на цивильных прогах редко пользуют все опции!
К примеру с DiE 0.4b by ~Hellsp@wN снимается за пять минут не сложнее чем UPX!

| Сообщение посчитали полезным:

pavka пишет:
К примеру с DiE 0.4b by ~Hellsp@wN снимается за пять минут не сложнее чем UPX!

дык там не одной галки то и не стоит...
просто критически участки пошифрованы и всё
и в следующей версии я откажусь от ехекруптора... (ложные срабатывания антивиря)

ну на счёт не сложнее чем с упх =) это кому как...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
дык там не одной галки то и не стоит..
И при этом запусти распакованый и протекченый и ощути разницу!
ну на счёт не сложнее чем с упх =)
При таких опциях не сложнее, у меня заняло не более 5 минут!

| Сообщение посчитали полезным:

Hellspawn пишет:
ложнге срабатывания антивиря

а ты купить не пробовал? может быть тогда и срабатываний AV не было бы?

| Сообщение посчитали полезным:

Relayer

Опять реклама...

Сорри за оффтоп.

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

newborn

при чем здесь реклама? он на каждом углу ноет о ложных срабатываниях. так вот нех тыренным софтом пользоваться тогда и ложных срабатываний не будет. так что с консерваторией все в порядке. просто музыку надо уметь играть а не плагиатить

| Сообщение посчитали полезным:

Relayer
Кстати, про TLS не пояснишь случайно?

| Сообщение посчитали полезным:

NullSession пишет:
TLS не пояснишь случайно

что именно?

| Сообщение посчитали полезным:

1) ну с какого дуба ты их добавляешь в программу?
2) вообще в нормальных случаях что они делают
Имеются ввиду TLS-callback функции, конечно. Кстати, почему-то LoadLibrary на Dll с Tls'ом не идёт.

| Сообщение посчитали полезным: