Доброго дня/ночи сообществу!

В начале стандартная отмазка: я в реверсенге не старенькая, поэтому ногами не бить и руками не мацать

Теперь вопрос: что такое Entropy?
Вот есть у нас программа http://mp3book2005.narod.ru/MP3book2005.zip , на первый взгляд упакованная упаком. На второй взгляд упакована им же, так как PE Explorer её прекрасно распаковывает. А вот на третий взгляд начинаются вещи странные: DETECT iT EASY говорит, что программа --> Not Packed. Однако глазами я вижу, что паковая и натравливаю на неё RDG Packer Detector, который находит Aspack v1.601b. Более того, если распаковывать тем же QUnpack, то он автоматом снимает оба пакера! Но как же так, ведь энтропия нам говорила, что файл не пакован!

ps. Вот файл http://hexcsl.com/upload/stats/500 после ПЕ эксплорера.

| Сообщение посчитали полезным:

Вряд ли на Аспак можно подвесить упак

| Сообщение посчитали полезным:

pavka пишет:
Вряд ли на Аспак можно подвесить упак

видимо на v1.x можно. Либо это какой-то криптор, хорошо маскирующийся под аспак и при этом поддерживающий сжатие упаком (так как сверху там именно упак).
можно в принципе после снятия упака эксплорером натравить на программу анпакер пе_кила для аспака. анпакнутый файл будет вылетать с ошибкой, но судя по логу снимается именно аспак.
А вот почему энтропия показывает, что файл не пакованный я не знаю. pavka, не подскажешь?

| Сообщение посчитали полезным:

На последней версии реально сверху Upack, потом ASPack с очень слабым сжатием. хз как у автора это получилось.

| Сообщение посчитали полезным:

Gideon Vi пишет:
А вот почему энтропия показывает, что файл не пакованный я не знаю
файл не пакованый Шняга на васике
005A9000 60 PUSHAD
005A9001 E8 00000000 CALL mp3book2.005A9006
005A9006 5D POP EBP
005A9007 81ED EAA84300 SUB EBP,mp3book2.0043A8EA ; UNICODE "[?]*-"
005A900D B8 E4A84300 MOV EAX,mp3book2.0043A8E4
005A9012 03C5 ADD EAX,EBP
005A9014 2B85 78AD4300 SUB EAX,DWORD PTR SS:[EBP+43AD78]
005A901A 8985 84AD4300 MOV DWORD PTR SS:[EBP+43AD84],EAX
005A9020 80BD 6EAD4300 0>CMP BYTE PTR SS:[EBP+43AD6E],0
005A9027 75 15 JNZ SHORT mp3book2.005A903E
005A9029 FE85 6EAD4300 INC BYTE PTR SS:[EBP+43AD6E]
005A902F E8 1D000000 CALL mp3book2.005A9051
005A9034 E8 73020000 CALL mp3book2.005A92AC
005A9039 E8 0A030000 CALL mp3book2.005A9348
005A903E 8B85 70AD4300 MOV EAX,DWORD PTR SS:[EBP+43AD70]
005A9044 0385 84AD4300 ADD EAX,DWORD PTR SS:[EBP+43AD84]
005A904A 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
005A904E 61 POPAD
005A904F FFE0 JMP EAX

00401204 68 60E44100 PUSH mp3book2.0041E460
00401209 E8 EEFFFFFF CALL mp3book2.004011FC ; JMP to MSVBVM60.ThunRTMain

Криптор какой то ;)

firefly003 пишет:
натравливаю на неё RDG Packer Detector, который находит Aspack v1.601b
Ну мало ли что он мог найти ..

| Сообщение посчитали полезным:

Глянул я эту прогу там два пакера навешаны:
Microsoft Visual Basic 6.0
ASPack 1.061b
Upack 0.3.9 beta2s
А вот я навешал на aspack 1.00 Upack



16ee_26.12.2007_CRACKLAB.rU.tgz - aspack.rar

| Сообщение посчитали полезным:

pavka пишет:
005A9000 60 PUSHAD
это не начало, а переход сюда тупой и если натравить на файл (после того, как снять упак) VB Decompiler, то он банально зависнет.

| Сообщение посчитали полезным:

firefly003

я конечно хз, но у меня DiE выдало: Packed и (Win)Upack 0.32 - 0.39

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
я конечно хз, но у меня DiE выдало: Packed и (Win)Upack 0.32 - 0.39

дык это ты видно дистрибутив скачал теперь сними с него только упак и посмотри снова. ну или скачай:
firefly003 пишет:
ps. Вот файл после ПЕ эксплорера.

| Сообщение посчитали полезным:

Gideon Vi
004776B3 > 90 NOP
004776B4 75 00 JNZ SHORT mp3book2.004776B6
004776B6 - E9 45191300 JMP mp3book2.005A9000
начало и чего дальше?

мне в общем то по фигу кто там чего навешал тольк файл не пакован аспаком код раскриптовывается в память копируется в секцию если только в ранней молодости солод такой фигней маялся
005A9141 8BC8 MOV ECX,EAX
005A9143 8B3E MOV EDI,DWORD PTR DS:[ESI]
005A9145 03BD 84AD4300 ADD EDI,DWORD PTR SS:[EBP+43AD84] <-------------
005A914B 8BB5 88AD4300 MOV ESI,DWORD PTR SS:[EBP+43AD88]
005A9151 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
005A9153 5E POP ESI ; mp3book2.005A94A8
005A9154 8B85 88AD4300 MOV EAX,DWORD PTR SS:[EBP+43AD88]
005A915A 68 00800000 PUSH 8000

Gideon Vi пишет:
VB Decompiler, то он банально зависнет.
Он и на чистых файлах виснет а тут криптованый ;)

| Сообщение посчитали полезным:

pavka
Там точно под Upack Aspack первой версии. Там это можно определить по следующему коду раскриптовки и перехода на OEP:
PUSHAD
...
MOV EAX,DWORD PTR SS:[EBP+43AD70]
ADD EAX,DWORD PTR SS:[EBP+43AD84]
MOV DWORD PTR SS:[ESP+1C],EAX
POPAD
JMP EAX

Это можно проверить если открыть любой файл пакованный Aspack первой версии

| Сообщение посчитали полезным:

VaZeR
Я посмотрел твой файл Aspack точно но видимо с очень низкой компресией

| Сообщение посчитали полезным:

pavka пишет:
мне в общем то по фигу кто там чего навешал тольк файл не пакован аспаком

Было бы пофигу не заходил бы значит не пофигу.
Там аспак, а энтропия глючит из-за слабого сжатия

| Сообщение посчитали полезным:

pavka
В первой версии Aspack вроде нет выбора степени сжатия. Есть только две галочки
Kill .reloc
Packing .rsrc

| Сообщение посчитали полезным:

VaZeR
pavka пишет:
видимо с очень низкой компресией
Я про выбор и не говорил..
Gideon Vi пишет:
Там аспак, Только что по названию!

| Сообщение посчитали полезным: