 |
eXeL@B —› Вопросы новичков —› Bad DOS signature !! - как с этим бороться |
| Посл.ответ | Сообщение |
|
|
Создано: 26 января 2009 11:11 · Поправил: ivans77 · Личное сообщение · #1 Всем привет! Имею следующую проблемку - есть вирь "Trojan-Spy.Win32.Webmoner.ga" (Каспер) - файл с именем "setupapi.dll". Упакован неизвестно чем - DiE и PEiD не показывают данных. Решил его поковырять 
Загружаю его в OllyDbg и пытаюсь найти OEP. Ставлю бряк на hr esp-4.. Когда дохожу до места, которое как предполагаю, является OEP при попытке снять дамп на диск OllyDbg выдает сообщение - "Bad DOS signature !!".. Пробовал снимать в разных местах программы - всюду одно и тоже.. Подскажите, как получить оригинал - т.е снять упаковку?! Уже упарился с ним просто 
Архив с ним прилагаю - пароль на архив - 12345  7a84_26.01.2009_CRACKLAB.rU.tgz - setupapi.zip
 |
|
|
Создано: 26 января 2009 19:25 · Личное сообщение · #2 ivans77 пишет: Упакован неизвестно чем А счего ты решил ,что он вообще упакован ? ----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 26 января 2009 20:29 · Поправил: dante_ · Личное сообщение · #3 делет |
|
|
Создано: 27 января 2009 08:44 · Поправил: ivans77 · Личное сообщение · #4 MACKLIA пишет: А счего ты решил ,что он вообще упакован ? По следующим причинам: 1) ProcessExplorer опеределяет его (когда я в виртуалке запустил вирь и он прицепился к процессу Internet Explorer) как упакованный объект (подсветка малиновым цветом) 2) Если объект не упакован то DiE и PEiD обычно точно определяют версию компилера, а не пишут (X.X).. Хотя часто и врут 3) Загружаем объект в IDA и видим в списке строк ("Strings") лишь совсем чуть чуть.. Буквально 2-e строки.. Хотя IDA обычно ругается на упакованные объекты - здесь всё проходит на ура.. Но суть от этого не меняется MACKLIA у меня к вам вопрос - а вы его вообще смотрели внимательно? 
Вообщем у меня пока так толком и не получилось понять откуда эта ошибка и как снять защиту 
|
|
|
Создано: 28 января 2009 09:09 · Личное сообщение · #5 Ни у кого нет мыслей? 
|
|
|
Создано: 28 января 2009 14:30 · Личное сообщение · #6 ivans77 пишет: Если объект не упакован то DiE и PEiD обычно точно определяют версию компилера, а не пишут (X.X).. Хотя часто и врут ivans77 у меня DiE пишет Microsoft Visual C++ ----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 28 января 2009 15:04 · Личное сообщение · #7 Ты в IDA пробовал загрузить? Второй день уже настойчиво советую. Что касается DiE - у меня пишет: "Microsoft VisualC++ [ver: X.X] | C/C++" |
|
|
Создано: 28 января 2009 23:18 · Личное сообщение · #8 вот, ковыряй на здоровье b673_28.01.2009_CRACKLAB.rU.tgz - _00370000.dll
----- [nice coder and reverser] |
|
|
Создано: 29 января 2009 10:43 · Личное сообщение · #9 СПАСИБО ОГРОМНОЕ !!! Hellspawn, а не расскажешь как ты сумел обойти ту проблему, о которой я писал выше? По поводу "Bad DOS signature !!"
|
|
eXeL@B —› Вопросы новичков —› Bad DOS signature !! - как с этим бороться |
Для печати