Вопрос по PEiD

Сейчас на форуме: asfa (+5 невидимых)

Посл.ответ	Сообщение
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 04 декабря 2009 19:25 · Поправил: VOLKOFF · Личное сообщение · #1 Наткнулся на програмку одну склеенную с засранчегом (поизоновский сервер оказался), ну от нечего делать, дай думаю посмотрю что к чему, в силу своих возможностей... Отковырял его, просканил DiE - пишет не валидный ПЕ, в тоже время PEiD выдал PEncrypt 3.1 Final -> junkcode Неглядя кинул его в распаковщик, говорит не запакован таким =) Посмотрел в списке сигнатур, выглядеть должно так: Code: EB 25 00 00 F7 BF 00 00 00 00 00 00 00 00 00 00 л%..чї.......... 12 00 E8 00 56 69 72 74 75 61 6C 50 72 6F 74 65 ..и.VirtualProte 63 74 00 00 00 00 00 E8 00 00 00 00 5D 81 ED 2C ct.....и....]Ѓн, 10 40 00 8D B5 14 10 40 00 E8 33 00 00 00 89 85 .@.Ќµ..@.и3...‰… 10 10 40 00 BF 00 00 40 00 8B F7 03 7F 3C 8B 4F ..@.ї..@.‹ч..<‹O 54 51 56 8D 85 TQVЌ… или Code: E9 ?? ?? ?? 00 F0 0F C6 й....р.Ж для 3.1 Но нет там даже близко такой сигнатуры... Собственно вопрос, - как без наличия в файле сигнатуры определился этот криптор? Вот сам файл rapidshare.com/files/316261445/zasrancheg.exe.html, если информации для ответа недостаточно.

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 04 декабря 2009 20:09 · Личное сообщение · #2 Сигнатуры не только отдельно лежат. Насколько я помню, в сам пеид тоже вшиты какие-то сигны. Ну или ты чо-то ещё попутал.
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 04 декабря 2009 20:31 · Поправил: VOLKOFF · Личное сообщение · #3 Archer пишет: Насколько я помню, в сам пеид тоже вшиты какие-то сигны Скорее всего ты прав... Тогда вопрос закрыт. К теме о сигнах - Можно где достать полный список сигнатур отдельно? Пригодилось бы.
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 04 декабря 2009 22:11 · Поправил: SVLab · Личное сообщение · #4 Полный список сделать нереально Неплохой посмотри здесь в последнем посте http://exelab.ru/f/action=vthread&forum=3&topic=13467
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 04 декабря 2009 22:54 · Личное сообщение · #5 Благодарю. Список хорош, однако того же PEncryptа там вообще нет к сожалению =(
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 05 декабря 2009 12:02 · Личное сообщение · #6 Archer пишет: Насколько я помню, в сам пеид тоже вшиты какие-то сигны не столько сигны, сколько эвристик. последний PEiD, например, определяет компилятор по используемому линкеру от MS - при наличии 'Rich' сигнатуры перед PE заголовком ----- EnJoy!
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 25 апреля 2010 14:00 · Поправил: NikolayD · Личное сообщение · #7 Извините что апаю топик, но у кого есть сигнатуры компиляторов вроде таких Code: 00401000 > $ /EB 10 JMP SHORT 00401012 00401002 \|66 DB 66 ; CHAR 'f' 00401003 \|62 DB 62 ; CHAR 'b' 00401004 \|3A DB 3A ; CHAR ':' 00401005 \|43 DB 43 ; CHAR 'C' 00401006 \|2B DB 2B ; CHAR '+' 00401007 \|2B DB 2B ; CHAR '+' 00401008 \|48 DB 48 ; CHAR 'H' 00401009 \|4F DB 4F ; CHAR 'O' 0040100A \|4F DB 4F ; CHAR 'O' 0040100B \|4B DB 4B ; CHAR 'K' 0040100C \|90 NOP 0040100D \|E9 DB E9 0040100E . \|30144B00 DD OFFSET TEST.___CPPdebugHook 00401012 > \A1 23144B00 MOV EAX,DWORD PTR DS:[4B1423] 00401017 . C1E0 02 SHL EAX,2 0040101A . A3 27144B00 MOV DWORD PTR DS:[4B1427],EAX 0040101F . 52 PUSH EDX ; ntdll.KiFastSystemCallRet 00401020 . 6A 00 PUSH 0 ; /pModule = NULL 00401022 . E8 79F40A00 CALL <JMP.&KERNEL32.GetModuleHandleA> ; \GetModuleHandleA 00401027 . 8BD0 MOV EDX,EAX 00401029 . E8 1E360800 CALL 0048464C 0040102E . 5A POP EDX ; kernel32.7C816FF7 Угостите.
BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 26 апреля 2010 08:40 · Личное сообщение · #8 NikolayD это Borland C++ Builder ----- Лучше быть одиноким, но свободным © $me
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 26 апреля 2010 10:56 · Поправил: Модератор · Личное сообщение · #9 BoRoV да и что? Мне нужна именно база сигнатур с таким содержимым для всех компиляторов (основных C,ASM,Delphi,VB можно ещё каких нить). От модератора: А то, что пост ты свой исправил, умник!
deepred Ранг: 81.5 (постоянный), 5thx Активность: 0.08↘0 Статус: Участник	Создано: 26 апреля 2010 11:37 · Личное сообщение · #10 NikolayD, посмотри мою userdb. Там много всяких компиляторов найдешь. СКАЧАТЬ А вот еще на всякий случай архив с екзешниками на разных компиляторах для проверки и экспериментов. СКАЧАТЬ
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 26 апреля 2010 11:55 · Поправил: NikolayD · Личное сообщение · #11 deepred да не вы опять не поняли. Вот берем userdb смотрим там первую сигнатуру [* PseudoSigner 0.2 [Borland C++ 1999]] signature = EB 10 66 62 3A 43 2B 2B 48 4F 4F 4B 90 E9 90 90 90 90 A1 ?? ?? ?? ?? A3 так вот ЭТО МНЕ НЕ НУЖНО, мне нужно что бы было ВОТ ТАК 00401000 > $ /EB 10 JMP SHORT 00401012 , т.е. чтобы были команды. Вроде понятно всё объяснил теперь..
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 26 апреля 2010 13:41 · Поправил: SVLab · Личное сообщение · #12 Это уже будет не сигнатура. И для чего? Вроде был топик, где давались ссылки на наборы небольших прог, сделанных разными компиляторами. Может, тебе это нужно? З.Ы. Не заметил, что ссылку на такой набор уже дали
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 26 апреля 2010 13:59 · Поправил: NikolayD · Личное сообщение · #13 SVLab а что? На снове начальных байт делается сигнатура, видать просто трабл в терминах я своё ты своё, не будем спорить на эту тему главное что ты понял о чём я. SVLab пишет: Может, тебе это нужно? это да только 12м не потяну у меня GPRS,мне не лень просто это в "копеечку" обойдется. Может кто-то уже сделал так, или если сделает и выложит буду благодарен. SVLab пишет: И для чего хотя бы чтоб знать как все это выглядит
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 26 апреля 2010 17:26 · Личное сообщение · #14 Ну если только для изучения, тогда ясно. Если не лень, берешь нормальные сигнатуры и переводишь в ассемблерный текст, где-то после 20й уже реже будешь заглядывать в справочник по опкодам
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 26 апреля 2010 18:24 · Поправил: Модератор · Личное сообщение · #15 SVLab пишет: берешь нормальные сигнатуры и переводишь в ассемблерный текст пардон это как переводить ?? ?? ?? ?? Ясно короче нет ни у кого. Буду тогда скачивать. NikolayD пишет: От модератора: А то, что пост ты свой исправил, умник! ну и? Я сразу вопрос задал НЕ КАКОЙ ЭТО КОМПИЛЯТОР, а по сигнатурам спрашивал читайте то хоть внимательно, тоже мне модератор нашёлся. От модератора: Бан на 3 дня. Холодная вода и чтение правил тебе помогут.
BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 26 апреля 2010 19:10 · Поправил: BoRoV · Личное сообщение · #16 NikolayD пишет: это как переводить ?? ?? ?? ?? это адрес (относительный оффсет), он у кажной проги разный, потому там может быть любое значение или же уже другие инструкции, тогда берешь интеловский ман и переводишь в код, как уже тебе советовали ----- Лучше быть одиноким, но свободным © $me

Для печати