Распаковка неизвесного пакера

Сейчас на форуме: asfa, Rio (+6 невидимых)

Посл.ответ	Сообщение
tino Ранг: 23.5 (новичок), 5thx Активность: 0.02↘0 Статус: Участник	Создано: 26 июля 2013 21:27 · Поправил: tino · Личное сообщение · #1 Цель - распаковать и убрать ограничение Файл представляет из себя какой-то контейнер. После запуска в память распаковывается lua5.1.dll и дальше много вызовов из этой длл. Есть две секции с названиями .enigma1, .enigma2 Такое впечатление что скомпилированный луа расшифровывает оверлей и запускает его. Возможно файл не пакован потому что хорошо сжимается rar-ом. Подскажите с какой стороны подойти к вытягиванию файлов из этого контейнера. Спасибо.

BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 26 июля 2013 21:34 · Личное сообщение · #2 Это наверное Enigma Virtual Box. Ну раз вы нашли lua dll, то наверное сможете и остальное по находить. ----- Лучше быть одиноким, но свободным © $me
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 27 июля 2013 02:28 · Личное сообщение · #3 Всякое такое скриптовое говно анпакается типично - сморим колстек на системном шлюзе. Обычно вначале идут аллокации. Я уверен что сабж - унылое говно, которое также вскрывается за минуту.
gazlan Ранг: 170.1 (ветеран), 96thx Активность: 0.09↘0.01 Статус: Участник	Создано: 27 июля 2013 03:38 · Личное сообщение · #4 BoRoV пишет: Enigma Virtual Box Подарочный сборник УГ. 6d13_27.07.2013_EXELAB.rU.tgz - iDezender.exe.cc.7z
tino Ранг: 23.5 (новичок), 5thx Активность: 0.02↘0 Статус: Участник	Создано: 27 июля 2013 14:13 · Личное сообщение · #5 lua dll там в открытом виде как модуль - сдампить проблем нет. вот со всем остальным непонятно: импорт в сабже подпорчен, TLS колбэк что-то шаманит, в memory map - секций сабжа не видно Dr0p пишет: сморим колстек на системном шлюзе можно поподробней ? gazlan crypto check-ом смотрел
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 27 июля 2013 15:00 · Личное сообщение · #6 tino Что подробнее ?? Брякаемся на сисколе. Сморим колстек. Будет серия аллокаций памяти и прочее, что типично для стартап кода. В 90% случаев EP находится за минуту. Это и не удивительно - этот шлак писан школотой на скриптах, так что всё типично.
gazlan Ранг: 170.1 (ветеран), 96thx Активность: 0.09↘0.01 Статус: Участник	Создано: 27 июля 2013 21:29 · Личное сообщение · #7 tino пишет: со всем остальным непонятно enigma1 - это директория DynoZIP, где и хранится вся аппликация (PHP ZenDecoder, как я понимаю + все нужные ему DLL), enigma2 - три DLL-ки самого EVB (Delphi, последняя - 64 bits) В потроха не смотрел, но кажется ничего существенного не упаковано и не зашифровано, хотя чуть не в каждом файле по собственной копии какой-то "жирной" криптобиблиотеки (AES, ECC etc) + еще какой-то (заточенный под мультимедиа) сигнатурный анализатор. IMHO, 80+ Mb decoder PHP-скрипта годится только для кунсткамеры. \| Сообщение посчитали полезным: tino

Для печати