Привет всем

Такой вопрос.К примеру в exe при запуске расшифровывается дамп в дампе лежит дугой exe.

Чем и как его отуда выдернуть что бы потом исследовать отдельно?

CFF Explorer подойдет для этой цели?

Учимся.

| Сообщение посчитали полезным:

Снимите дамп (например через ollydumpex),когда та часть которая вам нужна, уже расшифрована,
далее выдерните нужную часть из сохраненного дампа и сохраните через любой хекс редактор.
Или снимите дамп с работающего процесса (например Scyll-ой), найдите в хекс редакторе второй PE заголовок, и вырежьте нужное.

| Сообщение посчитали полезным:

В Exe Info PE есть классный риппер, который умеет выдергивать длл и exe с PE-файлов (чтобы не делать этого ручками). Просто делаешь дамп работающем проги и травишь на нее EXE INFO PE (кнопочка Rip, если что )

| Сообщение посчитали полезным:

Phantom007 пишет:
В Exe Info PE есть классный риппер, который умеет выдергивать длл и exe с PE-файлов (чтобы не делать этого ручками). Просто делаешь дамп работающем проги и травишь на нее EXE INFO PE (кнопочка Rip, если что )
Dimarik5 пишет:
в exe при запуске расшифровывается дамп в дампе лежит дугой exe.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Dimarik5 пишет:
Такой вопрос.К примеру в exe при запуске расшифровывается дамп в дампе лежит дугой exe.
Банальный дроппер, в гугле статей чуть более чем много, на всевозможные вариации оного.

| Сообщение посчитали полезным:

Phantom007 пишет:
Просто делаешь дамп работающем проги
Отличный совет.
Просто запускаешь прогу она тебе дропит в систему хню и снимаешь дамп если успеешь, или идет перезагруз и висит банер.
До распаковки кода нужно искать сначала, может просто инжект висит.
Если нет то тогда под отладкой искать нужно что то типа креатефайл.

| Сообщение посчитали полезным:

ADMIN-CRACK
Ну бред же.

Phantom007 правильно написал, но не расписал совсем детально. А имелось ввиду следующее. В виртуальной памяти адресного пространства отлаживаемого процесса видим, что в определённый регион распаковывается файл, который обычный исполняемый, т.е. ехе. Берём любой дампер и дампим содержимое нужных нам страниц на диск. В том же PeTools можно указать адрес начала, откуда будем дампить, и количество байт. Если всё посчитали правильно, то потом просто сохраняем дамп с расширением .ехе и всё - так мы получили исполняемый файл на диске.

Если мы не уверены, что это ехе (может, это длл), то смотрим по заголовку.

И да, под "делаешь дамп" не имеется ввиду
Просто запускаешь прогу она тебе дропит в систему хню и снимаешь дамп если успеешь, или идет перезагруз и висит банер.
а имеется ввиду, что в дебаггере софт висит в приостановленном состоянии, и мы делаем дамп. Ничего никуда не дропается.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: Dimarik5

ARCHANGEL пишет:
что в дебаггере софт висит в приостановленном состоянии
Конечно висит.
Если не запускается на распаковку то и искать можно сразу.
А если под криптором или например фимкой то долго придется
ARCHANGEL пишет:
Берём любой дампер и дампим содержимое нужных нам страниц на диск.

Я например всегда сразу перед запуском проверяю файл на оверлей и элементарно дмумя плагами пейда PEExtract на присутствие там длл-екзе файлов.

| Сообщение посчитали полезным:

ADMIN-CRACK пишет:
Я например всегда сразу перед запуском проверяю файл на оверлей и элементарно дмумя плагами пейда PEExtract на присутствие там длл-екзе файлов.
Ну это легко предотвратить банальным изменением первых 2-х байт в заголовке PE-файла и их восстановлением в теле программы. Т.е. рипперы не будут видеть этого PE-файла, пока не запустишь его.

| Сообщение посчитали полезным:

ADMIN-CRACK пишет: файл на оверлей и элементарно дмумя плагами пейда PEExtract
Бинарь не обязательно находится в оверлее, он вообще может быть в любой секции, даже при банальном xor, все эти плагину сосут.
В одном китайском стайлере бинарь вообще в иконке и поксорен, вся эта шляпа собирается в буфер и запускается из памяти, тут явно все эти чудо плагины пасут гусей вместе с бабушкиным.
Собственно у архенгела все верно написано, дамп страниц и дроппер догоняет бабушкина, сам дам лоадера не обязательно должен быть валидным, абы кодосекция читалась более менее вменяемо, фима тут тоже пасет гусей, сам дам бинаря, который дропается анпачится отдельно, то есть, анализ загрузчика это одно, анализ дроппера это второе.

| Сообщение посчитали полезным:

Загрузить из памяти проще, чем сдампить. Во первых некоторая инфа может теряться(фиксится загрузчиком хидеры етц). Во вторых в процессе загрузки образ может модифицироваться. Ну а в целом нет годных тулз для дампа, всё кривое унылое говно. Тут идеальным будет взять себе сам лодер.

| Сообщение посчитали полезным: