 |
eXeL@B —› Вопросы новичков —› Распаковка EXE созданного PerlApp |
| Посл.ответ | Сообщение |
|
|
Создано: 23 июня 2015 22:09 · Личное сообщение · #1 perl-скрипт был упакован в exe при помощи perlapp 9.3. Возникла надобность извлечь исходник из файла, так как он потерялся. Следовал , но файлы на выходе не появились. Помогите, пожалуйста.  |
|
|
Создано: 23 июня 2015 22:16 · Личное сообщение · #2 Статья 2011 года выпуска. На дворе сейчас 2015г. За это время могло всё поменятся. |
|
|
Создано: 24 июня 2015 06:28 · Личное сообщение · #3 а жертва видимо приватная? или догадываться что там надо самим? ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 24 июня 2015 10:54 · Личное сообщение · #4 Либо конкретное описание, что было проделано и что не вышло, либо в запросы. |
|
|
Создано: 24 июня 2015 15:39 · Личное сообщение · #5 Да то и сделал, что в инструкции написано. Скачал dump.dll по ссылке в конце поста, прикрепил её через CFF Explorer. Запустил. В папку dump должен был исходник сохраниться, но там ничего не появилось. Попробовал через Winject присоединить - то же самое. Если через HEX-Editor exe-шник открыть, там эту последовательность 0x80, 0x00, 0xEA, 0x00, 0x48, 0x75, 0xF9 не находит. |
|
|
Создано: 24 июня 2015 16:19 · Личное сообщение · #6  А ручками потрейсить или сделать дамп памяти активного процесса не судьба ?
----- TEST YOUR MIGHT |
|
|
Создано: 24 июня 2015 16:44 · Личное сообщение · #7 unknownproject пишет: сделать дамп памяти активного процесса В открытом виде скрипт там не находит. unknownproject пишет: ручками потрейсить Можно по-подробней? С IDA и прочими вещами плохо знаком. Добавлено спустя 8 минут Там скрипт zlib-ом сжат. Хотябы подскажите, как найти то место, где он распаковывается. Я поставлю туда брейкпоинт и попробую в памяти поискать. Добавлено спустя 27 минут Вот архив с екзешником и всеми необходимыми файлами. http://rghost.ru/private/6YHCD7xZd/d343da65182239e0fa6dd6becf12b54e пароль: zxcvb76543 |
|
|
Создано: 24 июня 2015 18:07 · Поправил: unknownproject · Личное сообщение · #8 Короче так.C помощью функции CreateFileA в юзерской тмп создаются, а точнее извлекаются необходимые либы.Первой из них вызывается perl518.dll.Самая интересная функция в ней - Perl_get_context.Ставим на нее бряк и смотрим в стек во время прерывания.Фолловим в дамп нужный адрес и забираем скрипт.Его можно искать по заголовку, содержащему строки Code:
Code:
Первая - в начале, а вторая - в конце. В общем, вот скрипт - И он таки лежал в памяти, как я уже и писал ранее. ----- TEST YOUR MIGHT |
|
|
Создано: 24 июня 2015 18:31 · Личное сообщение · #9 Большое спасибо. |
|
|
Создано: 24 июня 2015 18:42 · Поправил: unknownproject · Личное сообщение · #10 Строки выше определяют границы скрипта и так как перед его интерпретацией инициализируется PerlApp, то могут возникнуть эрроры (проверено) при попытке запуска, но сам скрипт цельно достается из памяти. Дальше сами. ----- TEST YOUR MIGHT |
|
|
Создано: 29 июля 2015 18:25 · Личное сообщение · #11 а не могли бы ешё с одним помочь? http://rghost.ru/private/6QtT6FThR/2dcaf2dcb2737bb7d74dff25ccc92c5a пасс: jhfdsaa65432 |
|
|
Создано: 29 июля 2015 19:30 · Личное сообщение · #12 Тема закрыта за нарушение п.3+9 . |
|
eXeL@B —› Вопросы новичков —› Распаковка EXE созданного PerlApp |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати