На днях среди набора unpackme от Tuts4Yoy случайно выбрал не тот архив с анпакми и какого же было мое шокирующее состояние, когда любую версию ольки с любыми плагами и независимо от места ее запуска мне удавалось ее запустить очень ненадолго после попытки закинуть запуска EnCryptPE ... жизнь несчастного отладчика уходила в небытие или через 5-7 время бездействия, или после сворачивания в трей, или, что особенно часто, продолжительность жизни(а точнее смерти) Olly исключительно совпадала с повторным запуском сего анпакми. Поначалу начал думать что подхватил какую-то заразу и все ольки просто стали смертны перед каким-то "не приклонным" скрытым процессом. Затем решил просканировать Filemon и обнаружил интересные файлы, появляющиеся в разных местах: anty_rtdsc.sys и fakertdsc.sys
Затем обнаружил интересные махинации, связанные с файловой системой: в каждом случае присутствовало нечто наподобие $Extended\..{аббревиатура какого-то журналирования}\ и в конце Jrnl (насчет моментов файловой системы, писалось по памяти:s1
Насколько я понял то эта зараза "выкидывает" нечто на подобии драйвера или регистрирует свою временную службу,которая искореняет присутствие отладчика, но что-то подобное похоже наблюдается.
Попробовал поискать на форуме инфу насчет данной защиты: гиблый номер (5 или 6 те и ничего толком ). Один написал, будто это чуть ли это не разработка китайской группы крекеров. И ни единого тутора. А хотя прошло уже более 10 лет как, странно. Так что или это мой загон и защита яйца выеденного не стоит ( хотя тока по upx тем более 50), или почему данная защита никому не интересна.

| Сообщение посчитали полезным:

эту пару "пришельцев" в студию,начнём вивисекцию и будем припарировать сильно но аккуратно)

| Сообщение посчитали полезным:

Это из разряда параноидальных китайских протов с хреновой совместимостью. Запускаются строго на XP и то, раз через десять. А-ля NoobyProtect ну или наша ПеПка)

| Сообщение посчитали полезным:

Во блин... пардоньте... не приатачилось из-за ограничения по размеру. -->Здесь<-- это зверье.
Так запускал вроде как под хр, но до вчера таких фокусов не видел.

| Сообщение посчитали полезным:

запускаем смотрим сюда C:\Documents and Settings\Admin\Local Settings\Temp\ тут создаётся два файла типа V22006710.EPE и {4051CE25-1C90-4DC3-868B-0C0008386498}
вот V22006710.EPE Это .exe а в {4051CE25-1C90-4DC3-868B-0C0008386498} находится байт код 102бита.
сам V22006710.exe ИМхо пОКрыт UPX, сама поделка на дельфях.

| Сообщение посчитали полезным:

Похоже все же что-то не то с системой было так как после dr.web и "руткит ретривера" больше подобных глюков не наблюдалось.
Но все же

script_kidis пишет:
апускаем смотрим сюда C:\Documents and Settings\Admin\Local Settings\Temp\ тут создаётся два файла типа V22006710.EPE и {4051CE25-1C90-4DC3-868B-0C0008386498}
вот V22006710.EPE Это .exe а в {4051CE25-1C90-4DC3-868B-0C0008386498} находится байт код 102бита.
чем выявили причину? потому как filemon не проявляет особой активности насчет "родов" других файлов... да и под хр по данному пути ничего не наблюдается... и что собой являет{4051CE25-1C90-4DC3-868B-0C0008386498}? Больше похоже на импортированную ветку реестра

| Сообщение посчитали полезным:

выловил через песочницу,убив при этом explorer.exe а то криптер атакует его, после чего и вылетает olly, http://rghost.ru/download/6prKqhQ2c/a4fcb78318daba039a745b5fc989fb102b604fbd/a4fcb78318daba039a745b5fc989fb102b604fbd/EnCryptPE%202.2006.7.10.7z вот тут в архиве всё что смог отковырять дальше,"имхо из того текстовика востанавливаются краденые байты или структура до точки входа в upx а потом уже в чистый дельфи."

| Сообщение посчитали полезным:

script_kidis пишет:
убив при этом explorer.exe а то криптер атакует его
На какие функции хоть примерно следует ориентироваться в плане атаки?

| Сообщение посчитали полезным:

функции не копал ,но такое видел гдето в 2007 в проге астон,там в проводник инжектились длл или драйвер какой (непомню) + шла запись в журнал о триальности,касперыч больно не любил это и сдавал что ломится и откуда,может и тут засечёт подозрительную активность (kav не стоит просто) я когда заметил что olly вследующий раз после работы с этим анпакми не грузилась, просто удалил проводник из папки виндовс ,копию в архив скинул,завершил процес проводника в тасккилл,вместо проводника использовал mspaint.exe Сtrl+O " -потом запустил в песочнице вышел на след распакованного ехе и спёртых байт,далее надо было ковырять оригинал и смотреть адресса и место куда встраивать эти байты,понял что надо на ольгу навешать Olly AntiDetect Pack,подумал потом что есть более умные ребята которые отковыряют этот криптор,в сети есть анпакер китайский правда не всегда работает,и тут не сработал,скрипты для olly под этот крипт должны быть,часа 2 поковырялся,устал,интерес переключился на что то другое)) участники форума Тему почитают может и найдётся кто нибудь кто полностью разберёт что там творится на самом деле и нам расскажет

| Сообщение посчитали полезным: