Сейчас на форуме: tyns777, cppasm, dutyfree (+7 невидимых)

 eXeL@B —› Вопросы новичков —› Не могу распаковать файл
Посл.ответ Сообщение

Ранг: 1.2 (гость), 1thx
Активность: 0.020
Статус: Участник

Создано: 17 октября 2017 18:53 · Поправил: PastInTheFuture
· Личное сообщение · #1

Доброго времени суток, форумчане.
Пытаюсь распаковать файл, прочитал кучу статей по распаковке, но не сильно помогло.
Мучаюсь уже третий день, ну никак не могу найти место, где программа распаковывается, а потом переходит на OEP. Подскажите, пожалуйста, в какую сторону копать?

Осторожно, антивирус ругается на файл.




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 17 октября 2017 19:13 · Поправил: difexacaw
· Личное сообщение · #2

Если вам помочь и всё обьяснить, то пропадёт смысл в распаковке, так как это обучалка. Тогда получается, раз вы не описали в чём именно вам нужна помощь - какой именно момент в данном процессе не ясен, то это просто обычное ТЗ завуалированное под помощь. Поэтому однозначно в комерс, помощи не будет и быть не должно; архивный дамп - блэк сигнатуры залить.

Вы не выполнили никакой работы для решения задачи.

-----
vx


| Сообщение посчитали полезным: sefkrd


Ранг: 150.3 (ветеран), 175thx
Активность: 0.160.07
Статус: Участник

Создано: 17 октября 2017 19:32 · Поправил: -=AkaBOSS=-
· Личное сообщение · #3

OEP RVA 0x3A586


PastInTheFuture пишет:
Осторожно, антивирус ругается на файл.


во-первых, такие вещи надо с паролем аттачить, а то и вообще заливать куда-нибудь в другое место.

во-вторых, антивирус всё правильно делает.
Этот "унпакми" создаёт процесс iexplore.exe и пишёт себя туда. Что он там дальше делает - мне разбираться влом, но порядочные программы точно так не поступают. Выкинь этот троян или распространяй его в другом месте.

вирустотал упакованного (57 / 64) и распакованного (47 / 64)



Ранг: 1.2 (гость), 1thx
Активность: 0.020
Статус: Участник

Создано: 17 октября 2017 19:57
· Личное сообщение · #4

difexacaw пишет:
Если вам помочь и всё обьяснить, то пропадёт смысл в распаковке, так как это обучалка. Тогда получается, раз вы не описали в чём именно вам нужна помощь - какой именно момент в данном процессе не ясен, то это просто обычное ТЗ завуалированное под помощь. Поэтому однозначно в комерс, помощи не будет и быть не должно; архивный дамп - блэк сигнатуры залить.

Вы не выполнили никакой работы для решения задачи.


Вы, случаем, не между строк читаете?
Я русским языком написал "Подскажите, пожалуйста, в какую сторону копать?". Я, довольно таки, подробно все изложил: я не просил делать всю работу за меня.

Добавлено спустя 1 минуту
-=AkaBOSS=- пишет:
OEP RVA 0x3A586


Можешь рассказать, как ты нашел ее?




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 17 октября 2017 20:19 · Поправил: difexacaw
· Личное сообщение · #5

PastInTheFuture

> Я, довольно таки, подробно все изложил: я не просил делать всю работу за меня.

Что именно подробно, покажите подробно или это всё не так подробно, как вы думаете

> Я русским языком написал

))

-----
vx





Ранг: 150.3 (ветеран), 175thx
Активность: 0.160.07
Статус: Участник

Создано: 17 октября 2017 20:27
· Личное сообщение · #6

PastInTheFuture пишет:
Можешь рассказать, как ты нашел ее?

да что там искать? потратил минут пять на трассировку 'loop'ов, и очень скоро увидел и расшифровку (call внутри лупов), и настройку импорта.
а потом просто jmp edi в самом низу кода - и вот он ОЕП.
не намного сложнее упха, просто код чутка покриптован, вот и всё.

но я на полном серьёзе говорю - это вполне может быть троян/криптолокер/еще какое-нибудь чмо
лучше не давать этой каке работать на реальной машине.



Ранг: 1.2 (гость), 1thx
Активность: 0.020
Статус: Участник

Создано: 17 октября 2017 20:53 · Поправил: PastInTheFuture
· Личное сообщение · #7

-=AkaBOSS=- пишет:
да что там искать? потратил минут пять на трассировку 'loop'ов, и очень скоро увидел и расшифровку (call внутри лупов), и настройку импорта.
а потом просто jmp edi в самом низу кода - и вот он ОЕП.
не намного сложнее упха, просто код чутка покриптован, вот и всё.


Я тоже лупы прошел, коллы тоже, но потом не может выполниться апи функция и на этом встал. Можешь выложить уже распакованный файл?

2e60_17.10.2017_EXELAB.rU.tgz - test.png




Ранг: 150.3 (ветеран), 175thx
Активность: 0.160.07
Статус: Участник

Создано: 17 октября 2017 21:05 · Поправил: -=AkaBOSS=-
· Личное сообщение · #8

PastInTheFuture пишет:
не может выполниться апи функция

хз о чём речь. у меня всё ровно выполняется. win2k3 sp2 x32
Скрин интересный, но стэк не видно. Не могу понять, что именно и с какими аргументами было вызвано.

PastInTheFuture пишет:
Можешь выложить уже распакованный файл?

выложил (или выклал, кому как удобнее), пароль 654
и удали, пожалуйста, файл из шапки темы - прямой аттач вирусни (или вещей, которые оч жостко детектятся) подставляет весь этот форум, не надо так делать.
либо аттач с паролем, либо ссылку на обменник.



Ранг: 1.2 (гость), 1thx
Активность: 0.020
Статус: Участник

Создано: 17 октября 2017 21:08
· Личное сообщение · #9

-=AkaBOSS=- пишет:
и удали, пожалуйста, файл из шапки темы - прямой аттач вирусни (или вещей, которые оч жостко детектятся) подставляется весь этот форум, не надо так делать.


Понял, спасибо большое, буду знать




Ранг: 77.2 (постоянный), 74thx
Активность: 0.190.15
Статус: Участник

Создано: 18 октября 2017 01:17 · Поправил: sefkrd
· Личное сообщение · #10

PastInTheFuture пишет:
Можешь выложить уже распакованный файл?

АКА, сделай за меня..
PM шатал бы..
difexacaw
Еще раз +


 eXeL@B —› Вопросы новичков —› Не могу распаковать файл
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати