Не могу распаковать файл

Сейчас на форуме: tyns777, cppasm, dutyfree (+7 невидимых)

Посл.ответ	Сообщение
PastInTheFuture Ранг: 1.2 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 17 октября 2017 18:53 · Поправил: PastInTheFuture · Личное сообщение · #1 Доброго времени суток, форумчане. Пытаюсь распаковать файл, прочитал кучу статей по распаковке, но не сильно помогло. Мучаюсь уже третий день, ну никак не могу найти место, где программа распаковывается, а потом переходит на OEP. Подскажите, пожалуйста, в какую сторону копать? Осторожно, антивирус ругается на файл.

difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 17 октября 2017 19:13 · Поправил: difexacaw · Личное сообщение · #2 Если вам помочь и всё обьяснить, то пропадёт смысл в распаковке, так как это обучалка. Тогда получается, раз вы не описали в чём именно вам нужна помощь - какой именно момент в данном процессе не ясен, то это просто обычное ТЗ завуалированное под помощь. Поэтому однозначно в комерс, помощи не будет и быть не должно; архивный дамп - блэк сигнатуры залить. Вы не выполнили никакой работы для решения задачи. ----- vx \| Сообщение посчитали полезным: sefkrd
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 17 октября 2017 19:32 · Поправил: -=AkaBOSS=- · Личное сообщение · #3 OEP RVA 0x3A586 PastInTheFuture пишет: Осторожно, антивирус ругается на файл. во-первых, такие вещи надо с паролем аттачить, а то и вообще заливать куда-нибудь в другое место. во-вторых, антивирус всё правильно делает. Этот "унпакми" создаёт процесс iexplore.exe и пишёт себя туда. Что он там дальше делает - мне разбираться влом, но порядочные программы точно так не поступают. Выкинь этот троян или распространяй его в другом месте. вирустотал упакованного (57 / 64) и распакованного (47 / 64)
PastInTheFuture Ранг: 1.2 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 17 октября 2017 19:57 · Личное сообщение · #4 difexacaw пишет: Если вам помочь и всё обьяснить, то пропадёт смысл в распаковке, так как это обучалка. Тогда получается, раз вы не описали в чём именно вам нужна помощь - какой именно момент в данном процессе не ясен, то это просто обычное ТЗ завуалированное под помощь. Поэтому однозначно в комерс, помощи не будет и быть не должно; архивный дамп - блэк сигнатуры залить. Вы не выполнили никакой работы для решения задачи. Вы, случаем, не между строк читаете? Я русским языком написал "Подскажите, пожалуйста, в какую сторону копать?". Я, довольно таки, подробно все изложил: я не просил делать всю работу за меня. Добавлено спустя 1 минуту -=AkaBOSS=- пишет: OEP RVA 0x3A586 Можешь рассказать, как ты нашел ее?
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 17 октября 2017 20:19 · Поправил: difexacaw · Личное сообщение · #5 PastInTheFuture > Я, довольно таки, подробно все изложил: я не просил делать всю работу за меня. Что именно подробно, покажите подробно или это всё не так подробно, как вы думаете > Я русским языком написал )) ----- vx
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 17 октября 2017 20:27 · Личное сообщение · #6 PastInTheFuture пишет: Можешь рассказать, как ты нашел ее? да что там искать? потратил минут пять на трассировку 'loop'ов, и очень скоро увидел и расшифровку (call внутри лупов), и настройку импорта. а потом просто jmp edi в самом низу кода - и вот он ОЕП. не намного сложнее упха, просто код чутка покриптован, вот и всё. но я на полном серьёзе говорю - это вполне может быть троян/криптолокер/еще какое-нибудь чмо лучше не давать этой каке работать на реальной машине.
PastInTheFuture Ранг: 1.2 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 17 октября 2017 20:53 · Поправил: PastInTheFuture · Личное сообщение · #7 -=AkaBOSS=- пишет: да что там искать? потратил минут пять на трассировку 'loop'ов, и очень скоро увидел и расшифровку (call внутри лупов), и настройку импорта. а потом просто jmp edi в самом низу кода - и вот он ОЕП. не намного сложнее упха, просто код чутка покриптован, вот и всё. Я тоже лупы прошел, коллы тоже, но потом не может выполниться апи функция и на этом встал. Можешь выложить уже распакованный файл? 2e60_17.10.2017_EXELAB.rU.tgz - test.png
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 17 октября 2017 21:05 · Поправил: -=AkaBOSS=- · Личное сообщение · #8 PastInTheFuture пишет: не может выполниться апи функция хз о чём речь. у меня всё ровно выполняется. win2k3 sp2 x32 Скрин интересный, но стэк не видно. Не могу понять, что именно и с какими аргументами было вызвано. PastInTheFuture пишет: Можешь выложить уже распакованный файл? выложил (или выклал, кому как удобнее), пароль 654 и удали, пожалуйста, файл из шапки темы - прямой аттач вирусни (или вещей, которые оч жостко детектятся) подставляет весь этот форум, не надо так делать. либо аттач с паролем, либо ссылку на обменник.
PastInTheFuture Ранг: 1.2 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 17 октября 2017 21:08 · Личное сообщение · #9 -=AkaBOSS=- пишет: и удали, пожалуйста, файл из шапки темы - прямой аттач вирусни (или вещей, которые оч жостко детектятся) подставляется весь этот форум, не надо так делать. Понял, спасибо большое, буду знать
sefkrd Ранг: 77.2 (постоянный), 74thx Активность: 0.19↘0.15 Статус: Участник	Создано: 18 октября 2017 01:17 · Поправил: sefkrd · Личное сообщение · #10 PastInTheFuture пишет: Можешь выложить уже распакованный файл? АКА, сделай за меня.. PM шатал бы.. difexacaw Еще раз +

Для печати