 |
eXeL@B —› Вопросы новичков —› Помогите декомпилировать |
| Посл.ответ | Сообщение |
|
|
Создано: 27 ноября 2017 10:20 · Личное сообщение · #1 Есть программа, состоящая из множества модулей и основного исполняемого файла, но основной исполняемый файл Esprom3.exe, очень большого размера (37240 кб для такого формата файлов, я думаю много), он не хочет проходить не деобфускацию, не декомпиляцию на прямую, может кто-нибудь сможет его расспаковать, или хотя бы деобфусцировать. ссылка на него, запаковал в 7zip, на удивление очень хорошо сжался https://cloud.mail.ru/public/MYGx/F52AZ7Epd  |
|
|
Создано: 27 ноября 2017 11:35 · Личное сообщение · #2 а в чем проблема? |
|
|
Создано: 27 ноября 2017 11:37 · Личное сообщение · #3 Чем вы открыли и как, расскажите пожалуйста! |
|
|
Создано: 27 ноября 2017 11:45 · Поправил: Gideon Vi · Личное сообщение · #4 . На паблике свежих версий не было, так что при желании можно и . | Сообщение посчитали полезным: RedlineDevil |
|
|
Создано: 27 ноября 2017 12:13 · Личное сообщение · #5 Gideon Vi пишет: VB Decompiler Pro. На паблике свежих версий не было, так что при желании можно и купить. А скажи пожалуйста, чем ты оперировал при выборе декомпилятора и как определяешь язык, на котором была написана программа? |
|
|
Создано: 27 ноября 2017 12:29 · Поправил: Gideon Vi · Личное сообщение · #6 RedlineDevil пишет: как определяешь язык, на котором была написана программа Развлекайся, пароль 123 https://www.upload.ee/files/7705890/Snif.7z.html RedlineDevil пишет: чем ты оперировал при выборе декомпилятора я не знаю/занимаюсь vb, так что использовал первое, подвернувшееся под руку на форуме мерялись, кто декомпилирует круче, можешь поискать. |
|
|
Создано: 27 ноября 2017 12:45 · Личное сообщение · #7 Вот этот очень мощно умеет в ВБ, возможно если заинтересуешь его, то поможет 
|
|
|
Создано: 27 ноября 2017 13:18 · Личное сообщение · #8 RedlineDevil пишет: А скажи пожалуйста, чем ты оперировал при выборе декомпилятора и как определяешь язык, на котором была написана программа? Точка входа, имена секций, кол-во секций, модули в таблице импорта и их функции, строчные константы, версия компилятора. Вариантов детекта масса. Этими же принципами руководствуются пакеропротекторы, маскируя код на точке входа под видом штатных выхлопов компиляторов. Вб в большинстве случаев, если не скомпилирован в p-code, дизассемблируется не сложнее дельфи бинарей, чьи строчные константы преставлены в юникод формате. ----- TEST YOUR MIGHT |
|
|
Создано: 27 ноября 2017 14:06 · Поправил: Gideon Vi · Личное сообщение · #9 * удалил, перепутал термины |
|
|
Создано: 27 ноября 2017 15:00 · Поправил: DrVB_5_6 · Личное сообщение · #10 RedlineDevil пишет: Есть программа, состоящая из множества модулей и основного исполняемого файла, но основной исполняемый файл Esprom3.exe, очень большого размера (37240 кб для такого формата файлов, я думаю много), он не хочет проходить не деобфускацию, не декомпиляцию на прямую, может кто-нибудь сможет его расспаковать, или хотя бы деобфусцировать. А цель-то какая? Вообще-то RedlineDevil пишет: Есть программа, состоящая из множества модулей и основного исполняемого файла ... дальше можно не продолжать... Если б это было об исходниках, то ещё б можно было бы как-то понять, а об исполняемом коде - диагноз: "Полное отсутствие какого либо присутствия..." Такого просто не бывает!... Что либо объяснить будет очень сложно. |
|
|
Создано: 28 ноября 2017 22:11 · Личное сообщение · #11 RedlineDevil пишет: 37240 кб для такого формата файлов, я думаю много Набит картинками (GIF/JPG) и, зачем-то, бесчисленным количеством [MD2: PI-subst SBox ; 4*256 = 1,024 bytes].  b3f7_28.11.2017_EXELAB.rU.tgz - Esprom3.exe.cc.7z
| Сообщение посчитали полезным: RedlineDevil |
|
|
Создано: 30 ноября 2017 23:09 · Поправил: RedlineDevil · Личное сообщение · #12 gazlan пишет: RedlineDevil пишет: 37240 кб для такого формата файлов, я думаю много Набит картинками (GIF/JPG) и, зачем-то, бесчисленным количеством [MD2: PI-subst SBox ; 4*256 = 1,024 bytes]. b3f7_28.11.2017_EXELAB.rU.tgz - Esprom3.exe.cc.7z спасибо, интересный вариант, на удивление ещё читать привязки можно и ссылки ) А кто-нибудь может собрать распаковщик запакованых aPLib'ом экзэшников? у меня не получается ни на VB6, ни на ASM |
|
|
Создано: 30 ноября 2017 23:58 · Личное сообщение · #13 RedlineDevil пишет: А кто-нибудь может собрать распаковщик запакованых aPLib'ом экзэшников? у меня не получается ни на VB6, ни на ASM В пакете MASMа был семпл на эту тему. Зааттачил - изучай. d511_30.11.2017_EXELAB.rU.tgz - appack.rar
| Сообщение посчитали полезным: RedlineDevil |
|
|
Создано: 01 декабря 2017 20:25 · Личное сообщение · #14 Rainbow пишет: В пакете MASMа был семпл на эту тему. Зааттачил - изучай. Всё таки меня программа DiE частично обманула, не сжимали исполняемый файл aPLib'ом. Буду с С++ пробовать декомпилировать. |
|
|
Создано: 01 декабря 2017 21:24 · Личное сообщение · #15 Где мой хрустальный шар. ----- vx |
|
|
Создано: 01 декабря 2017 21:58 · Личное сообщение · #16 difexacaw пишет: Где мой хрустальный шар. Ничего не получается с этим экзэшником, может кто-нибудь сможет его распаковать, IDA всеми силами тыкает на то, что он написан на .NET с поддержкой Framework 2.0, но рефлектор, ил и другие анпакеры матерятся на чём свет стоит и уверенно твердят, что это липа. bd76_01.12.2017_EXELAB.rU.tgz - ApplicationLauncher.7z
|
|
|
Создано: 01 декабря 2017 23:11 · Личное сообщение · #17 RedlineDevil пишет: Ничего не получается с этим экзэшником, может кто-нибудь сможет его распаковать, IDA всеми силами тыкает на то, что он написан на .NET с поддержкой Framework 2.0 Может стоит для начала подучить матчасть, а не реверсить без знаний даже основ. Все верно говорят анализаторы, даже название бинарника вполне себе говорящие и IDA прекрасно разбирает этот ланчер.
|
|
|
Создано: 01 декабря 2017 23:15 · Личное сообщение · #18 RedlineDevil пишет: Буду с С++ пробовать декомпилировать. Я одно не понял из всего вышенаписанного - какова цель вскрытия сего пациента ? |
|
|
Создано: 01 декабря 2017 23:21 · Личное сообщение · #19 Rainbow пишет: Я одно не понял из всего вышенаписанного - какова цель вскрытия сего пациента ? Попытка изменения поведения пациента при запуске. |
|
|
Создано: 01 декабря 2017 23:30 · Личное сообщение · #20 Читай до просветления: https://msdn.microsoft.com/ru-ru/library/99sz37yh(v=vs.110).aspx когда дойдет почему в IDA светится строка о второй версии .NET рантайма то придет озарение, что ничего там не зашифровано, а писано на нативном c++ и что этот бинарь всего лишь ланчер. |
|
|
Создано: 01 декабря 2017 23:36 · Поправил: Rainbow · Личное сообщение · #21 RedlineDevil пишет: Попытка изменения поведения пациента при запуске. Ну с такими формулировками я ничего не могу посоветовать кроме как следовать указаниям хрустального шара difexacaw P.S. Поведение бывает разное. В предоставленном виде пациент вообще недееспособен, поэтому оценить его поведение вообще не представляется возможным. P.P.S. Как проблема описывается - так вопрос и решается 
|
|
|
Создано: 01 декабря 2017 23:52 · Личное сообщение · #22 Rainbow пишет: P.S. Поведение бывает разное. В предоставленном виде пациент вообще недееспособен, поэтому оценить его поведение вообще не представляется возможным. Он запускается с кучей других приложений, он сам по себе работать не будет, к нему ещё идет куча библиотек вот папка самой программы. https://cloud.mail.ru/public/HQj2/VXEAREaaD |
|
eXeL@B —› Вопросы новичков —› Помогите декомпилировать |
Для печати