Изучение последней версии target вроде как указывает на неожиданное и необычное (в моём скромном опыте) решение разрабов: скрыть процедуру, в которой находятся вожделенные байтики. Процедура не видна в отладчиках (Olly и x64dbg), не ищется ни по сигнатуре, ни по поиску ссылки на строку. Вот таким образом разрабы законопатили дыру, засвеченную на весь белый свет.
В предыдущей версии поиск ссылки на строку "00000-" давал два адреса, по второму из которых можно было прямо попасть в нужную процедуру (дальше - дело техники - элементарно вычислялись нужные байты). Также в первой ссылке содержится сигнатура, по которой тоже можно попасть в эту процедуру.
В последней версии отображается только один (первый) адрес. Имеющаяся там сигнатура, однако, в отличие от предыдущей версии никуда не ведёт. Найти же процедуру в последней версии по различным кускам сигнатур из процедуры предыдущей результат не дал.

Правильный ли мой вывод о сокрытии?
Если да, то как найти и увидеть в отладчике эту процедуру?

В архиве два варианта исполняемого файла: последний и предыдущий.
--> Target <--

---------------------------------------------------------------------------------------------------

"— Видишь суслика?
— Нет.
— И я не вижу. А он есть!" © ДМБ

| Сообщение посчитали полезным:

Поскольку твой способ обнаружения основан на заведомо известных сигнатурах, то вывод простой:
Исследовать файл в дизассемблере и отладчике, не полагаясь на сигнатуры, а анализируя логику работы программы.

-----
EnJoy!

| Сообщение посчитали полезным:

Chris

Вы путаете понятия. Если код в памяти присутствует и есть некоторый механизм его сокрытия. Это довольно сложная задача для новичка.
Но если вы искали код на основе сигнатуры и вендор пересобрал апп, что сигнатуры больше нет - это совсем другое дело. Наверно как и всегда не следует опираться на сигнатуры, по этой причине они и не используются. Не берите пример с аверов, у них там это всё формируется в историю, сигнатуры накапливаются в базах данных.

> Процедура не видна в отладчиках

А как вы планировали её увидеть, если опираетесь на сигнатурный поиск ?
Да любая нормальная малварь морфит код. В общем нужен указатель на целевой код, а дальше обработает конструктор, а на выхлопе будет морф/виртуализация. Конечно там вы свою сигнатуру не найдёте.

> как найти и увидеть в отладчике эту процедуру?

Сопоставить активность в динамике, единственный вариант. Это например обращение к определённым данным или прочая активность, у вас сигнатура статическая, это динамическая.

-----
vx

| Сообщение посчитали полезным:

Либо немного переделали, либо это причуды компилятора. Если уж колхозить по аналогии, то есть прекрасные "push 208 / push209" чуть выше и "push 7AF / push 21D" ниже. Сама функция судя по всему метод объекта, так что еще лучше было бы отталкиваться от номера этого метода например.

-----
2 оттенка серого

| Сообщение посчитали полезным:

13
https://i.imgur.com/gBnSPzP.png

14
https://i.imgur.com/hCalom4.png

похоже, но не знаю, оно аль не
по сигнатурам

| Сообщение посчитали полезным:

hash87szf пишет:
оно аль
Спасибо.
Увы, не оно. Похожих достаточно много, но искомого места в них нет.

| Сообщение посчитали полезным:

Думал Биндифф заюзать, так Ида часик только базы аналазила... А Биндифф потом падае на базах в 500мб.
Diaphora может справицца.

| Сообщение посчитали полезным: