 |
eXeL@B —› Вопросы новичков —› Quick_Unpack_v1.0.8 Not Unpack |
| Посл.ответ | Сообщение |
|
|
Создано: 24 апреля 2007 14:04 · Личное сообщение · #1 Чтото уменя нефига неполучается разпаковать етим юнпакером.  Все делаю как надо:
open file > OEP узнаю с помощю hiew > Unpack now! При разпаковке SuperGlue32.exe oep 004B12C0: Quick self analyze.... PECompact 1.84 PESniffer EP Scan: PECompact v1.4x+ PEiD scanning... PECompact 1.68 - 1.84 -> Jeremy Collake Unpacked file hasn`t been created Точно такая фигня при разпаковке проги упакованной upx-om UnPECompact 1.32 разпаковал SuperGlue32.exe норма 
Чо делать ?  |
|
|
Создано: 24 апреля 2007 14:40 · Личное сообщение · #2 xHamer пишет: Чо делать ? Ручками учиться распаковывать 
|
|
|
Создано: 24 апреля 2007 15:05 · Личное сообщение · #3 xHamer, может прожку выложешь или телепатов вызывать?
|
|
|
Создано: 24 апреля 2007 16:18 · Личное сообщение · #4 Чо за фигня - нажимаю обзор > файл > отправить собщений догружается и http://www.exelab.ru/f/#4 стоит на месте. В опере и ie точна такие глюки. Счас залю на ifolder |
|
|
Создано: 24 апреля 2007 16:25 · Личное сообщение · #5 ifolder.ru/1790711 Ета прога обычный клей exe файлов антивир опридиляет ево как троян но ето некакой не трой. |
|
|
Создано: 24 апреля 2007 16:49 · Поправил: xHamer · Личное сообщение · #6 
|
|
|
Создано: 24 апреля 2007 16:54 · Личное сообщение · #7 MicroJoiner И ищо одна прожка: у нейо оep 00420C20 но для разпаковки нужно вводить 00403464 Почему ?  3638_24.04.2007_CRACKLAB.rU.tgz - MicroJoiner.exe
|
|
|
Создано: 24 апреля 2007 17:55 · Личное сообщение · #8 xHamer, каспер сказал, что вирус - значит вирус.
а насчёт распаковки - http://exelab.ru/art/?action=view&id=206. учись, читай, разбирайся!
а тему прикрой.
|
|
|
Создано: 24 апреля 2007 21:27 · Поправил: Dr3d · Личное сообщение · #9 xHamer, если нужен рапакованый файл, то вот -> http://ifolder.ru/1794072 http://ifolder.ru/1794072 А вообще PEcompact не сложно и руками рапаковывать (hr esp-4 и восстанавливаем импорт ImpRec'ом) З.Ы. exe'шник не запускал, по этому не могу гарантировать на 100%, что запуститься... З.З.Ы. MicroJoiner запакован UPX'ом, чтоб его распоковать, даже думать не обязательно уметь. Просто скачиваешь с кряклаба одноименную прогу (для тех, кто в танке - UPX) и запускаешь UPX с параметром -d, в конкретном случае будет так -> "upx.exe -d MicroJoiner.exe" Фсё. |
|
|
Создано: 24 апреля 2007 22:14 · Поправил: xHamer · Личное сообщение · #10 очень интересно после разпаковки upx.exe -d MicroJoiner.exe размер с 14,5 kb - 27 kb а Quick_Unpack_v1.0.8 с 14,5 kb - 132 kb 
жрать охота... |
|
|
Создано: 25 апреля 2007 15:44 · Личное сообщение · #11 sniperZ пишет: xHamer, каспер сказал, что вирус - значит вирус Да я такую прогу когдато скачивал - NOD32 тоже ругался 
xHamer пишет: Ета прога обычный клей exe файлов Если интересно то вот посмотри программу с такимиже действиями и без ворчания антивирусников. d657_25.04.2007_CRACKLAB.rU.tgz - PEGlue32.rar
----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 25 апреля 2007 20:56 · Поправил: xHamer · Личное сообщение · #12 функцый намного меньше. MicroJoiner самий рульный клей !!! после нево SuperGlue32. А PEGlue32 рано или позно антивири тоже начнуть палить.  
|
|
|
Создано: 26 апреля 2007 09:13 · Личное сообщение · #13 xHamer пишет: PEGlue32 рано или позно антивири тоже начнуть палить Интересно это почему ты так считаеш?Если склеивать какую либо прогу с троем то тогда да,антивир будет ругаться на результат работы программы ,а так почему ты думаеш ,что после "склеивания" двух exe в один антивирeсники вообще должны ругаться?А в случаи с SuperGlue32 заметь -антивирам ненравится не результат его работы ,а сама эта программа,что наводит на некоторые мысли 
----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 26 апреля 2007 12:09 · Личное сообщение · #14 Все клеи которые я знал палил антивир. Ети проги используются обычно для склеивания троев з полезными програмульками. Из за этого их быстро включают в вирусную базу антивиров.
|
|
|
Создано: 26 апреля 2007 15:27 · Поправил: MACKLIA · Личное сообщение · #15 xHamer пишет: Все клеи которые я знал палил антивир. Я же тебе дал ссылку на PEGlue32 с ним вроде всё нормально - NOD32(обновление прямо сегодня) и каспер (который онлайн www.kaspersky.ru/scanforvirus ) говорят ,что и ним всё нормально.Размер архива всего 35,6 КБ. xHamer пишет: Ети проги используются обычно для склеивания троев з полезными програмульками. Из за этого их быстро включают в вирусную базу антивиров. Да действительно часто склеилки применяют для таких нехороших целей ,но антивирусы должны ругаться не на "клеи" ,а на вирусные сигнатуры присутствующие в трое,который ктото склеивает с другой невинной програмкой.
----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 26 апреля 2007 18:49 · Личное сообщение · #16 Вот тебя доказательство того что в вирусную базу каспера всовують все что только не лень в том числе и клеи: База большая уже около 90000. НО! Реально база намного меньше, ибо они включают в нее всё что не попадя, а именно: Эксплоиты, которые не являются вирусами и никогда ими не являлись, а то, что это деструктивные программы... так они деструктивны не для того, у кого они же и лежат. Я думаю, их добавляют для количества записей в базе. ВирТузлы: например, те же самые спуферы, которые ТОЖЕ НЕ ЯВЛЯЮТСЯ ВИРУСАМИ ни в коем роде и даже не являются деструктивным ПО, поскольку предназначены только для образовательных целей (по крайней мере, я спуфкой только так и пользуюсь =)). Но таких программ в их базе довольно приличное количество. Я понимаю, если бы разработчики просто включили их в поддержку и продукт «узнавал» бы вирусы, обработанные спуфкой или упаковщиком – вот это дело! Но ведь они выносят эти вещи в отдельную запись. Опять крутят рейтинг…Дальше смешнее .
Клиенты бакдор троянов: я этого не понимаю. Да возможно разработчики заботятся о пользователях. Но ведь логично предположить, что если у пользователя на ПК лежит КЛИЕНТ (не сервер, а клиент), то значит пользователь знает что это такое и умеет им пользоваться…. Да и к тому же клиент троя не нанесет пользователю никакого вреда. Что если я напишу троян, которым надо управлять FlashGet’ом... то FlashGet - Win32.Trojan.FlashGet? Бред. Теперь если посчитать, что в базе 90 тысяч 50 из которых трояны удаленного администрирования с клиентами, то 25 тысяч мы оттуда вычтем КАК МИНИМУМ! Ибо не забывайте, что часто в комплект идут утилитки всякие, редакторы, и т.п., которые ТОЖЕ детектятся как ВИРУСЫ! Реальная база вирусов по моим оценкам около 40 тысяч. Остальные 50 - это бред. Хоть база в кава огромноя у меня досихпор есть трой скачаный с инета который им непалится. Я тебе просто хотел сказать что если антивир говорит что программа вирус особенно hack tools то ето ничего низначит абсолютно ничево !!!! 
|
|
|
Создано: 27 апреля 2007 05:31 · Поправил: MACKLIA · Личное сообщение · #17 xHamer пишет: База большая уже около 90000. НО! Реально база намного меньше, ибо они включают в нее всё что не попадя С этим я согласен ,однако небуду я запускать на своём компе прогу ,которая ненравится сразу двум антивирусникам-пусть даже если они и ошибаются (предотвратить заражение проще ,чем лечение). xHamer пишет: Да и к тому же клиент троя не нанесет пользователю никакого вреда Если ты сам можешь написать клиент-сервер ,то должен понимать ,что сервер тоже может отсылать клиенту какиелибо данные,в зависимости от этих данных можно организовать то,или иное действие на компе где стоит клиент.А если не писать троя самому ,то неизвестно что его разработчик туда напихал.Например скачал ты готовый трой,сервер "подарил" знакомому,клиент у тебя .Вроде всё класно - комп знакомого под контролем,но почему ты думаеш ,что твой клиент не имеет ещё и функцию сервера -тем самым у разработчика этого троя уже два компа -твой и того кому ты заслал сервер.Причём на свой комп ты сам же того не зная поселил троя .Если буду выкладывать свои тварь-ения неприменно так и сделаю.
xHamer пишет: Хоть база в кава огромноя у меня досихпор есть трой скачаный с инета который им непалится. Ну у меня и самописные экземпляры такие есть ,касперу засылаю ,ответ - все нормально.Самое интересное при написании трёх троев с одним алгоритмом действий но на разных языках получаем следующее:Delphi-непалит,C++ -непалить в 80-90% случаев, ASM -ругается - прикольно наверно если антивир встречает прогу на асме ,то у него сразу включаются все параноидальные функции. 
xHamer пишет: Я тебе просто хотел сказать что если антивир говорит что программа вирус особенно hack tools то ето ничего низначит абсолютно ничево !!!! Вкакихто случаях да,но процент ошибки неслишком большой.А если даже 50/50 всёравно нахрен такую прогу запускать.Да и впарить такую программу сложновато будет. ----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 27 апреля 2007 11:50 · Поправил: xHamer · Личное сообщение · #18 Ты чо хочеш сказать допустим если у тебя есть прикольная прога и через несколько дней ее антивиры начнут палить ты удалишь ее нахрен ? А насчот сложновато впарить немного поправить oep и большинство антивиров замолчат.
|
|
|
Создано: 27 апреля 2007 19:11 · Личное сообщение · #19 xHamer сейчас нашел ещё один склейщик - DSJoiner ,причём с исходниками.NOD32 неругается,а каспер говорит что программа относится к классу Riskware (К классу программ Riskware относятся легальные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые, тем не менее, в руках злоумышленника способны причинить вред пользователю и его данным.)-подробнее сдесь http://www.viruslist.com/ru/riskware?chapter=178753013 http://www.viruslist.com/ru/riskware?chapter=178753013 .Так что насчёт раздутой базы каспера ты пожалуй прав. P.S. если кому надо DSJoiner с исходниками на Delphi выложу. ----- Что один человек сделал , другой всегда сломать может... |
|
eXeL@B —› Вопросы новичков —› Quick_Unpack_v1.0.8 Not Unpack |
Для печати