Всем привет!
Наконец то решил пост сделать, когда совсем приперло..
Ситуация такая.. Сестре на mail свалился очередной вирь.. Ну благополучно запустила.. В итоге я вычищал ей комп
Каспером и руками с некоторым софтом, нашел как обычно кучу хлама, а также один странный файл.
Почему я на него обратил внимание.. У меня в наборе утилит разных была тулза от китайских товарищей под
названием XSniffer. Так вот тот файл назывался точно также..
Я его забрал и запихнул в VMWare . Запустил его.. И чудо -информация в консоли такая же как и при
запуске обычного XSniffer-a... НО!
Разница в том что один весит 27 кил (который странный) а обычный - 44 кила. Я попытался запихнуть старнный
файл в OllyDbg, а та радует меня: "Module 'xsniffer.exe' has entry point outside the code....."
Я нажимаю Ok и прохожу таки туда.. IDA также ругается при попытке просмотра данного файла, говоря о том
что он типа видимо чем то упакован.
Я уже неделю пытаюсь выделить упаковщик, но ничего не получается.. Читал статьи на cracklab.ru
Но пока все равно не очень помогает..
Может кто попробует расковырять заразу? Просто интересно узнать на что я нарвался.
Оба файла прикладываю в архиве

<img src="img/attach.gif"> <SCRIPT type=text/javascript>dfl("files/","4750_21.09.2007_CRACKLAB.rU.tgz");< /SCRIPT> - Arch-strange.zip

| Сообщение посчитали полезным:

Просто первый раз GetVersionExA вызывается до oep, а второй отсюда:
00402278 56 PUSH ESI
00402279 FF15 80B04000 CALL DWORD PTR DS:[40B080] ; KERNEL32.GetVersionExA
0040227F 8B4E 10 MOV ECX,DWORD PTR DS:[ESI+10]
00402282 890D 90EF4000 MOV DWORD PTR DS:[40EF90],ECX

чуть выше находиться oep:
00402259 6A 18 PUSH 18
0040225B 68 B0B54000 PUSH s3.0040B5B0
00402260 E8 D3050000 CALL s3.00402838
Файл пакован тем же.

p.s. А для чего эта прога?

| Сообщение посчитали полезным:

Спасибо!
Судя по содержимому - это какой то сниффер.. Только что за сниффер - я пока не разобрался.
ReZiDenT_USSR, а ты не мог бы снова по подробнее рассказать - как ты получил результат? Просто как я писал выше - мне никак не удавалось вернуться в тело. В итоге не мог даже примерно посмотреть где OEP.

Да, и ещё .. Как мне сказали (и я потом это сам увидел) прога упакована неким PE Armor.. Или ты считаешь что здесь также измененный UPX?

| Сообщение посчитали полезным:

Ты мои статьи про снятие легких пакеров/проректоров читал?
Если нет, зайди на досуге на hxxp://void.webhost.ru/
ЗЫ: практически во всех легких пакерах/проректорах до ОЕР можно дойти по hr esp-4, конечно надо хоть немного знать особенности компиляторов, вернее знать первые байты с которых начинаецо программа.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Пасиба Нашел, посмотрел .. Увидел то, что не знал по работе с олькой - нажатие "Ctrl+A" Там всё и увидел

| Сообщение посчитали полезным:

Может не то, но когда открыл в Ольке узрел следующее:

00402259 . 6A 18 PUSH 18 ; Real entry point of SFX code
0040225B . 68 B0B54000 PUSH s3.0040B5B0
00402260 . E8 D3050000 CALL s3.00402838
00402265 . BF 94000000 MOV EDI,94
0040226A . 8BC7 MOV EAX,EDI
0040226C . E8 6FFDFFFF CALL s3.00401FE0
00402271 . 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00402274 . 8BF4 MOV ESI,ESP
00402276 . 893E MOV DWORD PTR DS:[ESI],EDI
00402278 . 56 PUSH ESI ; /pVersionInformation
00402279 . FF15 80B04000 CALL DWORD PTR DS:[40B080] ; \GetVersionExA
0040227F . 8B4E 10 MOV ECX,DWORD PTR DS:[ESI+10]
00402282 . 890D 90EF4000 MOV DWORD PTR DS:[40EF90],ECX
00402288 . 8B46 04 MOV EAX,DWORD PTR DS:[ESI+4]
0040228B . A3 9CEF4000 MOV DWORD PTR DS:[40EF9C],EAX
00402290 . 8B56 08 MOV EDX,DWORD PTR DS:[ESI+8]
00402293 . 8915 A0EF4000 MOV DWORD PTR DS:[40EFA0],EDX
00402299 . 8B76 0C MOV ESI,DWORD PTR DS:[ESI+C]
0040229C . 81E6 FF7F0000 AND ESI,7FFF
004022A2 . 8935 94EF4000 MOV DWORD PTR DS:[40EF94],ESI
004022A8 . 83F9 02 CMP ECX,2
004022AB . 74 0C JE SHORT s3.004022B9
004022AD . 81CE 00800000 OR ESI,8000
004022B3 . 8935 94EF4000 MOV DWORD PTR DS:[40EF94],ESI
004022B9 > C1E0 08 SHL EAX,8


Походу 00402259 и есть OEP

| Сообщение посчитали полезным: