Прошу извинить за расплывчатый вопрос, просто не знаю как сформулировать его точно. При распаковке различнах программ, довольно часто встречается мусорный код, авторы статей указывают на него. При недостатке опыта, его (мусорный код) трудно заметить. Вопрс состоит в том, каким образом мусорный код создается? При написании программы упаковщика это заложено в саму программу програмистом, или же произвольно самой программой в процессе упаковки.

| Сообщение посчитали полезным:

Речь наверное идёт о коде для распаковки программы... Так он становится "мусорным" после снятия пакера, т.к. больше не нужен

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Остается ли у него (мусорного кода) какая либо привязка к программе, пусть даже ничего не значащая или он целиком принадлежит пакеру?

| Сообщение посчитали полезным:

Isaev
нене. походу не то.
Tiratron пишет:
Вопрс состоит в том, каким образом мусорный код создается?
Мусорный код может быть например полиморфным, то есть например как вычисление:

Первый вид: 2+2=4
Второй вид: 6-2=4
Третий вид: 5+6/2-4=4


Исходя из этого можно понять, что к одному результату ведут множество методов.

Возможно, что в защищаемой программе будет зашит какой-то определенный мусорный код. (Смотри аттач. Там мой крякмис с мусорным кодом и без него. Открой в дизасме или отладчике и поймешь=)

Tiratron пишет:
Остается ли у него (мусорного кода) какая либо привязка к программе, пусть даже ничего не значащая или он целиком принадлежит пакеру?
В 80% случаев у муснорного кода снятого протектора нет привязки к защищаемой программе, то есть наоборот: у защищаемой программы нет привязки к коду протектора.

be33_07.04.2008_CRACKLAB.rU.tgz - Primers.rar

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Tiratron, зависит от пакера - иногда это мёртвая секция с упакованым кодом, а иногда зашифрованые куски, которые вызывает прога...

| Сообщение посчитали полезным:

Spirit, ты забыл еще про Confusing Disassemblers
К примеру PESpin юзает такие вот конструкции
Junkdb.cfg:

PatList_PESpin=_P1,_P2,_P3,_P4

[CODE_P1]
; call m1
; m2: jmp m3
; db _junkcode
; m1: jmp m2
; db _junkcode
; m3: add dword ptr [esp],0C
; retn
; db _junkcode
;
S=E803000000EB04??EBFB??8304240CC3??
R=9090909090909090909090909090909090

[CODE_P2]
...

тоже мусор..

а терь ТС, расскажи нам про что ты хотел спросить)))

| Сообщение посчитали полезным:

_taha_
Дык я же не буду рассматривать каждый известный мне прот, и тараканов, которые заюзол аффтар.
Я лишь привел пример, для того, чтобы топикстартер понял суть. А глубже рулед только гугл и книжки.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit, да я не к поту веду.. я к тому что пример который привел я наиболее часто встречается)

| Сообщение посчитали полезным:

Spirit
Спасибо за пример, буду разбираться.
Из всего вышесказанного следует, что мусорный код, не совсем является мусором. Я это веду к тому, что может ли у определенных пакеров присутствовать свой мусорный код?

| Сообщение посчитали полезным:

>>Из всего вышесказанного следует, что мусорный код, не совсем является мусором.
Это когда как..

2+2=4 и 5+6/2-4=4
не совсем мусор.. это обфускация

Пример 1:

xor al,al
test al,al
jnz metka1
je metka2
metka1: db 0xFF
metka2: call blabla

Все выше call blabla - просто мусор...

Пример 2:

macro stdcall proc,[args]
{ reverse
push args
common
db 0xEB ; <- мусор
call proc }

Тебе решать является ли мусорный код просто мусором или несовсем!

Найди книжку Reversing_Secrets_of_Reverse_Engineering, там простым(английским) языком написано про Code Obfuscation, Confusing Disassemblers и тп

| Сообщение посчитали полезным:

Tiratron пишет:
Я это веду к тому, что может ли у определенных пакеров присутствовать свой мусорный код?
Как уже было сказанно выше, после снятия пакера, код депака становится мусорным. То есть он уже не выполняется, в него не пишутся данные и с него не читаются данные.
А вот если брать к примеру всем изветный ASProtcet, то там уже идет другая система. Этот протектор может "воровать" определенное количество байт с оригинальной точки входа в программу. и после снятия прота на месте ОЕП'a будет уже не нормальное начало, а нули, либо еще какие-нибудь байты.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

_taha_
К сожалению простой английский язык по причине некоторой лени мне недоступен. А из книг на русском языке, в наличии только "Ассемблер и дизассемблирование" В. Пирогова и Крис Касперски, Ева Рокко "Искусство дизассемблирования", последнюю 3 дня назад взял и еще внимательно не посмотрел. А у Пирогова штудирую РЕ-формат.
Spirit
Посмотрел примеры. Понял одно, что если аккуратно в программе намусорить, то без хорошего знания ассемблера разобраться будет трудно. Линейку ASProtect прохожу, начал VM, вот поэтому и возник этот вопрос.

| Сообщение посчитали полезным:

Tiratron пишет:
английский язык по причине некоторой лени мне недоступен
Так далеко не уйдешь.
Tiratron пишет:
Понял одно, что если аккуратно в программе намусорить, то без хорошего знания ассемблера разобраться будет трудно
Если и не мусорить тяжело разобраться без знаний.
Tiratron пишет:
Линейку ASProtect прохожу, начал VM, вот поэтому и возник этот вопрос.
По аспру и особенно ВМ у нас рулед внекрилов, лучше с ним пообщайся.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit
Над было наверное к своему кейгенми и исходник выложить, интересно всё-таки посмотреть. Мусор конешн жосткий, прирост в файле в 1.5 раза .

fsg1.0, сам файл пожат этим же fsg, а дальше идёт код разбавленный мусором (sal eax, 0 \ jl xxx), довоьно просто, можно даже статически "раскриптовать". Мож есть у кого пару простеньких исходничков с нечто подобным. Мож даж самого fsg1.0 .
Так, для общего развития пригодитцо.

| Сообщение посчитали полезным:

Spirit
неинтересный мусор в крякми - очень просто чистится шаблонами.

| Сообщение посчитали полезным:

ssx пишет:
чистится шаблонами
Хмм... Это как? В иде что ли?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

ну кому как удобнее. когда мне нужно было разгребать обфускаторы - делал и в иде, и отдельные программы

| Сообщение посчитали полезным: