Криптовка/Упаковка уже упакованого файла

Сейчас на форуме: tyns777 (+5 невидимых)

Посл.ответ	Сообщение
Norway wolf Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 13 апреля 2010 11:37 · Личное сообщение · #1 Доброго времяни суток, занимаюсь разработкой пакера/криптора... столкнулся с проблемой... обработки уже упакованых файлов. Сначала думал что это из за того что я затираю имена секций, но после теста поверх FSG (он тоже затирает имена, тоесть адресация к именам секций ни как не привязана) понял что проблема не в этом. С секциями работает корректно, не могу понять в чем проблемма(( по идеи инкапсуляцию в памяти можно производить сколь угодно раз... прилагаю файлы 1. Чистый файл без обработки упаковщика (рабочий) 2. Файл под криптором (рабочий) 3. Файл под FSG (рабочий) 4. Файл под FSG + криптор (битый) 5. Файл под UPX 3.0 (рабочий) 5. Файл под UPX + криптор (битый) www.sendspace.com/file/16ayc8 Может ли решить проблемму перед криптовкой упаковка посредствам aPlib? Заранее спасибо

Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 13 апреля 2010 13:20 · Поправил: Sunzer · Личное сообщение · #2 Crypt + FSG: 0086C0A8 C3 RETN Ведет в : Code: 00400155 52 PUSH EDX ; ntdll.KiFastSystemCallRet 00400156 41 INC ECX 00400157 48 DEC EAX 00400158 0000 ADD BYTE PTR DS:[EAX],AL 0040015A 0000 ADD BYTE PTR DS:[EAX],AL Вот и падает. А Crypt+UPX. Не запускается из за кривого TLS. Если удалить TLS. То запустится, дойдет до кода UPX распакуется. Но сама программа уже не будет работать из за потертой TLS. OllyDbg пользуйтесь. Криптор криво файл обрабатывает.
theCollision Ранг: 271.5 (наставник), 12thx Активность: 0.15↘0 Статус: Участник Packer Reseacher	Создано: 13 апреля 2010 15:56 · Личное сообщение · #3 Norway wolf В чем крутость в подобном: Code: .00730038: 9B fwait .00730039: 85C0 test eax,eax .0073003B: 90 nop .0073003C: 3BFF cmp edi,edi .0073003E: EB00 jmps .000730040 --↓2 .00730040: 90 2nop .00730041: 9B fwait .00730042: 9B fwait .00730043: EB00 jmps .000730045 --↓3 По теме: внимательней работай с TLS ----- My love is very cool girl.
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 13 апреля 2010 16:03 · Личное сообщение · #4 Code: Norway wolf В чем крутость в подобном: Мусор просто наверное
theCollision Ранг: 271.5 (наставник), 12thx Активность: 0.15↘0 Статус: Участник Packer Reseacher	Создано: 13 апреля 2010 16:08 · Личное сообщение · #5 Sunzer ну не на fwait сразу же на EP ? ----- My love is very cool girl.
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 13 апреля 2010 16:09 · Поправил: Sunzer · Личное сообщение · #6 Ну а почему нельзя? Ес-но что это подозрительно для аверов. Оффтопик уже пошел...
Norway wolf Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 13 апреля 2010 16:22 · Личное сообщение · #7 Спасибо огромное, ответьте пожалуйста по поводу APlib. Стоит ли паковать перед криптовкой им файл? Какие положительные моменты от этого будут? какие проблеммы могут в связи с этим возникнуть? З.Ы. И еще несколько вопросов... 1. Если производить автосмену ImageBase у пакованого файла на стандратный 0x400000h, могут ли возникнуть проблеммы? 2. Можно ли удалить оверлей(EndOfFile) или лучше оставить его? 3. Насколько я понимаю импорт шифровать нельзя?
theCollision Ранг: 271.5 (наставник), 12thx Активность: 0.15↘0 Статус: Участник Packer Reseacher	Создано: 13 апреля 2010 16:35 · Личное сообщение · #8 Norway wolf Какую цель для пакера преследуешь ? Сделать поменьше файл или усложнить анализ ? ----- My love is very cool girl.
Norway wolf Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 13 апреля 2010 16:51 · Поправил: Norway wolf · Личное сообщение · #9 Основная цель - максимальная совместимость с криптуемым бинарником, чтобы он не бился и не терял функционал... например поддержка самораспакуемых файлов... а вообще целей много, основная конечно усложнить анализ... но тут вопрос в том, чтобы вес файла на выходе не увеличивался на 200кб овер...а так как у меня заявка на полиморфизм, посредствам произвольной генерации мусора ( на данный момент генератор мусора отключен)... стараюсь замусоривать точку входа как в UPolyx... так же раскидываю мусорные инструкции в стабе (последняя секция "TRAH")... из за этого вес файла на выходе увеличиваеться, что не есть хорошо... для меня чем меньше файл тем лучше... Усложнение анализа реализую посредствам антиотладочных приемов , а так же детекта виртуальных машин начиная от VMware заканчивая Bosh....
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 13 апреля 2010 17:01 · Личное сообщение · #10 вроде же трояно-писателей нах посылаем, не?
Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 13 апреля 2010 17:02 · Личное сообщение · #11 Gideon Vi вроде же трояно-писателей нах посылаем, не? Согласен ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
Sunzer Ранг: 67.4 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 13 апреля 2010 17:13 · Личное сообщение · #12 Norway wolf пишет: 1. Если производить автосмену ImageBase у пакованого файла на стандратный 0x400000h, могут ли возникнуть проблеммы? 2. Можно ли удалить оверлей(EndOfFile) или лучше оставить его? 3. Насколько я понимаю импорт шифровать нельзя? 1) Файл не будет рабочий если ты просто изменишь ее в хидере. 2) Можно если он не используется программой. 3) Можно. Но хитро
Norway wolf Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 13 апреля 2010 17:14 · Личное сообщение · #13 А кто сказал что я трой пишу? где вы это уважаемые увидели? или слово полиморфиз для вас означает что то вредоносное? зачем безобидный криптор малварью называть?!!! мой софт не противоречит законодательству не одной страны ;)
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 13 апреля 2010 17:18 · Личное сообщение · #14 Norway wolf пишет: А кто сказал что я трой пишу? оскорбить хочешь, в слабоумии уличая? Вся затея ни для чего, кроме банального криптора пинчей не годиться. Ну а это: Norway wolf пишет: вес файла на выходе не увеличивался на 200кб овер... последний гвоздь. Norway wolf пишет: мой софт не противоречит законодательству не одной страны ;) ты что-то напутал, я в суд не подаю. Повесить скрипт-кидиса!
Norway wolf Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 13 апреля 2010 17:29 · Поправил: Norway wolf · Личное сообщение · #15 оскорбить хочешь, в слабоумии уличая? Вся затея ни для чего, кроме банального криптора пинчей не годиться. Ну а это: Я не занимаюсь подобным софтом это раз... крипторов для данного софта валом... только вот они мне не подходят... у меня совершенно другие цели... Вас уважаемы ни кто не собирался оскорблять, человек с такой репутацие врятли может быть слабоумным ;), а вот сейчас хочу обличить в параное... так вы не зная предназночения делаете выводы... могли бы сначала поинтересоваться... что, для чего и к чему... ты что-то напутал, я в суд не подаю. Повесить скрипт-кидиса! Нет не в суд, просто вы делаете везкие не обоснованные заявления... + меня умудрились оскорбить.. за что не понятно(( что я вам плохого сделал? совета спросил? З.Ы. Крипторы скрипткидесов распаковывают на диск, я же распаковываю в память... + хочу попытаться сделать так чтобы вся распаковка проходила в стеке... я тянусь к знаниям, а вы меня палками бьете(((
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 13 апреля 2010 17:31 · Поправил: Модератор · Личное сообщение · #16 Корячься сам с конями своими. И без коней тоже, крипторы в печь.

Для печати