| Сейчас на форуме: hgdagon, asfa, bartolomeo (+6 невидимых) |
 |
eXeL@B —› Программирование —› Упакован ли файл? |
| Посл.ответ | Сообщение |
|
|
Создано: 17 августа 2006 15:25 · Поправил: ne0n · Личное сообщение · #1 Вобщем нужно определить упакован ли файл(не имя пакера, а только определить сам факт запакованности). Подскажите с алгоритмами, как это вобще риализуется?(от кода тоже не откажусь[Delphi]  )
 |
|
|
Создано: 17 августа 2006 15:41 · Личное сообщение · #2 Вот хороший материал: www.wasm.ru/print.php?article=packers2#4 ----- Get busy living or get busy dying © |
|
|
Создано: 17 августа 2006 16:24 · Личное сообщение · #3 rapidshare.de/files/29726873/EAnaliz.zip - enjoy |
|
|
Создано: 17 августа 2006 16:28 · Личное сообщение · #4 xShadow, архив битый |
|
|
Создано: 17 августа 2006 16:34 · Личное сообщение · #5 Действительно. WinRAR подавился 
|
|
|
Создано: 17 августа 2006 16:35 · Личное сообщение · #6 ne0n пишет: определить сам факт запакованности сожми этот файл еще раз. пересчитай размеры потом. и получишь процент сжатия. если процент сжатия 2-3 - значит файл был сжат до этого. а вообще, это называется энтропия. здесь обсуждалось уже. ----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 17 августа 2006 16:35 · Личное сообщение · #7 ne0n пишет: нужно определить упакован ли файл(не имя пакера, а только определить сам факт запакованности 1) Пакуешь любым архиватором 
2) Собираешь статистику по встречаемости разных байт и считаешь энтропию -Сумма PI*log2(PI) 8 - идеально запакованный файл, чем меньше, тем хуже Для простоты можно посчитать число 0 и 1 побитно. Если есть перекос от 1/2 - незапакованный. |
|
|
Создано: 17 августа 2006 16:39 · Личное сообщение · #8 ne0n --> тут <-- http://hellspawn.nm.ru/works/die_057.zip кочай ф анализатор DiE.. он какраз по считает энтропию |
|
|
Создано: 17 августа 2006 16:44 · Личное сообщение · #9 LazzY пишет: кочай ф анализатор DiE.. он какраз по считает энтропию энтропию умеет считать и PEiD |
|
|
Создано: 17 августа 2006 17:14 · Личное сообщение · #10 Ничего не нужно считать, бережь прожку из Visual Studio 6 называется она Dependecy Walker и смотришь ей директорию импорта, если первой импортируется KERNEL32.DLL а из нее функции : LoadLibraryA GetProcAddress ExitProcess Программа на 100% упакована..  0930_17.08.2006_CRACKLAB.rU.tgz - 1.gif
|
|
|
Создано: 17 августа 2006 18:35 · Поправил: tundra37 · Личное сообщение · #11 jangle Соврамши! Winupack в режиме "убрать релоки" дает прогу вообще без экспорта
Правда эти слова (LoadLibraryA Kernel32.dll GetProcAddress ) там видно, но правило очень однобокое. Любая незапакованная, но зашифрованная прога, которая хочет скрыть свой импорт, тоже попадет в разряд запакованных. +++++++++++++++++++ Кстати, хороший шифр и энтропию испортит 
|
|
|
Создано: 17 августа 2006 18:38 · Личное сообщение · #12 Рапида зараза. По ссылкам одно и тоже. __tp://rapidshare.de/files/29744835/EAnaliz.zip.html __tp://www.megaupload.com/ru/?d=RQT7BF0W |
|
|
Создано: 17 августа 2006 19:12 · Личное сообщение · #13 xShadow Проверь содержимое архива, а потом выкладывай. Сам ZIP-архив битый. Перепакуй в RAR. ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 17 августа 2006 19:17 · Личное сообщение · #14 ValdiS Обижаешь он у меня отлично распаковывается, 7Zip'ом ;) __tp://rapidshare.de/files/29749742/EAnaliz.rar.html |
|
|
Создано: 17 августа 2006 19:24 · Личное сообщение · #15 xShadow пишет: __tp://rapidshare.de/files/29749742/EAnaliz.rar.html Другое дело.
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 18 августа 2006 09:05 · Личное сообщение · #16 Tim пишет: если процент сжатия 2-3 - значит файл был сжат до этого Или зашифрован. Или содержал большой заархивированный оверлей. Или ... Проще всего глазами посмотреть: FAR -> ALT-F3 На крайний случай, плагин к PEiD -> Frant 20c1_18.08.2006_CRACKLAB.rU.tgz - frant.dll
|
|
|
Создано: 18 августа 2006 09:37 · Личное сообщение · #17 всем спасибо. очень помогли. |
|
eXeL@B —› Программирование —› Упакован ли файл? |
Для печати