| Сейчас на форуме: (+5 невидимых) |
 |
eXeL@B —› Программирование —› Эмулятор |
| Посл.ответ | Сообщение |
|
|
Создано: 02 июля 2007 14:03 · Поправил: Hellspawn · Личное сообщение · #1 Собственно, почти сдал сессию и решил прикрутить сабж к дие 
Терь вопрос, мне хочется сделать более менее универсально, т.е. есть основой алго эмуляции (на дизасм движке Рема) и есть какой-то набор правил для каждого прота/пакера. Вот собственно как эти правила реализовать??? т.е. пока я пробегаюсь по коммандам и ищу то, что мне нада а правила получаются вида:
1: ищем команду mov reg32,address 2: через 0-50 комманд должна быть комманда push address 3: через 15 комманд должна быть комманда call address 4: мы задетектили "прот ххх" вот, в каком виде это хранить? Мне на ум что-то только бред какой-то приходит, слишком сложно 
должна быть какая-то структура, при чём правил может быть N-штук... ----- [nice coder and reverser]  |
|
|
Создано: 02 июля 2007 14:09 · Поправил: drin · Личное сообщение · #2 ИМХО, для этого лучше использовать скрипты, иначе это будет не универсально либо слишком неудобно... |
|
|
Создано: 02 июля 2007 14:25 · Личное сообщение · #3 ога. цепляй к дие lua и будет очень хорошо и легко изменять, дополнять. синтаксис языка C ----- Недостаточно только получить знания:надо найти им приложение |
|
|
Создано: 02 июля 2007 14:27 · Личное сообщение · #4 ват из "lua"? неохото свой реализовывать..
----- [nice coder and reverser] |
|
|
Создано: 02 июля 2007 14:38 · Поправил: WoLFeR · Личное сообщение · #5 Hellspawn пишет: 1: ищем команду mov reg32,address 2: через 0-50 комманд должна быть комманда push address 3: через 15 комманд должна быть комманда call address 4: мы задетектили "прот ххх" Для таких действий ненужна эмуляция, дростаточно обычного дизасемблерного анализатора. Hellspawn Эмуль планируется только для детекта? |
|
|
Создано: 02 июля 2007 14:40 · Личное сообщение · #6 ну гуглани. это скриптовый язык. юзается во многих играх. двиг опенсорсный. бесплатный. --> Wiki<-- http://ru.wikipedia.org/wiki/Lua ----- Недостаточно только получить знания:надо найти им приложение |
|
|
Создано: 02 июля 2007 14:40 · Личное сообщение · #7 WoLFeR пишет: Эмуль планируется только для детекта? Да. Он будет развиваться по мере необходимости... Пока мне надо задетектить пару метаморфных дряней
----- [nice coder and reverser] |
|
|
Создано: 02 июля 2007 14:45 · Личное сообщение · #8 Hellspawn В таком случае тебе просто нужен маленький эвристик. Эмуль нужен только в случае если нужно по мере необходимости декриптить код на лету, а так достаточно дизасмового анализатора. По всем пунктам подходит. |
|
|
Создано: 02 июля 2007 14:50 · Поправил: Hellspawn · Личное сообщение · #9 зачем же, я заложу возможность и более сложных операций (мат операции и т.д.) чтоб, потом, как понадобится, раз и задействовал
----- [nice coder and reverser] |
|
|
Создано: 02 июля 2007 15:02 · Поправил: WoLFeR · Личное сообщение · #10 Hellspawn пишет: зачем же, я заложу возможность и более сложных операций (мат операции и т.д.) чтоб, потом, как понадобится, раз и задействовал Ну в таком случае пиши. Для опыта самое оно. Просто по перечисленым пунктам эмуль не нужен. Кстати можна взять готовый эмуль (опенсорс) и уже с него выдрать нужные куски. wasm.ru/forum/viewtopic.php?id=20966 |
|
|
Создано: 02 июля 2007 20:27 · Поправил: asd · Личное сообщение · #11 Hellspawn Погугли методы детек тирования вирусов. Была неплохая статья от drmad про разные виды сигнатур. Собственно вот www.nf-team.org/drmad/zf/zf5/zf5_012.htm |
|
eXeL@B —› Программирование —› Эмулятор |
Для печати