Русский / Russian English / Английский

Сейчас на форуме: sss123, seb77 (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Дизассемблирование виря
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Статус: Участник

Создано: 3 декабря 2004 11:01 New!
Цитата · Личное сообщение · #1

Вобщем раскручиваю вирь, один из тех, которые падают в почту в последнее время, появилось два вопроса:

Первый - каким образом сделано так, что upx -d не распаковывает программу обратно, а пишет сrc error , видимо был пропатчен каким-то хитрым способом, кто знает, обьясните, как это было сделано плз и второй - Ида показывает, что обращения идут на адресса типа 7800513Ah , 78005954h которых явно нет в программе, что это за хрень?

Сенкс зараннее всем, кто откликнется


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 3 декабря 2004 11:04 New!
Цитата · Личное сообщение · #2

1) есть специальный ХЕДЕР у UPX на основе которого он и распаковывается через -d .. испогань хоть байт, фиг распакуешь... потом еще секции можно поменять названия )
2) да в вирях там и мусор, и полиморф... че думаешь прям чистый код будет


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 3 декабря 2004 12:01 New!
Цитата · Личное сообщение · #3

-= ALEX =- пишет:
2) да в вирях там и мусор, и полиморф... че думаешь прям чистый код будет

Alex, прогу запакованную UPX`ом засунь в иду, такаяже байда будет. IMHO - глюк иды.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 3 декабря 2004 12:04 New!
Цитата · Личное сообщение · #4

Мда... не справится мне с такой кучей кода.. обидно, неделю нужно медитировать, чтоб его по частям разложить... Вирь очень жирный, в смысле по функциональности почти идеальный.. А эти функции скорее всего адресса других функций в dll


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 3 декабря 2004 12:10 New!
Цитата · Личное сообщение · #5

Bit-hack пишет:
Alex, прогу запакованную UPX`ом засунь в иду, такаяже байда будет. IMHO - глюк иды.

ну ты повесилил меня на ночь ))


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 3 декабря 2004 12:55 New!
Цитата · Личное сообщение · #6

Нет, это правда


Ранг: 199.6 (ветеран)
Статус: Участник
www.uinc.ru

Создано: 3 декабря 2004 15:25 New!
Цитата · Личное сообщение · #7

Bit-hack
> Alex, прогу запакованную UPX`ом засунь в иду, такаяже байда будет. IMHO - глюк иды.

Как же утомляют пионеры. Забанил бы чтоли кто-нить. Только мозг разлагают всем на ночь.


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 3 декабря 2004 15:43 New!
Цитата · Личное сообщение · #8

DrGolova
Ты прав как никогда...
Пару часов назад посмотрел два форума:этот и васм: десять первых топиков и тут и там заполнены бредом данным товарищем.
Бан-крайняя мера.


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 3 декабря 2004 23:10 New!
Цитата · Личное сообщение · #9

да придется думаю скоро крайнюю меру применить ...


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 4 декабря 2004 01:24 New!
Цитата · Личное сообщение · #10

Ой, сорри, усё стало нормально дизасмиться.


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 4 декабря 2004 10:53 New!
Цитата · Личное сообщение · #11

Bit-hack исправил глюки ИДЫ ))) ?
 eXeL@B —› Основной форум —› Дизассемблирование виря

Видеокурс ВЗЛОМ