eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› AVP: Реверс инжинеринг или работа с базами...
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 6.9 (гость)
Статус: Участник

Создано: 13 июля 2006 04:11 New!
Цитата · Личное сообщение · #1

У антивируса касперского есть dll, которая експортирует антивирусные функции: поиск вирусов, поиск в архивах, я почти написал утилиту, но надо еще чуть-чуть,
что делает:
1. Унпакер инсталяшек\пакеров\архивов (больше 1000 форматов)
2. Встраивание кода свои проги...

Что надо сделать, прога распаковывает архивы в память, но куда - не понятно, надо найти этот "буфер"...

для работы нужены 3 dll из AVP 4, и базы, в архиве исходники...
mailto:ganzzz-destroer@mail.ru

{ Атач доступен только для участников форума } - avprip.rar


Ранг: 60.1 (постоянный)
Статус: Участник

Создано: 13 июля 2006 08:51 New!
Цитата · Личное сообщение · #2

[OffTop]
ganzzz, на мой взгляд - прога полезная. Тока бы исчё понять как её юзать . Удачи тебе в дальнейшем написании.
[/OffTop]


Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 13 июля 2006 10:08 New!
Цитата · Личное сообщение · #3

ну чтобы найти буфер, пускай прога че нить распакует(ехе) а ты помищи MZ в памяти %)
когда авп сканит запакованный файл, в некоторый момент можно выдернуть полностью распакованный файл из темпа ;)
ganzzz пишет:
1. Унпакер инсталяшек\пакеров\архивов (больше 1000 форматов)

почти универсальный анпакер на основе авп? =)
ganzzz пишет:
2. Встраивание кода свои проги...

что это значит? или ты пропустил предлог..


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 13 июля 2006 10:17 New!
Цитата · Личное сообщение · #4

по-моему это нереально - антивирус распаковывает ровно столько сколько нужно чтобы понять что файл - вирус (по-моему только секцию кода), о работоспособном файле и речи не идет.

а потрошитель баз уже был - утилита от z0mbie


Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 13 июля 2006 10:43 New!
Цитата · Личное сообщение · #5

ganzzz пишет:

Значит так, с архивом rar он распаковывает файлы в склероз, будем считать
что и с остальными архивами он поступает также.


ыыы ))

А вообще тулза прикольная, может потом раскопаешь чтонить исчо

Ранг: 6.9 (гость)
Статус: Участник

Создано: 14 июля 2006 01:41 New!
Цитата · Личное сообщение · #6

2 bloom: Распаковывает он все, (с аривами во всяк случае ;)), вот только куда???, там какие-то структуры,
и надо найти где в этой структуре указатель на структуру... (или чтото вроде этого)..., а насчет "утилита от z0mbie", не знаеш где взять???

2 Shidla: Как юзать:
1: комилируем, (я собирал на Delphi7).
2: находим Файлы от касперского(v3-4):
WINNT: Avp_iont.dll
WIN9X: Avp_io.vxd,Avp_io32.dll.
AvpBase.dll
*.avc
avp.set

Dll, кидаем в path, или к проге, редактируем пути в avprip.cfg .

сейчас доступна лишь одна команда: l - Лист.

допустим смотрим какой нибудб архив:

>avprip.exe l CDRoller530.exe
---------------------------------------------------------------------- -----
archive: # Inno2019 1891764 CDRoller530.exe
file: 522240 CDRoller530.exe/dll
file: 9856 CDRoller530.exe/Messages
file: 12267 CDRoller530.exe/Script
file: 62976 CDRoller530.exe/data0001
file: 1295872 CDRoller530.exe/data0002
---------------------------------------------------------------------- -----
Опаньки, так это же у нас InnoSetup...

или
>avprip.exe l test.zip
---------------------------------------------------------------------- -----
archive: ZIP 209 test.zip
file: 95 test.zip/test.rar
archive: RAR 95 test.zip/test.rar
file: 18 test.zip/test.rar/test.txt
---------------------------------------------------------------------- -----


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 14 июля 2006 11:00 · Поправил: bloom New!
Цитата · Личное сообщение · #7

ganzzz пишет:
Распаковывает он все, (с аривами во всяк случае ;))

ну конечно распаковывает, иначе как же он файлы внутри проверять будет. вот только навряд ли целиком - памяти не хватит ))) в работе с протами это тоже не поможет. никаких работоспособных файлов нет, даже близко.

начет z0mbie - у него было много полезных прог для работы с базами КАВа, вот толлько сайт его прикрыт давно, - вот посмотри в аттаче какие тулзы классные, распаковщики баз,

выбирай - тулзы, к вечеру думаю смогу залить


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 14 июля 2006 11:02 New!
Цитата · Личное сообщение · #8

аттач

{ Атач доступен только для участников форума } - New Folder.rar


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 14 июля 2006 23:09 New!
Цитата · Личное сообщение · #9

вот для интересующихся выкладываю потрошители баз КАВ



public.int3.net/share/potr.rar


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 14 июля 2006 23:14 New!
Цитата · Личное сообщение · #10

секретный stuff в базах КАВ
public.int3.net/share/avp4sru.zip

ЗЫ: есть весь z0mbie.host.sk - пишите если что надо

Ранг: 6.9 (гость)
Статус: Участник

Создано: 15 июля 2006 01:17 New!
Цитата · Личное сообщение · #11

2 bloom Сенькю Вери Матчь!!! (или ща закачаю и буду изучать)...


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 16 июля 2006 12:52 New!
Цитата · Личное сообщение · #12

AVP Alarm Generator + Source

{ Атач доступен только для участников форума } - avpfuck2.zip


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 16 июля 2006 12:54 · Поправил: bloom New!
Цитата · Личное сообщение · #13

Генератор *.AVC с исходниками
(хотя вещь бесполезная скорее всего, хотя может с форматом поможет разобраться)


Ранг: 1996.4 (!!!!)
Статус: Модератор
retired

Создано: 16 июля 2006 13:00 · Поправил: Archer New!
Цитата · Личное сообщение · #14

bloom пишет:
Генератор баз *.AVC с исходниками

Хде? При правке сообщений ссылки вроде теряются...
Насчёт avpfuck, там вроде sta-файлов не хватает, хотя может я недоглядел, мельком глянул...


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 16 июля 2006 13:01 · Поправил: bloom New!
Цитата · Личное сообщение · #15

Archer пишет:
Насчёт avpfuck, там вроде sta-файлов не хватает, хотя может я недоглядел, мельком глянул...


sta - файлы делает потрошитель баз


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 16 июля 2006 13:08 New!
Цитата · Личное сообщение · #16

Dr.Web Base Unpacker


{ Атач доступен только для участников форума } - unp_vdb.rar

Ранг: 22.2 (новичок)
Статус: Участник

Создано: 17 июля 2006 06:22 New!
Цитата · Личное сообщение · #17

bloom
>ЗЫ: есть весь z0mbie.host.sk - пишите если что надо
а вот это:
2005.01.09 | added article: polymorphic games
2005.01.05 | added: "rich" info dumper
2005.01.03 | added: libtcc usage example
2005.01.02 | added: tcpswitch 2.00, description
нельзя случаем получить?

Ранг: 40.9 (посетитель)
Статус: Участник
diProtector Software

Создано: 17 июля 2006 11:30 New!
Цитата · Личное сообщение · #18

кто-нить копал kav шестой версии? avp.exe запускает сам себя с параметром -r, как сервис. Под олей периодически вылетает. Каспер насовал какие-то GetTickCount. Фиксится возвратом функцией нуля. Однако, периодически вылетает с непонятным эксепшном. В предыдущих версиях тоже такое было?


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 17 июля 2006 14:49 New!
Цитата · Личное сообщение · #19

WolfHunter пишет:
а вот это:
2005.01.09 | added article: polymorphic games
2005.01.05 | added: "rich" info dumper
2005.01.03 | added: libtcc usage example
2005.01.02 | added: tcpswitch 2.00, description
нельзя случаем получить?


можно

{ Атач доступен только для участников форума } - zom.rar


Ранг: 299.6 (наставник)
Статус: Участник
Armadillo Killer

Создано: 17 июля 2006 18:34 New!
Цитата · Личное сообщение · #20

bloom unp_vdb как она вообще работает ? у меня чет ничего не получается


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 17 июля 2006 20:08 New!
Цитата · Личное сообщение · #21

Z0oMiK пишет:
bloom unp_vdb как она вообще работает ? у меня чет ничего не получается

да древняя тулза.. скорее всего для досовского Веба, да и формат баз наверно с тех времен поменялся.


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 7 августа 2006 13:34 New!
Цитата · Личное сообщение · #22

нашел таки у себя тулзу avpoffset.zip - помжно проверить файл на предмет налчия в нем сигны из баз.
если находит - то показывает где находится сигна и длину.

тулза от SennaSpy
еще у него был проект AVP Clone - по ходу то же что-то интересное, вот только найти сейчас не пркдставляется возможным
все сайиы этого чела прибиты


Ранг: 299.6 (наставник)
Статус: Участник
Armadillo Killer

Создано: 7 августа 2006 15:05 New!
Цитата · Личное сообщение · #23

bloom пишет:
да древняя тулза.. скорее всего для досовского Веба, да и формат баз наверно с тех времен поменялся.

Очень жаль да и с Касперским тоже чет не пашеть

Ранг: 56.9 (постоянный)
Статус: Участник

Создано: 7 августа 2006 15:09 New!
Цитата · Личное сообщение · #24

www.wasm.ru/forum/viewtopic.php?id=11448


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 7 августа 2006 17:54 New!
Цитата · Личное сообщение · #25

Z0oMiK пишет:
Очень жаль да и с Касперским тоже чет не пашеть

а вот с касперским очень даже все воркает.


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 7 августа 2006 22:21 New!
Цитата · Личное сообщение · #26

reverser пишет:
www.wasm.ru/forum/viewtopic.php?id=11448

спасибо за линк. и за avcparser

off: а вот про z0mbie я в шоке. неужели BHC - это все z0mbie..?? только не понимаю причины..


Ранг: 172.2 (ветеран)
Статус: Участник

Создано: 8 августа 2006 11:23 · Поправил: ProTeuS New!
Цитата · Личное сообщение · #27

ни4его нового - 4то зомба = бхц между строк понятно было любому, кто про4ел хоть 1 выпуск...

Ранг: 6.9 (гость)
Статус: Участник

Создано: 13 марта 2009 20:58 New!
Цитата · Личное сообщение · #28

Вот набрел на форум, давно это было... ну ладно...

По адресу www.ganzzz.tu2.ru/files/avprip.rar находится новая версия, вполне может распаковывать, правда по одному файлу,... года через три наверно будет распаковывать пачками ;)

Ранг: 6.9 (гость)
Статус: Участник

Создано: 13 марта 2009 21:00 New!
Цитата · Личное сообщение · #29

блин, глючный хостинг у меня, ссылку копи-пастить


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 13 марта 2009 23:36 New!
Цитата · Личное сообщение · #30

Поделитесь кто-нить файликами avpbase.dll, avp_iont.dll
. 1 . 2 . >>
 eXeL@B —› Основной форум —› AVP: Реверс инжинеринг или работа с базами...

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS