eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Gaal, ManHunter (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Сигнатуры протекторов
Посл.ответ Сообщение

Ранг: 94.1 (постоянный)
Статус: Участник

Создано: 19 июня 2012 11:14 · Поправил: Rio New!
Цитата · Личное сообщение · #1

Привет Всем!
Объясните пожалуйста, какой алгоритм действий используется при определении упаковщика, протектора по имющейся базе сигнатур без сторонних анализаторов, т.е. вручную например при помощи hex редактора.
Например UPX:
[UPX v0.89.6 - v1.02 / v1.05 - v1.22]
signature=?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 8A 06 46 88 07 47 01 DB 75 07 8B 1E 83 EE FC 11 DB 72 ED B8 01 ?? ?? ?? 01 DB 75 07 8B 1E 83 EE FC 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE FC
ep_only=true
..
Я беру 4 байта 8A 06 46 88 и прохожу поиском во FlexHex если есть совпадение, то это UPX, или совсем по-другому?


Ранг: 157.2 (ветеран)
Статус: Участник

Создано: 19 июня 2012 11:44 · Поправил: ZaZa New!
Цитата · Личное сообщение · #2

1. Ищещь EP...
2. Берешь всю эту строку (?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 8A 06 46 88 07 47 01 DB 75 07 8B 1E 83 EE FC 11 DB 72 ED B8 01 ?? ?? ?? 01 DB 75 07 8B 1E 83 EE FC 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE FC) и ищещь с маской... То есть все что вопросами - любые байты, а все, что явно указано, то и должно быть...

Пример:
01 02 03 04 05 06 07 01 02 03 04 05 06 07 01 02 03 04 05 06 07 01 02 03 8A 06 46 88 07 47 01 DB 75 07 8B 1E 83 EE FC 11 DB 72 ED B8 01 01 02 03 01 DB 75 07 8B 1E 83 EE FC 11 DB 11 C0 01 DB 73 01 75 02 8B 1E 83 EE FC

Это UPX, так как указанные байты в сигнатуре стоят именно на тех местах и полностью совпадают...
Надо брать всю последовательность, чтобы уменьшить число совпадений...


Ранг: 1993.2 (!!!!)
Статус: Модератор
retired

Создано: 19 июня 2012 11:46 · Поправил: Модератор New!
Цитата · Личное сообщение · #3

Опечатка выше, OEP не при делах. ep_only-это искать только на точке входа. Именно EP, а не OEP.


Ранг: 157.2 (ветеран)
Статус: Участник

Создано: 19 июня 2012 11:51 New!
Цитата · Личное сообщение · #4

Archer
Ошибочка вышла... Это я и хотел сказать...

Ранг: 94.1 (постоянный)
Статус: Участник

Создано: 19 июня 2012 12:14 · Поправил: Rio New!
Цитата · Личное сообщение · #5

to:ZaZa and Archer
>>1. Ищещь EP...
так EntryPoint:=PEHead.OptionalHeader.AddressOfEntryPoint; ?


Ранг: 1993.2 (!!!!)
Статус: Модератор
retired

Создано: 19 июня 2012 12:24 New!
Цитата · Личное сообщение · #6

Так, в мане по ПЕ так и написано.

Ранг: 94.1 (постоянный)
Статус: Участник

Создано: 22 июня 2012 07:54 New!
Цитата · Личное сообщение · #7

А как найти вручную EP, например с помощью HIEW, ведь в Hiew при открытии я сразу оказываюсь по адресу
00400000, но т.к. файл упакован UPX, то EP (в Оле) показывает 00469C00?


Ранг: 157.2 (ветеран)
Статус: Участник

Создано: 22 июня 2012 08:29 New!
Цитата · Личное сообщение · #8

Не понял чего ты хочешь, но догадываюсь...
Скорее всего тебе надо определиться, что ты хочешь найти: EP или OEP.
Отличия указаны --> ЗДЕСЬ (FAQ) <--

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 22 июня 2012 08:34 New!
Цитата · Личное сообщение · #9

Ну Archer написал же, читайте маны. В режиме hex или decode F8->F5
 eXeL@B —› Протекторы —› Сигнатуры протекторов

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS