eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: subzero, Xlab0s, SaNX (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Очень трудный пакер в первый раз
Посл.ответ Сообщение

Ранг: -0.2 (нарушитель)
Статус: Участник

Создано: 3 апреля 2014 10:46 New!
Цитата · Личное сообщение · #1

Привет всем!
Для набора опыта скачал себя вот такой анпакер, peid кричит что это UPolyX.. Никакого PUSHAD вообще нет. Пробую сломать по туториалама, вообще облом. Подскажите правильный путь анпака и вообще с чего тут начать.

{ Атач доступен только для участников форума } - packer.rar


Ранг: 646.0 (!)
Статус: Участник
ALIEN Hack Team

Создано: 3 апреля 2014 11:13 New!
Цитата · Личное сообщение · #2

Fenikz

https://ssl.exelab.ru/f/index.php?action=vthread&forum=13&topic=11325&page=30

Для начала.


Ранг: 206.8 (наставник)
Статус: Участник
radical

Создано: 3 апреля 2014 11:20 New!
Цитата · Личное сообщение · #3

Ух ёб...
https://www.virustotal.com/ru/file/6a1d5e819be3829455da076ad469acf2c89dd989134bc130153e80e2d5c99828/analysis/

Я и сам не пользуюсь антивирусами и слабо им верю... но 41/47

Ранг: -0.2 (нарушитель)
Статус: Участник

Создано: 3 апреля 2014 11:23 New!
Цитата · Личное сообщение · #4

ARCHANGEL
Скачал DiE,посмотрел, ничем не запакован. Тогда я вообще не понимаю как распаковать его если он ничем не упакован, но упакован ARCHANGEL Можешь пожалуйста посмотреть, только там есть какая то малвара. Я не знаю что она делать. Видимо надо её достать.


Ранг: 206.8 (наставник)
Статус: Участник
radical

Создано: 3 апреля 2014 11:26 New!
Цитата · Личное сообщение · #5

Fenikz
Надо было в топик с вирусней а не в протекторы постить !
Лог BSA:
Code:
  1.  
  2. Detailed report of suspicious malware actions:
  3.  
  4. Checked for debuggers
  5. Code injection in process: c:\program files\internet explorer\iexplore.exe
  6. Code injection in process: c:\winxp\system32\drwtsn32.exe
  7. Code injection in process: c:\winxp\system32\dwwin.exe
  8. Created a mutex named: CTF.Asm.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003
  9. Created a mutex named: CTF.Compart.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003
  10. Created a mutex named: CTF.Layouts.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003
  11. Created a mutex named: CTF.LBES.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003
  12. Created a mutex named: CTF.TimListCache.FMPDefaultS-1-5-21-1644491937-842925246-1957994488-1003MUTEX.DefaultS-1-5-21-1644491937-842925246-1957994488-1003
  13. Created a mutex named: CTF.TMD.MutexDefaultS-1-5-21-1644491937-842925246-1957994488-1003
  14. Created a mutex named: Local\_!MSFTHISTORY!_
  15. Created a mutex named: Local\c:!documents and settings!reverser!cookies!
  16. Created a mutex named: Local\c:!documents and settings!reverser!local settings!history!history.ie5!
  17. Created a mutex named: Local\c:!documents and settings!reverser!local settings!temporary internet files!content.ie5!
  18. Created a mutex named: MSCTF.Shared.MUTEX.IKH
  19. Created a mutex named: RasPbFile
  20. Created a mutex named: SHIMLIB_LOG_MUTEX
  21. Created an event named: DbgEngEvent_00000988
  22. Created an event named: i00000CF8
  23. Created process: (null),C:\WINXP\system32\drwtsn32 -3320 -948 -g,(null)
  24. Created process: (null),C:\WINXP\system32\dwwin.exe --992,C:\WINXP\system32
  25. Created process: c:\progra~1\intern~1\iexplore.exe,(null),(null)
  26. Detected process privilege elevation
  27. Enumerated running processes
  28. Got computer name
  29. Got system default language ID
  30. Got user name information
  31. Got volume information
  32. Listed all entry names in a remote access phone book
  33. Modified file in defined folder: C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log
  34. Modified file in defined folder: C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
  35. Opened a service named: RASMAN
  36. Opened a service named: Sens
  37. Started a service
  38. Terminated process: ????????°?-??


потом аварийно закрылось

Ранг: -0.2 (нарушитель)
Статус: Участник

Создано: 3 апреля 2014 11:29 New!
Цитата · Личное сообщение · #6

DimitarSerg
Извиняй Ну тут о не в вирусне дело. Я не могу понять где точка входа в начало вирусни, не могу понять.


Ранг: 206.8 (наставник)
Статус: Участник
radical

Создано: 3 апреля 2014 11:35 New!
Цитата · Личное сообщение · #7

DimitarSerg пишет:
Я не могу понять где точка входа


OEP:
0043A586 6A 60 PUSH 60


Статус: Пришелец

Создано: 3 апреля 2014 11:44 New!
Цитата #8

Добавлю к тому, что написал DimitarSerg
69.43.161.170
69.43.160.215
109.75.162.57
74.125.136.147
74.125.136.94
ayb.dns-look-up.com 69.43.161.170
bidr.trellian.com 69.43.160.215
www.winstmethode.com 109.75.162.57

в темп unpackme.exe

Ранг: -0.2 (нарушитель)
Статус: Участник

Создано: 5 апреля 2014 22:04 New!
Цитата · Личное сообщение · #9

F_a_u_s_t
Не понял


Статус: Пришелец

Создано: 6 апреля 2014 02:27 New!
Цитата #10

Fenikz пишет: Не понял

Сетевая активность бинаря, в папке темп результат этой активности.


Ранг: 462.8 (мудрец)
Статус: Участник
Only One!

Создано: 6 апреля 2014 11:27 New!
Цитата · Личное сообщение · #11

Fenikz пишет:
F_a_u_s_t
Не понял


Банить тебя пора! Так понятнее?
 eXeL@B —› Протекторы —› Очень трудный пакер в первый раз

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS