eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: AleshaA, IsNull, zds, cppasm (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Не могу распаковать файл
Посл.ответ Сообщение

Ранг: 1.2 (гость)
Статус: Участник

Создано: 17 октября 2017 18:53 · Поправил: PastInTheFuture New!
Цитата · Личное сообщение · #1

Доброго времени суток, форумчане.
Пытаюсь распаковать файл, прочитал кучу статей по распаковке, но не сильно помогло.
Мучаюсь уже третий день, ну никак не могу найти место, где программа распаковывается, а потом переходит на OEP. Подскажите, пожалуйста, в какую сторону копать?

Осторожно, антивирус ругается на файл.


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 17 октября 2017 19:13 · Поправил: difexacaw New!
Цитата · Личное сообщение · #2

Если вам помочь и всё обьяснить, то пропадёт смысл в распаковке, так как это обучалка. Тогда получается, раз вы не описали в чём именно вам нужна помощь - какой именно момент в данном процессе не ясен, то это просто обычное ТЗ завуалированное под помощь. Поэтому однозначно в комерс, помощи не будет и быть не должно; архивный дамп - блэк сигнатуры залить.

Вы не выполнили никакой работы для решения задачи.

| Сообщение посчитали полезным: sefkrd



Ранг: 149.7 (ветеран)
Статус: Участник

Создано: 17 октября 2017 19:32 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #3

OEP RVA 0x3A586


PastInTheFuture пишет:
Осторожно, антивирус ругается на файл.


во-первых, такие вещи надо с паролем аттачить, а то и вообще заливать куда-нибудь в другое место.

во-вторых, антивирус всё правильно делает.
Этот "унпакми" создаёт процесс iexplore.exe и пишёт себя туда. Что он там дальше делает - мне разбираться влом, но порядочные программы точно так не поступают. Выкинь этот троян или распространяй его в другом месте.

вирустотал упакованного (57 / 64) и распакованного (47 / 64)

Ранг: 1.2 (гость)
Статус: Участник

Создано: 17 октября 2017 19:57 New!
Цитата · Личное сообщение · #4

difexacaw пишет:
Если вам помочь и всё обьяснить, то пропадёт смысл в распаковке, так как это обучалка. Тогда получается, раз вы не описали в чём именно вам нужна помощь - какой именно момент в данном процессе не ясен, то это просто обычное ТЗ завуалированное под помощь. Поэтому однозначно в комерс, помощи не будет и быть не должно; архивный дамп - блэк сигнатуры залить.

Вы не выполнили никакой работы для решения задачи.


Вы, случаем, не между строк читаете?
Я русским языком написал "Подскажите, пожалуйста, в какую сторону копать?". Я, довольно таки, подробно все изложил: я не просил делать всю работу за меня.

Добавлено спустя 1 минуту
-=AkaBOSS=- пишет:
OEP RVA 0x3A586


Можешь рассказать, как ты нашел ее?


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 17 октября 2017 20:19 · Поправил: difexacaw New!
Цитата · Личное сообщение · #5

PastInTheFuture

> Я, довольно таки, подробно все изложил: я не просил делать всю работу за меня.

Что именно подробно, покажите подробно или это всё не так подробно, как вы думаете

> Я русским языком написал

))


Ранг: 149.7 (ветеран)
Статус: Участник

Создано: 17 октября 2017 20:27 New!
Цитата · Личное сообщение · #6

PastInTheFuture пишет:
Можешь рассказать, как ты нашел ее?

да что там искать? потратил минут пять на трассировку 'loop'ов, и очень скоро увидел и расшифровку (call внутри лупов), и настройку импорта.
а потом просто jmp edi в самом низу кода - и вот он ОЕП.
не намного сложнее упха, просто код чутка покриптован, вот и всё.

но я на полном серьёзе говорю - это вполне может быть троян/криптолокер/еще какое-нибудь чмо
лучше не давать этой каке работать на реальной машине.

Ранг: 1.2 (гость)
Статус: Участник

Создано: 17 октября 2017 20:53 · Поправил: PastInTheFuture New!
Цитата · Личное сообщение · #7

-=AkaBOSS=- пишет:
да что там искать? потратил минут пять на трассировку 'loop'ов, и очень скоро увидел и расшифровку (call внутри лупов), и настройку импорта.
а потом просто jmp edi в самом низу кода - и вот он ОЕП.
не намного сложнее упха, просто код чутка покриптован, вот и всё.


Я тоже лупы прошел, коллы тоже, но потом не может выполниться апи функция и на этом встал. Можешь выложить уже распакованный файл?

{ Атач доступен только для участников форума } - test.png


Ранг: 149.7 (ветеран)
Статус: Участник

Создано: 17 октября 2017 21:05 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #8

PastInTheFuture пишет:
не может выполниться апи функция

хз о чём речь. у меня всё ровно выполняется. win2k3 sp2 x32
Скрин интересный, но стэк не видно. Не могу понять, что именно и с какими аргументами было вызвано.

PastInTheFuture пишет:
Можешь выложить уже распакованный файл?

выложил (или выклал, кому как удобнее), пароль 654
и удали, пожалуйста, файл из шапки темы - прямой аттач вирусни (или вещей, которые оч жостко детектятся) подставляет весь этот форум, не надо так делать.
либо аттач с паролем, либо ссылку на обменник.

Ранг: 1.2 (гость)
Статус: Участник

Создано: 17 октября 2017 21:08 New!
Цитата · Личное сообщение · #9

-=AkaBOSS=- пишет:
и удали, пожалуйста, файл из шапки темы - прямой аттач вирусни (или вещей, которые оч жостко детектятся) подставляется весь этот форум, не надо так делать.


Понял, спасибо большое, буду знать

Ранг: 70.9 (постоянный)
Статус: Участник

Создано: 18 октября 2017 01:17 · Поправил: sefkrd New!
Цитата · Личное сообщение · #10

PastInTheFuture пишет:
Можешь выложить уже распакованный файл?

АКА, сделай за меня..
PM шатал бы..
difexacaw
Еще раз +
 eXeL@B —› Вопросы новичков —› Не могу распаковать файл

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS