eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Помогите декомпилировать
Посл.ответ Сообщение

Ранг: 1.7 (гость)
Статус: Участник

Создано: 27 ноября 2017 10:20 New!
Цитата · Личное сообщение · #1

Есть программа, состоящая из множества модулей и основного исполняемого файла, но основной исполняемый файл Esprom3.exe, очень большого размера (37240 кб для такого формата файлов, я думаю много), он не хочет проходить не деобфускацию, не декомпиляцию на прямую, может кто-нибудь сможет его расспаковать, или хотя бы деобфусцировать.

ссылка на него, запаковал в 7zip, на удивление очень хорошо сжался
https://cloud.mail.ru/public/MYGx/F52AZ7Epd


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 27 ноября 2017 11:35 New!
Цитата · Личное сообщение · #2

а в чем проблема?


Ранг: 1.7 (гость)
Статус: Участник

Создано: 27 ноября 2017 11:37 New!
Цитата · Личное сообщение · #3

Чем вы открыли и как, расскажите пожалуйста!


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 27 ноября 2017 11:45 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #4

VB Decompiler Pro. На паблике свежих версий не было, так что при желании можно и купить.

| Сообщение посчитали полезным: RedlineDevil


Ранг: 1.7 (гость)
Статус: Участник

Создано: 27 ноября 2017 12:13 New!
Цитата · Личное сообщение · #5

Gideon Vi пишет:

VB Decompiler Pro. На паблике свежих версий не было, так что при желании можно и купить.


А скажи пожалуйста, чем ты оперировал при выборе декомпилятора и как определяешь язык, на котором была написана программа?


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 27 ноября 2017 12:29 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #6

RedlineDevil пишет:
как определяешь язык, на котором была написана программа


Развлекайся, пароль 123
https://www.upload.ee/files/7705890/Snif.7z.html

RedlineDevil пишет:
чем ты оперировал при выборе декомпилятора


я не знаю/занимаюсь vb, так что использовал первое, подвернувшееся под руку
на форуме мерялись, кто декомпилирует круче, можешь поискать.

Ранг: 226.3 (наставник)
Статус: Участник

Создано: 27 ноября 2017 12:45 New!
Цитата · Личное сообщение · #7

Вот этот товарищ очень мощно умеет в ВБ, возможно если заинтересуешь его, то поможет

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 27 ноября 2017 13:18 New!
Цитата · Личное сообщение · #8

RedlineDevil пишет:
А скажи пожалуйста, чем ты оперировал при выборе декомпилятора и как определяешь язык, на котором была написана программа?

Точка входа, имена секций, кол-во секций, модули в таблице импорта и их функции, строчные константы, версия компилятора. Вариантов детекта масса. Этими же принципами руководствуются пакеропротекторы, маскируя код на точке входа под видом штатных выхлопов компиляторов. Вб в большинстве случаев, если не скомпилирован в p-code, дизассемблируется не сложнее дельфи бинарей, чьи строчные константы преставлены в юникод формате.


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 27 ноября 2017 14:06 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #9

* удалил, перепутал термины

Ранг: 37.6 (посетитель)
Статус: Участник

Создано: 27 ноября 2017 15:00 · Поправил: DrVB_5_6 New!
Цитата · Личное сообщение · #10

RedlineDevil пишет:
Есть программа, состоящая из множества модулей и основного исполняемого файла, но основной исполняемый файл Esprom3.exe, очень большого размера (37240 кб для такого формата файлов, я думаю много), он не хочет проходить не деобфускацию, не декомпиляцию на прямую, может кто-нибудь сможет его расспаковать, или хотя бы деобфусцировать.


А цель-то какая?

Вообще-то
RedlineDevil пишет:
Есть программа, состоящая из множества модулей и основного исполняемого файла
...
дальше можно не продолжать...

Если б это было об исходниках, то ещё б можно было бы как-то понять, а об исполняемом коде - диагноз: "Полное отсутствие какого либо присутствия..."
Такого просто не бывает!...
Что либо объяснить будет очень сложно.


Ранг: 169.2 (ветеран)
Статус: Участник

Создано: 28 ноября 2017 22:11 New!
Цитата · Личное сообщение · #11

RedlineDevil пишет:
37240 кб для такого формата файлов, я думаю много


Набит картинками (GIF/JPG) и, зачем-то, бесчисленным количеством [MD2: PI-subst SBox ; 4*256 = 1,024 bytes].


{ Атач доступен только для участников форума } - Esprom3.exe.cc.7z

| Сообщение посчитали полезным: RedlineDevil


Ранг: 1.7 (гость)
Статус: Участник

Создано: 30 ноября 2017 23:09 · Поправил: RedlineDevil New!
Цитата · Личное сообщение · #12

gazlan пишет:
RedlineDevil пишет:
37240 кб для такого формата файлов, я думаю много

Набит картинками (GIF/JPG) и, зачем-то, бесчисленным количеством [MD2: PI-subst SBox ; 4*256 = 1,024 bytes].


b3f7_28.11.2017_EXELAB.rU.tgz - Esprom3.exe.cc.7z


спасибо, интересный вариант, на удивление ещё читать привязки можно и ссылки )

А кто-нибудь может собрать распаковщик запакованых aPLib'ом экзэшников? у меня не получается ни на VB6, ни на ASM


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 30 ноября 2017 23:58 New!
Цитата · Личное сообщение · #13

RedlineDevil пишет:
А кто-нибудь может собрать распаковщик запакованых aPLib'ом экзэшников? у меня не получается ни на VB6, ни на ASM


В пакете MASMа был семпл на эту тему. Зааттачил - изучай.


{ Атач доступен только для участников форума } - appack.rar

| Сообщение посчитали полезным: RedlineDevil


Ранг: 1.7 (гость)
Статус: Участник

Создано: 1 декабря 2017 20:25 New!
Цитата · Личное сообщение · #14

Rainbow пишет:

В пакете MASMа был семпл на эту тему. Зааттачил - изучай.


Всё таки меня программа DiE частично обманула, не сжимали исполняемый файл aPLib'ом.

Буду с С++ пробовать декомпилировать.


Ранг: 264.9 (наставник)
Статус: Участник

Создано: 1 декабря 2017 21:24 New!
Цитата · Личное сообщение · #15

Где мой хрустальный шар.

Ранг: 1.7 (гость)
Статус: Участник

Создано: 1 декабря 2017 21:58 New!
Цитата · Личное сообщение · #16

difexacaw пишет:
Где мой хрустальный шар.


Ничего не получается с этим экзэшником, может кто-нибудь сможет его распаковать, IDA всеми силами тыкает на то, что он написан на .NET с поддержкой Framework 2.0, но рефлектор, ил и другие анпакеры матерятся на чём свет стоит и уверенно твердят, что это липа.



{ Атач доступен только для участников форума } - ApplicationLauncher.7z

Ранг: 0.0 (гость)
Статус: Участник

Создано: 1 декабря 2017 23:11 New!
Цитата · Личное сообщение · #17

RedlineDevil пишет: Ничего не получается с этим экзэшником, может кто-нибудь сможет его распаковать, IDA всеми силами тыкает на то, что он написан на .NET с поддержкой Framework 2.0

Может стоит для начала подучить матчасть, а не реверсить без знаний даже основ. Все верно говорят анализаторы, даже название бинарника вполне себе говорящие и IDA прекрасно разбирает этот ланчер.


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 1 декабря 2017 23:15 New!
Цитата · Личное сообщение · #18

RedlineDevil пишет:
Буду с С++ пробовать декомпилировать.


Я одно не понял из всего вышенаписанного - какова цель вскрытия сего пациента ?

Ранг: 1.7 (гость)
Статус: Участник

Создано: 1 декабря 2017 23:21 New!
Цитата · Личное сообщение · #19

Rainbow пишет:
Я одно не понял из всего вышенаписанного - какова цель вскрытия сего пациента ?


Попытка изменения поведения пациента при запуске.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 1 декабря 2017 23:30 New!
Цитата · Личное сообщение · #20

Читай до просветления: https://msdn.microsoft.com/ru-ru/library/99sz37yh(v=vs.110).aspx
когда дойдет почему в IDA светится строка о второй версии .NET рантайма то придет озарение, что ничего там не зашифровано, а писано на нативном c++ и что этот бинарь всего лишь ланчер.


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 1 декабря 2017 23:36 · Поправил: Rainbow New!
Цитата · Личное сообщение · #21

RedlineDevil пишет:
Попытка изменения поведения пациента при запуске.


Ну с такими формулировками я ничего не могу посоветовать кроме как следовать указаниям хрустального шара difexacaw

P.S. Поведение бывает разное. В предоставленном виде пациент вообще недееспособен, поэтому оценить его поведение вообще не представляется возможным.
P.P.S. Как проблема описывается - так вопрос и решается

Ранг: 1.7 (гость)
Статус: Участник

Создано: 1 декабря 2017 23:52 New!
Цитата · Личное сообщение · #22

Rainbow пишет:
P.S. Поведение бывает разное. В предоставленном виде пациент вообще недееспособен, поэтому оценить его поведение вообще не представляется возможным.


Он запускается с кучей других приложений, он сам по себе работать не будет, к нему ещё идет куча библиотек вот папка самой программы.

https://cloud.mail.ru/public/HQj2/VXEAREaaD
 eXeL@B —› Вопросы новичков —› Помогите декомпилировать

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS