Как говорится "Ты прав, но сбит с толку". Упакованные/криптованные PE-шники расшифровывают все уважающие себя антивири, но они не отдают все это своему юзверю.
Я тоже читал эту статью, и ее суть как раз и сводится к патченью антивиря таким образом, чтоб он все, что распаковал оставлял на диске. Где читал не помню - давно это было.
ЗЫ: Попробуй W32Intro или еще какой-нить универсальный депакер, а то и вообще в нете куча статей по взому AsPack-нутых и других навесных защит, подход ко всем один и тот же, но тут уж лучше что-нить типа SoftIce + ProcDump, ну и IDA может пригодиться
Я тут недавно где-то слышал, что какой-то антивирусень (DrWeb по-моему), может распаковывать PE файлы используя свои внутренние механизмы распаковки. То есть типа drweb -somekey packed.exe unpacked.exe — на выходе в unpacked.exe то, что надо. Кто может подсказать? А то я DrWeb весь перерыл, ключа так и не нашёл.
Заранее большое спасибо. Просто было бы круто, поскольку антивирусень обычно знает мноооооого всяких упаковщиков, не надо искать тулзы для отдельных типов и проч.
Как говорится "Ты прав, но сбит с толку". Упакованные/криптованные PE-шники расшифровывают все уважающие себя антивири, но они не отдают все это своему юзверю.
Я тоже читал эту статью, и ее суть как раз и сводится к патченью антивиря таким образом, чтоб он все, что распаковал оставлял на диске. Где читал не помню - давно это было.
ЗЫ: Попробуй W32Intro или еще какой-нить универсальный депакер, а то и вообще в нете куча статей по взому AsPack-нутых и других навесных защит, подход ко всем один и тот же, но тут уж лучше что-нить типа SoftIce + ProcDump, ну и IDA может пригодиться
> Я тут недавно где-то слышал, что какой-то антивирусень > (DrWeb по-моему), может распаковывать PE файлы используя > свои внутренние механизмы распаковки. То есть типа drweb > -somekey packed.exe unpacked.exe — на выходе в unpacked.exe > то, что надо. Кто может подсказать? А то я DrWeb весь > перерыл, ключа так и не нашёл.
Никогда не слышал о такой фиче! :((
> Заранее большое спасибо. Просто было бы круто, поскольку > антивирусень обычно знает мноооооого всяких упаковщиков, не > надо искать тулзы для отдельных типов и проч.
Попробуй универсальный распаковщик ProcDump, он знает много форматов и может распаковывать неизвестные форматы. Вот только того же ДрВеба распаковывать не умеет - в ДрВеб встроена защита от таких вещей! :((
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
