Детский реверс, я туплю

Discussion in 'WASM.HEAP' started by Neonix, Jul 8, 2011.

  1. Neonix

    Neonix New Member

    Blog Posts:
    0
    Имеется файл, при открытии которого Олей, выскакивает сначала предупреждение о том что файл самораспаковывающийся(self-extrackting), либо self-modifyng(полиморф?). Затем файл весело сообщает тебе в окошке, что он обнаружил дебаг(молодэц!) и вырубает его.

    Как обойти эту защиту?

    Если нужен сам файл, то могу выложить.
    Хотя нет, не получится выложить, он весит 109мб.
     
  2. Neonix

    Neonix New Member

    Blog Posts:
    0
    Помогите! Счастье ребенка на кону :lol:
     
  3. Neonix

    Neonix New Member

    Blog Posts:
    0
    Ещё информация.
    Процесс этого файла модифицирует ollydbg.ini.
     
  4. expert

    expert New Member

    Blog Posts:
    0
    ничего он не модифицирует. скорей всего файл накрыт протектором типа EXECryptor, ставь плагин типа Phantom и галочку "Break on TLS Callback".
     
  5. Neonix

    Neonix New Member

    Blog Posts:
    0
    expert
    Спасибо, попробую.

    Касперский так говорит.
     
  6. Neonix

    Neonix New Member

    Blog Posts:
    0
    expert
    Нет такой в опциях.
     
  7. Neonix

    Neonix New Member

    Blog Posts:
    0
    http://qunpack.ahteam.org/?p=238
    Скрин. Там видны доступные опции.
     
  8. Neonix

    Neonix New Member

    Blog Posts:
    0
    Прогнал через анализатор, высветилось, что файл запакован ASProtect. Распаковал. Загрузил снова в Олю, и тут опять она зависла, а касперский написал, что создан файл с расширением .sys
    Беда.
     
  9. klzlk

    klzlk New Member

    Blog Posts:
    0
    Neonix
    bpx LdrpCallTlsInitializers().
     
  10. Neonix

    Neonix New Member

    Blog Posts:
    0
    klzlk
    Да как же я брик поставлю, если дебаг вырубается?
    Для этого вообще похоже Айс понадобится, а у меня монитор неподходящий :lol:
     
  11. Clyde

    Clyde New Member

    Blog Posts:
    0
    Neonix


    [​IMG]
     
  12. Neonix

    Neonix New Member

    Blog Posts:
    0
    Clyde
    [​IMG]
    У меня старая Оля?
     
  13. Clyde

    Clyde New Member

    Blog Posts:
    0
    Ну скрин я снимал со 2ой, где оно в 1ой если вообще есть не помню
     
  14. Neonix

    Neonix New Member

    Blog Posts:
    0
    Со второй версией установил "Break on TLS Callback", но это ничем не помогло. Вроде распаковал, но olly пишет, что файл либо сжат, либо зашифрован, либо содержит большой кусок embedded кода и выдает невнятный фарш "кода".
     
  15. PSR1257II

    PSR1257II New Member

    Blog Posts:
    0
    Ф чем собственно задача? Распаковка и полный реверс файла вовсе не обязателен (если только задача не стоит именно так).

    PS Если это EXECrypt (я склонен согласиться с мнением выше из-за TLS - ASPack так не делает вроде), то разве нету анпакера (есть смысл потратить 30мин на гугл).
     
  16. Neonix

    Neonix New Member

    Blog Posts:
    0
    Блин, что делать? Клерк, великий и могучий, подкиньте мыслей.
     
  17. Neonix

    Neonix New Member

    Blog Posts:
    0
    PSR1257II
    Задача - получить нормальный код, в котором уже можно будет решить вполне типичную задачу. А пока код явно инвалидный вываливается.

    Это ASProtect
     
  18. klzlk

    klzlk New Member

    Blog Posts:
    0
    Neonix
    Олли запоминает брейки. Установите его на загрузочный колбек в любом приложении, затем загрузите в отладчик ваше приложение, должен сработать останов при вызове тлс-колбека. Тоже можно сделать в текущем процессе - систем брейк в опциях, затем брейк на колбек.
    У меня на LdrpCallTlsInitializers() стоит останов всегда, иначе при открытии малваря управление будет потеряно.

    Во вторых есть ли там статически прилинкованные модуля от вашего приложения ?
    Если есть, то поведение потока будет аналогично как с тлс, вызывается загрузочное нотифи в модуле.