Dual’s eXe static unpacking

nobodyzzz · 25 июн 2007

Hi, all
Вот наваял на выходных субж =))). Может кому сойдет в качестве небольшого тутора=).Краткие комментарии здесь _hxxp://nobodyzzz.blogspot.com/2007/06/duals-exe-static-unpacking.html

_SLV_ · 26 июн 2007

не согласен немного:

Загружаем закриптованый calc.exe в IDA. На точке входа видим стандартный код получение дельта-смещения.

.Dual:0101F000 push ebp
.Dual:0101F001 mov ebp, esp
.Dual:0101F003 sub esp, 500h
.Dual:0101F009 call $+5
.Dual:0101F00E pop ebp
.Dual:0101F00F sub ebp, 0Eh
Нажмите, чтобы раскрыть...

это поиск не дельты а eip... =]

nobodyzzz · 26 июн 2007

_SLV_ сказал(а):

не согласен немного:

Загружаем закриптованый calc.exe в IDA. На точке входа видим стандартный код получение дельта-смещения.

.Dual:0101F000 push ebp
.Dual:0101F001 mov ebp, esp
.Dual:0101F003 sub esp, 500h
.Dual:0101F009 call $+5
.Dual:0101F00E pop ebp
.Dual:0101F00F sub ebp, 0Eh
Нажмите, чтобы раскрыть...

это поиск не дельты а eip... =]
Нажмите, чтобы раскрыть...

Ну если учесть что в коде куча конструкций вида [ebp + xxx], то это-таки нахождение дельта-смещения =)))

Stub · 5 июл 2007

nobodyzzz
Наверное _SLV_ имел ввиду, что это нахождение значения EIP для получения дельта-смещения

Войти или зарегистрироваться

Dual’s eXe static unpacking

nobodyzzz New Member

_SLV_ New Member

nobodyzzz New Member

Stub New Member

Войти или зарегистрироваться

Dual’s eXe static unpacking

nobodyzzz New Member

_SLV_ New Member

nobodyzzz New Member

Stub New Member

Быстрый поиск