Здравствуйте Нашел на флешке подозрительный файл (в recycled), который запускался autorun.inf вознило логичное предположение о том что это не просто файл правда ни nod ни KAV не заметили ничего подозрительного Если у кого будет время - взгяните. Подскажите, чем оно запаковано, что IDA не опознает его как исполняемый файл?
я посмотрел, но в текстовом режиме кода не увидишь. Только незашифрованные тектовые строки. Просто интересно, почему IDA его не дизассемблирует? (извините за глупый вопрос, я в реверсинге новичек, но начинат нужно с чего-то..). Может PE-заголовки повреждены как-то? И странно как-то, если вирус старый, хотя-бы KAV должен был бы его определить. А какое название у вируса, не подскажите? кажется файл не приаттачился в тот раз, вот ссылка http://upload.com.ua/get/901284970/
Прошу прощения, не уверен что существуют обменники без рекламы.. Но здесь ее меньше по крайней мере http://www.mediafire.com/?jj4mzej2ey2
Глянул файлик, там пробелы везде забиты(0х20) вместо нулей, начиная с дос-хидера. Поле e_lfanew = 0x202020E0 --> в космос. хз, патчится он наверное, перед загрузкой. (?)
PSR1257 TriX Спасибо что глянули, вероятно этот файл уже познакомился с антивирусом до того как попал ко мне, который изменил его до неузнаваемости
Nicky Врядли его ав так покорежили, скорее другая какая-то кака Смотри внимательней на то, что впридачу с этим файлом идет.
Были и видимо еще остались сервера, которые корежат файлы при закачке - сам в прошлом (и сейчас изредка) получал RAR побитые таким образом(ZIP не били). Похоже, что сервер не знает, что EXE - это бинарный файл... Лох похоже настраивал сервер и тебе либо повезло, если это был вирус, либо не повезло, если это полезняшка... Благо теперь все можно найти в сто местах или аналог найти, который лучше оригинала
