У кого есть Olly или IDA PRO, и кому не лень

Здравствуйте. Прошу всех, у кого есть свободная минутка помочь мне.
Дело в том, что я пока не имею возможности установить нужный софт ( ОСь с LiveCD запущена ), а жуткий интерес к одному файлу не умолкает. Надо сделать вот что:

1) Дизассемблировать файл и кинуть результат сюда.
2) разрезать файл на 2 части от адреса 0x200. Мне интересна вторая часть. Кинуть сюда.
3) спасибо?

 

1) не имеет смысла он упакован, вам на крек лаб в тему, пакеры
2) адресса 0x200 не существует ибо все приложения запускаються от 0x00401000
3) пжст

 

Видимо там подразумевалось 0x200 байт от начала файла.

 

начиная с оффсета 0x200

что прям совсем все? вау

 

дизассемблировать файл нет смысла - на точке входа мусор.

Код (Text):

1. .flat:00401000 start:
2. .flat:00401000                 dec     ebp
3. .flat:00401001                 pop     edx
4. .flat:00401002                 push    59413136h
5. .flat:00401007                 db      26h
6. .flat:00401007                 push    ebx
7. .flat:00401009                 pop     ecx
8. .flat:0040100A                 in      eax, dx
9. .flat:0040100B                 pusha
10. .flat:0040100C                 das
11. .flat:0040100D                 icebp
12. .flat:0040100D ; ---------------------------------------------------------------------------
13. .flat:0040100E                 dw 0
14. .flat:00401010                 dd 0FDFF7FB3h, 0F058880Fh, 69F5FFBFh, 0BFA3FF03h, 0FF340BD5h
15. .flat:00401010                 dd 0EFD7860Fh, 840FFFBFh, 0FFBFEFF1h, 2524AD52h, 64060A8Bh
16. .flat:00401010                 dd 48E8956Ch, 0B01844A9h, 6356FB00h, 99A9A729h, 0D4306923h
17. .flat:00401010                 dd 69D4267Ah, 402313A3h, 341A6262h, 8DC06832h, 418C0C32h
18. .flat:00401010                 dd 0A6A781B2h, 51A627A6h, 0A6A77AA3h, 0C8344D26h, 348D46F4h
19. .flat:00401010                 dd 4304D1Ah, 601D3C4h, 0E801E541h, 69CC14D0h, 0C893A166h
20. .flat:00401010                 dd 601A4D46h, 0A6F21469h, 0D19948Dh, 911ED000h, 21060DA0h
21. .flat:00401010                 dd 9A0C00A0h, 3468C834h, 0F568400Ch, 0D402606h, 4F585B0Fh
22. .flat:00401010                 dd 0A086060h, 1C0482B4h, 40C4B41Bh, 0D2139A84h, 0DC28B1ACh
23. .flat:00401010                 dd 12A3CEC5h, 4867B337h, 45024004h, 972A51C9h, 950B0331h
24. .flat:00401010                 dd 0A6DBBDBFh, 52B94F4Eh, 2A36FC3Eh, 67319735h, 0A15FD856h
25. .flat:00401010                 dd 0BD196037h, 535D96E1h, 5DCE26FAh, 0A400B4Dh, 0EF5EA00Ah
26. .flat:00401010                 dd 904E30F4h, 1512345Ch, 1C83AC75h, 0B1D10AE7h, 0CC27C749h
27. .flat:00401010                 dd 0A0D2958Dh, 40C73129h, 403400EDh, 228D907Fh, 0E37D2DE9h
28. .flat:00401010                 dd 0EFCC8C32h, 89488B4Fh, 73403390h, 871C2Bh, 0AB0643C1h
29. .flat:00401010                 dd 0EFE08A0Fh, 9F2FFBFh, 989520BBh, 0E33B1D21h, 28C6A51Fh
30. .flat:00401010                 dd 0B322EF6Ch, 3DD2382Bh, 7E2F9239h, 2898AED1h, 67A809A8h
31. .flat:00401010                 dd 45322DB8h, 6645FF41h, 0FF308F0Ch, 0F13D1622h, 0F038EC50h
32. .flat:00401010                 dd 0F0078F0Fh, 0E4ACFFBFh, 381420D2h, 9320956Fh, 8A0E7270h
33. .flat:00401010                 dd 0A4378149h, 0B043A2D4h, 778F0FAEh, 0A7FFBFF0h, 3F2090D6h
34. .flat:00401010                 dd 0DCC5BFB0h, 24144E91h, 0E709583Bh, 40h, 14h dup(0)
35. .flat:00401200                 dd 380h dup(?)

 

вообще-то с 0x00400000,
0x00401000 - это 1я страница секции кода

 

Спасибо за распаковку. Таки удалось прочитать содержимое Edit1 и сделать его работоспособным. Однако В первой части в дизассемблированном варианте от Great - бред: либо данные, либо просто мусор. Благодарю всех.

 

пожалуйста. поделитесь секретом (интересно просто) - что за мусор на точке входа?

 

Файл похож на результат компиляции FASM'ом 1.68 чего-то типа

Код (Text):

1. format PE console 3.1
2. file "somefile"

Заголовок в начале встроенного файла похож на bzip2. Вряд ли это код.

 

Да. После хорошей дозы пива стало понятно что это архив, но опять там ниче нет или ковырялось плохо.
Дело в том что мне достался сервак, владелец которого таким образом спрятал файл с паролями от Keystore. Расшифровывать RSA самого хранилища - не реально, зато вот ковыряем файлы этого маньяка.

Щас ось поставлю, займусь дальше процессом поиска. Вообще, формат PE мне впервые встретился, поэтому пришла в голову мысль выложить сюда.
Думаю, тема исчерпана. Благодарю.

 

GoldFinch

А что базу загрузки образа нельзя изменить?

Не обязательно ведь

 

Sunzer
Для экзешников нельзя, так как обычно в них нет релоков.
sveta

А раньше какой юзали, ELF ?

 

Clerk, да.
Он родной.

 

Я имел ввиду, смену базы загрузки в настройках компилятора

 

тогда файл придётся перекомпилять. тут имелось ввиду без этого.

 

попался этот файл случано на глаза
там внутри от смешения 0x200 заголовок BZ2 архива
только нужно M -> B поменять
тогда MZh61AY... -> BZh61AY.... полностью заголовок BZ2 архива
дальше нужно уже думать головой
хз что там
может нужно и заголовок BZ2 архива стрипуть и дальше глядеть
потому что этот не BZ2 архив, в нем ошибки

 

> Для экзешников нельзя, так как обычно в них нет релоков.

Тащемта, у борландовских исчадий ада (delphi, bcb) таки есть, например.
И у вендовых notepad'дов всяческих присутствуют, потомушта ASR это теперь модно и всячески пиарится мелкомягкими.
Ну а малварь уже много лет на релоках "шифруется" - скомпилят пинча с базой 0х10000, пересчитают фиксапы на кривой адрес типа 0х7fff0000 - с виду в дизасме мусор-мусором, а как загрузится - так сразу старший прапорщик =)