Имеется файл, при открытии которого Олей, выскакивает сначала предупреждение о том что файл самораспаковывающийся(self-extrackting), либо self-modifyng(полиморф?). Затем файл весело сообщает тебе в окошке, что он обнаружил дебаг(молодэц!) и вырубает его. Как обойти эту защиту? Если нужен сам файл, то могу выложить. Хотя нет, не получится выложить, он весит 109мб.
ничего он не модифицирует. скорей всего файл накрыт протектором типа EXECryptor, ставь плагин типа Phantom и галочку "Break on TLS Callback".
Прогнал через анализатор, высветилось, что файл запакован ASProtect. Распаковал. Загрузил снова в Олю, и тут опять она зависла, а касперский написал, что создан файл с расширением .sys Беда.
klzlk Да как же я брик поставлю, если дебаг вырубается? Для этого вообще похоже Айс понадобится, а у меня монитор неподходящий
Со второй версией установил "Break on TLS Callback", но это ничем не помогло. Вроде распаковал, но olly пишет, что файл либо сжат, либо зашифрован, либо содержит большой кусок embedded кода и выдает невнятный фарш "кода".
Ф чем собственно задача? Распаковка и полный реверс файла вовсе не обязателен (если только задача не стоит именно так). PS Если это EXECrypt (я склонен согласиться с мнением выше из-за TLS - ASPack так не делает вроде), то разве нету анпакера (есть смысл потратить 30мин на гугл).
PSR1257II Задача - получить нормальный код, в котором уже можно будет решить вполне типичную задачу. А пока код явно инвалидный вываливается. Это ASProtect
Neonix Олли запоминает брейки. Установите его на загрузочный колбек в любом приложении, затем загрузите в отладчик ваше приложение, должен сработать останов при вызове тлс-колбека. Тоже можно сделать в текущем процессе - систем брейк в опциях, затем брейк на колбек. У меня на LdrpCallTlsInitializers() стоит останов всегда, иначе при открытии малваря управление будет потеряно. Во вторых есть ли там статически прилинкованные модуля от вашего приложения ? Если есть, то поведение потока будет аналогично как с тлс, вызывается загрузочное нотифи в модуле.
