Хай всем! Подскажите плиз чем можно распаковать драйвер для винды (.sys для XP)? Пробовал PEID (www.peid.tk) чтоб определить тип запаковщика, но она сказала что не знает такого. Спасибо заранее!
IDA пишет мол import table destroyed, file may be packed. потом я загрузил peid он мне написал что файл запакован (я так понял он это получает из анализа избыточности информации). в третьих я знаю что внутри него зашито несколько килобайт текста. я его не вижу, только мусор. ну и в IDA соотв не вижу кода всего.
Можно попробовать сменить файлу подсистему вместо нейтива и пройтись по декриптору в ольке, если там без сложностей. http://blogs.msdn.com/geffner/archive/2006/08/17/704412.aspx
попробовал. OllyDbg на первой же комманде выдала access violation: тут --> mov eax, dword ptr ds:[ffdff020] cmp dword ptr ss:[ebp+8],0 mov edi, eax ...... Интерестно что IDA для entry point показывает совершенно другой код, более "нормальный". там видно и запакованную часть и распаковщик, только вот отладку в ней запустить не могу. Уже пробовал через LordPE выставлять тип файла Windows GUI Application - никакой разницы нет. И олька и ида грят что мол это dll.
вполне возможно. но он прописывает себя в HKLM\System\CurrentControlSet\Services\pe386\ImagePath = c:\windows32\system32\driver1234.sys, и почему тогда ида отказывается его отлаживать?
Если это тот рутКит о котором я думаю то там с очень большой вероятностью прикручена ВМ. ИМХО не стоит извращаться)
а не подскажите где можно об этом почитать ? и ещё небольшой вопросик - могу ли я софтайсом сделать дамп (если дождусь его распаковки) ?
В драйверах от Alladin-а для ключей hasp и hardlock присутствует конверт, визуально заметно по наличию секции '.protect'. Снять конверт, т.е. расшифровать драйвер, можно статическим изучением кода в IDA.
