Что в себя включает работа вирусолога или вирусного аналитика?

neutronion
не знаю что у вас там не получается.
Довольно легко распаковывается.
Выложу распакованный : http://rghost.ru/1303575 .
Заняло мин 5, и то чтоб вспомнить как там импрек пашет , давно ниче не распаковывал.

 

neutronion
Смысл в том что, после того как вы нашли OEP и зациклили там прогу, делаете дамп. Вам надо восстановить IAT. Это сразу не получится сделать потому, что ImpRec предложит вам OEP образа который собственно говоря упакован. А там конечно IAT нету, искать импорт с такими настройками - не советуется. Как правило, в большинстве случаем, это закончится зависанием\крахом ImpRec`а. Но вы помните новый OEP, вбиваете его в ImpREC и нажимаете IAT AutoSearch он сообщит, типа жмите Get Imports. Нажимаете, получаете идеальный импорт где везде YES. Жмете Fix Dump в полученом дампе, ImpRec скажет - все ок. Ну и последний штрих - восстановить байты на начальные.
Ну и чтоб вы знали Реальный OEP в данном крекми начинается так:

Код (Text):

1. 00440300   >55              PUSH EBP
2. 00440301   .8BEC            MOV EBP, ESP
3. 00440303   .83C4 F4         ADD ESP, -0C

Объяснять почему же была выбрана такая тактика - смысла я думаю нет. Потому что если вы видели код начальный, и смотрели что делает распаковщик (а не тупо искали бы точку входа, не думая что же происходит), вы бы все поняли
По крайней мере мне сразу подумалось, что надо действовать так.

 

Sol_Ksacap
Да вы правы скорее всего это VirtualAllocEx. Ваша версия ставит все на свои места.

 

l_inc
Дело не в этом. А в том что при вызове VirtualAlloc - первое значение lpAddress то есть желаемый адрес, но в него нельзя указывать абы что, тем более "-1 ". Вызывая же VirtualAllocEx - первый параметр уже не адрес, а хендл процесса. А хендл -1 указывает на вызывающий процесс. Вот так вот. Просто человек сбил нас с толку, сказав вначале, что это вызов VirtualAlloc. А я чего, то и не обратил внимание на кол-во передаваемых параметров в стек.

 

neutronion
Даже не знаю что вам написать, по поводу "как анализировать, как смотреть". И опыт сын, ошибок трудных...
Вы дошли до 38 урока, но видимо еще не готовы идти дальше. Смысл этих туториалов не только в том, чтобы повторять действия автора, и уныло следовать его наставлениям. Надо смотреть что же происходит. Вот прям трейсите и смотрите что происходит. Если вы знаете ассемблер и винапи достаточно, если вы знаете как сех устроен.. Да много там еще надо знать. По началу, если вам трудно запомнить в уме - записывайте на листочке. Вы должно _видеть_ как идет логика, где идет распаковка, а где таблица импорта востанавливается, а где релоки, а где делается антиотладка. Последнее только с опытом прийдет, когда вы уже будете видеть эти приемчики, как замечаете большие сиськи в толпе девушек ).
И так вот в плоть до того, что потом в хексдампах будете видеть куски известных распаковщиков и алгоритмов xor\fstenv и тп в разных кодировках. Поверьте я не шучу. Крис подтвердит .
Конечно есть тяжелые крипторы с VM, там прийдется еще помучаться. Вспоминается мне такой кошмар как ExeCrypt. Хы, горе авторы не очень понимали, что так портить прогу мало того что неэтично, так еще и не конформансно. Хотя и с полной защитой снять его было тяжеловато на тот период. Хз сейчас другой уровень, занимаюсь другими вещами и как сейчас в тех краях - не в курсе.

На счет вашей проблемы с распаковкой. Ну, если хотите я вам сделаю видеотуториал для особо одаренных. Но лучше сами поймите где ваша ошибка. Потом скажите мне спасибо.