PE упаковщик лоадер

Судя по 666 и 1 мая, ты пытаешься троянов нам подсунуть. Как говориться : Вы ошиблись с местом и временем !!!
На ксакеп ШАГОМ МАРШ!!! АТЬ, ДВА!!!

 

писец... даже до этого форума дошло

 

temp666
Классный батник!

 

я конечно незнаю.. но в тест проге меня вот этот кусочек смутил:

Код (Text):

1.     case 0x406u:
2.       if ( a4 == 1 )
3.       {
4.         if ( !GetIWebBrowserFromWin(a3, &v9) )
5.         {
6.           v7 = malloc(0x388u);
7.           v4 = v7;
8.           memset(v7, 0, 0x388u);
9.           *((_DWORD *)v4 + 1) = &a3;
10.           *((_DWORD *)v4 + 17) = sub_4013F9;
11.           *(_DWORD *)((char *)v4 + 130) = sub_401431;
12.           *(_DWORD *)((char *)v4 + 134) = sub_401451;
13.           *(_DWORD *)((char *)v4 + 138) = sub_401471;
14.           *((_DWORD *)v4 + 14) = sub_40137C;
15.           *((_DWORD *)v4 + 15) = sub_4012EA;
16.           *(_DWORD *)v4 = v9;
17.           *((_DWORD *)v4 + 5) = CreateEventA(0, 0, 0, 0);
18.           lstrcpyA((LPSTR)v4 + 304, String2);
19.           Connecting();
20.           if ( v8 )
21.           {
22.             CloseHandle(*((HANDLE *)v4 + 5));
23.             (*(int (__stdcall **)(int))(*(_DWORD *)v9 + 8))(v9);
24.             free(v4);
25.           }
26.         }
27.       }

а пакер действительно выглядит чистым.
по крайней мере чоткий алгос шифровки там проглядывается,
хотя на себе я запускать его ещо не готов..

 

Comer_
Там все норм, это aplib известный. Есть также в примерах пакета masm, но там для просто файлов, не для исполняемых, а то что выше, так это в недавней теме того же автора.
Только вот не пойму, зачем в бат-файле такое содержимое было?

 

temp666

Ля-ля не надо. Твоя прога использует serv.dll - Hansa Bank Logger.
Продолжать исследование или сам исчезнешь. С учетом недавних сообщений,
что этот банк расширяет свою сеть в России, ты явно ошибся с примером.
А может ты и не знаешь, что твои транзакции уже утекли в братскую Эстонию ?

 

temp666

1) terget - пишется target
2) make.bat делает следующее : запускает packer.exe - это программа без параметров и пакует она единственный terget.exe . Пакует она его хитрым образом : создает data.asm , потом make.bat компилит loader.asm Если будет ошибка, то новичок запустит "твой" terget, а не свой. Даже если у него хватит ума подменить terget.exe на свой.
3) Я не эстонец и не из Эстонии.
4) Все это явная подстава или просто безграмотный выпендреж. Не указан автор и название пакера,
не объяснены тонкости, не указан источник.
5) Внутреннее имя terget.exe - mhook.exe Веселая парочка : mhook+serv с именем bank logger
Уж никак не меньше, чем скрытая реклама или сбор статистики посещений.

 

temp666

Сам что ли родил? Ну давайте лазить по софтверным сайтам, выкладывать все подряд, описывать только функционал, ничего не проверять и визжать от экстаза - какие мы крутые.
Ты не на авторство претендуешь, а на крутость Вот мол, что я нашел.

Почему исходник назывался mhook? На вызов Connecting и InstallHook мы не попадаем?

Кончай балаболить! Лучше скажи откуда все-таки взял ?

 

valterg
Я ж писал что за либа используется - aplib. Просто чувак сумел ее применить для упаковки исполняемый файлов. Про terget.exe читай https://wasm.ru/forum/viewtopic.php?id=26381

 

temp666
Откуда выдраны основные части загрузчика (FixReloc, BuildImpTable, etc.)?

 

temp666
ты мне напоминаешь одного человека.. вот его блог:
http://evilphreak.blog.ru/6062563.html
он действительно похож, не посчитайте стёбом.

 

temp666
Я ни в чем и не обвиняю Но

Код (Text):

1. loc_4021FF:                          
2.                  mov     ecx, [edi]
3.                  add     ecx, [ebp+arg_0]
4.                  mov     eax, [edi+4]
5.                  mov     [ebp+var_4], eax
6.                  add     edi, 8
7.                  sub     [ebp+var_4], 8
8.                  jmp     loc_402237
9. loc_402213:                      
10.                  cmp     word ptr [edi], 0
11.                  jnz     loc_40221E
12.                  add     edi, 2
13.                  jmp     loc_40223D
14.  
15. ...

Говорит о том, что это copy-paste из IDA