M0rg0t, > а строки эти откуда берутся? Это ведь вирта, часть статик, большая часть формируется в динамике при работе вирты. Вопрос в том, каким инструментом выполнить девирт и где его взять. А ты говоришь не пригодно против аверов, вот такая сборка как раз годится врядле у них тоже инструменты есть.
Я про скрипты и говорил. VB6 не поддерживает. Но vbs код компилируется в P-код насколько мне известно - там похожая ВМ. Проблема vbs в том что он работает только с Variant'ом, т.е. о эффективности скриптов можно забыть. Но ничто не мешает сделать внешние скомпилированные функции для скрипта. Я делал небольшой патч для msvbvm виртуальной машины. Тут можешь посмотреть, там некоторые обработчики опкодов изменяются. Сама таблица опкодов тут. Я не сильно исследовал этот режим работы, т.к. в основном предпочитаю компиляцию в нативный код - так намного эффективней получаются приложения.
Привет, у меня вопрос немного примитивный - кто знает есть ли распаковщики или наработки пл Nullsoft 3.x от 2020? Они там алгоритм поменяли, раньше 7z просто lzma детектил и распаковывал payload, сейчас у них там изменилось все. Вот пример: https://download.unity3d.com/downlo...64EditorInstaller/UnitySetup64-2020.2.5f1.exe binwalk чушь всякую выдают, рендомные lzma без размера, Adobe Flash, короче явно false positive
Digika, Не верно мыслишь, не нужно читать примитивные публикации. Любой протектор сам себя восстанавливает в памяти(обратную операцию никто кроме меня не смог реализовать). Самые сложные с виртой аналогично, но небольшая часть кода покрыта виртой. Тут вся суть в инструментах - статически нужен депак, но в динамике это не нужно. Достаточно прикрепить к модулю инструмент, который обнаружит событие, когда модуль будет открыт. Это огромное число раз проверено на всех существующих протекторах. Обычно это событие выполнение EP, давно решено. https://archivevx.net/exelab/f/pages/action=vthread&forum=6&topic=25429&page=0.html https://wasm.in/threads/oep-protektory.33242/
О хосподе, посмеялся до слез, вот такие у нас спецы на васме. Самое то Nullsoft'овский инсталлятор за протектор принимать. Да-да, восстанавливает себя в памяти, накрыт виртой, ага.
Rel, Не имеет значения какое апп, протектор криптор пакер без разницы. Другое дело это если там вирта или это комовкий образ.
Rel, Ты ведь недавно говорил что ты не реверсер, отладчик не твой инструмент. Откуда тогда знаешь что там внутри этого софта ?
Вообще Rel прав, это просто NSIS - https://nsis.sourceforge.io/Main_Page Просто для x64/2020 нет анпакеров, по крайней мере в паблике (7zip распаковывает 2.x/x32 версии, но на последних лишь может извлечь blob payload на 2Gb). Я просто думал кто сталкивался и написал на коленке оный. Раньше, помню, был форум, decompressor.ru или что-то такое, там все возможные форматы пакеров обсуждались. Сейчас его найти не могу, наверное помер. Понимаю, что мой вопрос скорее оффтоп, но спросить негде было.
Digika, Я не понимаю. Зачем анпакер для приложения, которое само себя распаковывает ? Вообще что такое анпакер и зачем это нужно ? Это статик инструменты и методы древние как говно мамонта, когда небыло инструментов для работы с апп в динамике.
Indy_ А, понял что вам смутило. Анпакер для удобства, ибо инсталляторы от 2GB до 3GB, а из них нужно выудить 2-3 файла, таких инсталляторов каждый месяц по 1-2, сейчас уже близко к 50+. Устанавливать же не будешь каждый, это на стену лезть захочется, да и глупо.