скачал файл, он просто не открывается. понял, что малварь словил. самому анализировать не очень хотелось, так что проверил на вирустотале. в результате вот: поискал описание. нигде нет. его какбы задетектили, но описать ещё не успели. пришлось самому его потрошить, но вышел облом-с! Ида говорит, что невалидный ПИ файл(он ПИ 100%, в хиеву смотрел) и невозмозможно прочитать импорт дескриптор по-такому-то-адресу. Хиеву тоже говорит что нарушена структура файла. Данные секции импорта невозможно прочитать. в стабе любезно написано что файл не работает в ДОСе На энтипоинте чушь, а точнее данные, а не код что делать? как его анализировать? Прикрепленный файл - зловред.
чет файл после прикрепления изменяет название и значительно меньше становится... админы, в чем дело?? автоматическое архивирование?
GMax ок, на внешний Flint_ta нет это не дамп, это результат анализа на Вирустотале или Вы о чем-то другом?
newbie епт, сорри.. правда недокачался.. а я голову ломаю=) Flint_ta аа.. ну, это был экзешник изначально. zicker статья интересная довольно. вот только там описка очевидная. Крис пишет что поле subsystem показывает количество секций. надо исправить. subsystem показывает подсистему=) гуи, консоль.. а так, статья как детектив прям.
Neonix это в комментариях его к листингу. кстати о листингах. как это Крис сделал что Ида автоматически подписывает названия полей ПИ-файла? или он сам приписал это к листингу?)
Neonix можно самому, наверно можно на её внутреннем скриптовом языке, можно скачать SDK её и написать плагин
да, можно и написать. даже совсем просто. просчитывать адреса строк и комментить их. но я не люблю кодить. думал есть уже готовый.
