ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
26.01.2008, 20:59
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
Провел на форуме:
5128756
Репутация:
2032
|
|
Сообщение от CyberTm
А чем тогда смотреть чтобы оп коды не знать?)
дизасмом. тот же hiew.
|
|
|
26.01.2008, 23:21
|
|
Новичок
Регистрация: 26.01.2008
Сообщений: 11
Провел на форуме:
12532
Репутация:
16
|
|
Недавно читал гдето статейку по чистке файлов (не обязательно крипторов). Так вот там описывалась программка AV Devil. Она определяет по каким сигнатурам антивирус детектит файл. Перерыл весь гугль и не нашел её. Есть только в какомто хакерском паке.. но он весит слишком много и качать ради 1 программы не вижу смысла, слишком много денег улетит. Может у когото есть? Залейте если так, либо направьте на путь истинный  |
|
|
|
26.01.2008, 23:33
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671
Репутация:
1338
|
|
User312 Выложи статейку почитать. Я думаю AV Devil работает только на одном антивире и возможно его версии, просто парвит базы AVP...
|
|
|
|
27.01.2008, 04:53
|
|
Участник форума
Регистрация: 14.11.2007
Сообщений: 195
Провел на форуме:
1210861
Репутация:
98
|
|
Сообщение от AnonyHamster
У меня проблема в том, что каспер при использовании FreeCryptor палит самого прорэта, тоесть его чистить смысла нет? А если Поликриптором, то палит именно криптор. Но его не почистить? А если каждый файл чистить, то может скажете, что именно менять?  Ато у меня получилось закриптовать им мелкий exeшник (кейген ), который потом палился каспером как закриптованный, но я в начале изменил в винхексе точку на 0 и он перестал палица. Но с сервером Рэта не получается. Либо палится, либо не работает  усё Церетели КАРАЧУН твоим слепкам  , читай тут http://forum.antichat.ru/showthread....019#post575019
|
|
|
|
28.01.2008, 07:07
|
|
Участник форума
Регистрация: 24.01.2008
Сообщений: 110
Провел на форуме:
359408
Репутация:
209
|
|
я бы посоветовал всеже hiew воо краткое описание действий
открываем hiew он сразу открывает ту дерикторию где находиться если тут возникают проблемы (если ты новичок) то ложи криптор в дирикторию с hiew и так открыли криптованый пинчь (пример) види каракули нам не понятные жмем кнопачку вниз и ждем пока не дойдем до самого конца программы и так вот конец пока по прежнему ничего не понятно могу тебя обрадовать мне тоже ! итак жмем Ф4 и появляеться уже читаемая картина дальше по своему усмотрению поднимаемся выше до стаба ты увидишь как он начнеться до этого будудет вот это 00 00 00 00 00 00 ну и тд итак поднялись и видем то же что и в winhex но это еще не все жмем ф4 еще раз ну и интр ато вдруг не понятно и вот мы оказались на том ради чего все это делали вот он стаб вот инструкции
00414000 8B0424 MOV EAX,DWORD PTR SS:[ESP] ; kernel32.7C816FD7
00414003 40 INC EAX
00414004 90 NOP
00414005 83C0 07 ADD EAX,7
00414008 8038 90 CMP BYTE PTR DS:[EAX],90
0041400B 90 NOP
0041400C 74 02 JE SHORT Delphi.00414010
0041400E EB FF JMP SHORT Delphi.0041400F
00414010 90 NOP
00414011 68 27404100 PUSH Delphi.00414027
00414016 64:FF35 00000000 PUSH DWORD PTR FS:[0]
0041401D 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00414024 FFE4 JMP ESP
00414026 90 NOP
00414027 8B0424 MOV EAX,DWORD PTR SS:[ESP]
0041402A 64:A3 00000000 MOV DWORD PTR FS:[0],EAX
00414030 8B6424 08 MOV ESP,DWORD PTR SS:[ESP+8]
00414034 90 NOP
00414035 83C4 08 ADD ESP,8
00414038 B8 90124000 MOV EAX,Delphi.<ModuleEntryPoint>
0041403D C700 A1182859 MOV DWORD PTR DS:[EAX],592818A1
00414043 C740 04 18E7F94E MOV DWORD PTR DS:[EAX+4],4EF9E718
0041404A 68 90124000 PUSH Delphi.<ModuleEntryPoint>
0041404F 68 FFFFFFFF PUSH -1
00414054 68 00580000 PUSH 5800
00414059 68 00104000 PUSH Delphi.00401000
0041405E 68 00200000 PUSH 2000
00414063 68 00704000 PUSH Delphi.00407000
00414068 68 00020000 PUSH 200
0041406D 68 00904000 PUSH Delphi.00409000
00414072 68 E8010000 PUSH 1E8
00414077 68 18A04000 PUSH Delphi.0040A018
0041407C 68 17000000 PUSH 17
00414081 68 E9E34000 PUSH Delphi.0040E3E9
00414086 68 45010000 PUSH 145
0041408B 68 BBF04000 PUSH Delphi.0040F0BB
00414090 68 A4010000 PUSH 1A4
00414095 68 5C2A4100 PUSH Delphi.00412A5C
0041409A 68 00020000 PUSH 200
0041409F 68 00304100 PUSH Delphi.00413000
004140A4 68 ECFCFFE0 PUSH E0FFFCEC
004140A9 68 04240383 PUSH 83032404
004140AE 68 83C0ECC1 PUSH C1ECC083
004140B3 68 5883EC80 PUSH 80EC8358
004140B8 68 9F8C84FF PUSH FF848C9F
004140BD 68 72901801 PUSH 1189072
004140C2 68 EE7D3DBC PUSH BC3D7DEE
004140C7 68 9F8984E0 PUSH E084899F
004140CC 68 9F8004F2 PUSH F204809F
004140D1 68 067006C3 PUSH C3067006
004140D6 68 72918304 PUSH 4839172
004140DB 68 CE021292 PUSH 921202CE
004140E0 68 9087E47F PUSH 7FE48790
004140E5 68 61901881 PUSH 81189061
004140EA 68 9018627D PUSH 7D621890
004140EF 68 2C000000 PUSH 2C
004140F4 68 83C480E8 PUSH E880C483
004140F9 68 90907408 PUSH 8749090
004140FE 68 5883EC80 PUSH 80EC8358
00414103 68 90813C24 PUSH 243C8190
00414108 68 9083C418 PUSH 18C48390
0041410D 54 PUSH ESP
0041410E C3 RETN
итак теперь займемся редактированием поднимаемся или спускаемся до нужного уровня жмем Ф3 вот теперь можно редактировать если хочешь редактировать не цифры а саму инструкцию то жми интр меняй инструкцию затем интр ну и ЕСК итак переходим к следующей инструкции (не забудте смотреть за размером иначе каюк смещению) тоесть команда PUSH ESP занимает только 2 байта 54 а команда PUSH 18C48390 уже 8 в общем не партесь здесь после всех редактирований выходим из режима редактирования в режим просмотра тобиш Ф9 все все что мы изменили сохранено для выхода жмем Ф10
вот вроде и все
п.с может я чтото и упустил
п.с Slip специально для тебя
в чтобы после рет все это не начило выполняться нужно полсе пуша разгрузить мусор из стека тоесть поп, главное не пропустить другой поп или пуш иначе по вер твоего письма ляжет другое придеться вытаскивать по другому ну эта уже другая история а с размером ты прав, напутал я 1 байт я же написал не париться просто чтото посчитал цифры а не пары
Последний раз редактировалось Грот; 29.01.2008 в 07:01..
|
|
|
|
28.01.2008, 11:22
|
|
Постоянный
Регистрация: 15.04.2007
Сообщений: 323
Провел на форуме:
5066479
Репутация:
223
|
|
Сообщение от GlOFF
User312 Выложи статейку почитать. Я думаю AV Devil работает только на одном антивире и возможно его версии, просто парвит базы AVP...
нееее там на самом деле все намного просче)))))
банально в ини`шку записаны сигнатуры наиболее известных крипторов и пакеров (всего около 30-40) а так же парочку голых троев и собсна ехе`шник-анализатор, травишь на него пинчару допустим и он банально со своей "базой" сверяет и усе..
кстати диз слизали с каспа)))
и кстати называется она по другому, приду домой напишу как.. а "AV Devil" это av&fw killer.
|
|
|
|
28.01.2008, 21:23
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671
Репутация:
1338
|
|
spawn89 Гм. Понятненько. Интересно только от куда они эти "сигны с какого по какой байт" взяли. Не уж-то опытным путем )))
А Парсить AVP базы было бы круто )
|
|
|
|
28.01.2008, 21:52
|
|
Новичок
Регистрация: 26.06.2007
Сообщений: 16
Провел на форуме:
236658
Репутация:
37
|
|
Сообщение от spawn89
банально в ини`шку записаны сигнатуры наиболее известных крипторов и пакеров
сигны не из userdb.txt от PEiD ?
|
|
|
|
29.01.2008, 00:57
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671
Репутация:
1338
|
|
Сообщение от Slip
сигны не из userdb.txt от PEiD ?
Сообщение от spawn89
сигнатуры наиболее известных крипторов и пакеров (всего около 30-40)
гм. вполне возможно и такое.
|
|
|
|
29.01.2008, 10:20
|
|
Новичок
Регистрация: 26.01.2008
Сообщений: 11
Провел на форуме:
12532
Репутация:
16
|
|
С огромнейшим трудом нашел вчера эту программу... на какомто богом забытом ФТП сервере. Скачал версии 1, 2.0 и 2.1. На кисе не работает, на ноде вроде как работает, точно пока не протестировал, нечего сказать не магу. Сегодня скачаю спалившихся криптеров и буду тестить на Hello World DDD.
P.S. если нужна эта программа стучите в аську (номер аськи не помню, не из дома в инет зашел, позже напишу) ^_^
P.S.S Av Devil на Немецком . |
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Социальная инженерия
|
The real Dr.Lector |
Болталка |
10 |
22.12.2008 20:45 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
