итак! вот этот фаил пришел по асе, но это не важно. в чем особенность фаила? а в том что по виду это обычная порога на дельфи (инет отключен работаем на виртуальной машине) запускаем ее в ольге бряк на BP CreateFileA не сработает так как порога не создает никаких новых фаилов (но можно увидить что появиться новый процес с тем же именем) следовательно ставим бряк на создание процеса (так как аттачить новый процес мы не можем он с правами системы). BP CreateProcessA запускаем прирываемся на запуске нового проццеса это нам и нужно, сразу бросаеться в глаза регистр ЕВХ а именно то что он указывает на фаил РЕ копируем это значение жмем правой кнопкой по нижнее левое окно гоу и прыгаем на это место выделяем начиная от РЕ и ниже до конца этой пороги жмем копировать в фаил скопировали все ольга больше не нужна полученый фаил работать не будет по понятным причинам. открываем его в WinHEX откыл удаляешь весь мусор сверху до РЕ и внизу тоже удалить мусор,(для сравнения возьми готовый пинч упакуй ре компаком) измени расширение в ЕХЕ. проверяй на запуск ольгой, если все правельно то ольга не будет ругаться и откроет его сразу видим что он упакован ре компак распаковываем используя hr esp -4 смотрим куда идет отчет. вот и вся тема баян конечно но может кому интересно. сам фаил
Куда идёт отчёт можно посмотреть и без реверса, используя снифер, была статья на ачате (линк не помню), но метод тоже имеет право на существование (только снифером быстрее и проще).
вся фишка не в том чтобы аттачить процес а в том чтобы выташить фаил привести его в рабочий вид. а на счет 2 процеса, да полностью согласен вроде снифер укажет только хост (куда ломиться порога). а папку с гейтом?! может ошибаюсь
темка неплохая ток разжевать четок не помешает.... ___________________________________ не могу найти где подпись делать.... может я ударился головой? напишите если кто знает где настроить подпись...
Delimiter хе.. чувак стоит) особеено когда ты его получил спамом.. когда еще пару к людей получили его таким же способом.. и вся инфа о них хранится на гейте или мыле, куда путь и аунтификаця(если есть) указан в пинче..
никогда нельзя пренебрегать потенциально опасными программами, кто знает что попадется? вдруг найдешь новый прием обхода аверов? или что-то не менее ценное.
Мало ли что с чем склеено. Иногда процесс изучения интересней чем сам результат. Вдруг что-то интересное попадется. А на тему "сделает свой троян" соглашусь!
чё тут думать, отрубаешь инет, запускаешь пинч.. суспендиш процес .. например в Process Explorer'e заходиш в свойства процесса... далее последняя вкладка Strings далее тыкаем Memory и ищем тут гейт и тд...ну конечно не забываем проверить автозагрузку потом ))
именно по этому я и стал разбирать этот фаил. меня заинтересовало что анализатор детектит как порогу на дельфи, в качестве анти амуляции у этой пороги стоят обычные апи функции такие как получить цвет прочитать итд расчет что эвристик дальше не пойдет а дальше уже интересней, появляються такие апи как записать процес получить создать и.т.д. что именно непонятно? могу залить видео.