|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Окт 10, 2003 18:27:58 · Поправил: Безпощадный даос Люди, такая проблема: есть некий троян, которого я пытаюсь "заразить" программой-криптовалкой(:)), она его криптует, а при запуске раскриптовывает и запускает. И он начинает работать, но почему-то не правельно, а именно, в чистом виде он запускается, прячется от всяких там TaskMenager'ов, создает в системной папке файл exe с киким-то кодом и т.д...А после заражения файл создается пустой, и больше вроде бы ничего не происходит! В чем может быть проблема? Все остальные программы работают нормально. Заранее благодарен! |
|
|
Дата: Окт 10, 2003 18:56:47 Здравствуй ! Мне в голову пока приходит только одно правдоподобное объяснение данному факту : вероятно, этот самый троян при запуске читает какие-то данные из своего образа на диске (проще говоря - из своего exe'шника). Упаковщик (или криптовщик - здесь наверное роли не играет), естесственно изменяет содержимое файла на диске, поэтому троян не может найти нужные ему данные по заранее определенным физическим смещениям... |
|
|
Дата: Окт 10, 2003 19:03:06 Возможно у тебя в криптовалке бага - попробуй запаковать его upxом или чем-нить подобным. и если он не будет работать - то проблема в трое. если будет - в криптовалке. |
|
|
Дата: Окт 10, 2003 19:08:05 VetabetA rst С UPX он работает нормально! Но где может быть ошибка в криптовалке? Ведь все закриптованные проги работают нормально! |
|
|
Дата: Окт 10, 2003 19:11:22 Zaratustra Гы-гы. А ты представляшь себе СКОЛЬКО работы положено в UPX? Ты лучше приведи названия секций твоего трояна, а я на них погляжу. Что до ошибки в криптовалке - как можно о чем-то говорить, если ты не показал ничего? Одни сопли в воздухе. Скажем, если ты работаешь с PE-форматом, то там такая куча тонкостей, что и UPX временами обалдевает. Чего только стоит сочетание tls и релоков... |
|
|
Дата: Окт 10, 2003 19:12:23 А нет ли у трояна оверлея в конце? Частенько там хранятся настройки, и его не следовало бы терять при криптовке. |
|
|
Дата: Окт 10, 2003 19:18:08 Вот архив с трояном(в UPX'е) и прогой. Dr.Golova Вы прогу уже видели! Посмотрите что не так, плиз!  _1008091434__ResCrypt.rar |
|
|
Дата: Окт 10, 2003 19:22:00 · Поправил: Zaratustra Кстати, он изначально шел с UPX'ом |
|
|
Дата: Окт 13, 2003 15:36:03 · Поправил: Dr.Golova Под отладчиком посмотри на свой код - сразу ясно станент в чем проблема. И оверлей ему тоже нужен. |
|
|
Дата: Окт 14, 2003 13:07:29 Dr.Golova Извини, не вижу...может подскажешь? |
|
|
Дата: Окт 14, 2003 18:37:36 Я уже подсказал! Криптуешь, int 3 в начало кода, и дебагером в рабочую прогу, пробуешь по ней идти и быстро натыкаешся на место где оно упало. |
|
|
Дата: Окт 16, 2003 13:21:04 Dr.Golova Если я все правильно понял, то проблема была в сохранении и восстановлении регистров? Так? Если да, то ветку можно считать закрытой. Спасибо за помощь! |
|
|
Дата: Окт 16, 2003 13:38:32 · Поправил: Zaratustra Ан нет...не помогло, ну все же, объясните, что не так? Не могу ошибки увидеть... |
|
|
Дата: Ноя 5, 2003 10:37:32 Dr.Golova Блин-блин, не могу я определить почему это происходит, уже и td и sice достал по полной - все вроде нормально...но почему? Подскажите плиз, мозгов видать маловато! Заранее благодарен! |