Интересует есть ли в сети _достойные_ публикации по сабжу? В первую очередь интересует быстрое детектирование и "снятие" криптухи без полной эмуляции. Про генерацию декрипторов тоже почитал бы. Сорцы приветствуются. Не думаю, что узнаю много нового, но хочется знать что об этом думает мировая общественность.

Про полиморфы я давал линк в своей статье. Я чуть-чуть искал в рамках ля-ля по сети. Информации практически нет. А вот тот линк в упаковщиках - по первому впечатлению было прилично.

Что значит снятие криптухи без полной эмуляции могу дать своего Пикадора посмотреть так там у меня мульти декрипторность случайное количество декрипторов. От 1..39
как его расшифровать без эмуляции сложно представить.
А вообще у зомби с векной был неплохой стэковый движок.
Но вообще полиморфики это уже день вчерашний я вот начинаю биться с пермутацией...

> могу дать своего Пикадора

Дай! В архив с паролем на dr_golova/#/mail.ru

> как его расшифровать без эмуляции сложно представить.

Я видел только два полиморфа которые приходилось полностью эмулить, остальные снимались или частичной эмуляцией или вообще дизасмом.

Обычно эмули пишут как часный случай для каждого конкретного полиморфа, а не встречал ли кто эмули в виде либы, так сказать, на все случаи жизни?
Особенно интересует поковырять сорцы таких штучек.

Отправил архив, правда без пароля.

Дизасм может на перекрывающемся коде издохнуть ...
Или какие нибудь чисто специфические бока ...

DR_GOLOVA
Посмотришь скажешь, что думаешь ...

Говорю:
> Дизасм может на перекрывающемся коде издохнуть ...

Под дизасмом понимается дизассемблер длин инструкций (а для снятия полиморфа больше и не нужно), так что не сдохнет. Полиморф слабый - снимется вообще без эмуляции.

Скорее всего я туплю, но я почему то не понимаю как дизассемблер длин поможет понять алгоритм шифрования и построить алгоритм дешифрования.

Скорее всего я туплю, но я почему то не понимаю как дизассемблер длин поможет понять алгоритм шифрования и построить алгоритм дешифрования

Дизассемблер длин только чтобы скипать все ненужные инструкции. Дельных команд в этом полиморфе не больше десятка. Предположительный вариант снятия полиморфа одним дизасмом напишу мылом ;)