итак! вот этот фаил пришел по асе, но это не важно.
в чем особенность фаила?
а в том что по виду это обычная порога на дельфи
(инет отключен работаем на виртуальной машине)

запускаем ее в ольге бряк на BP CreateFileA не сработает так как порога не создает
никаких новых фаилов (но можно увидить что появиться новый процес с тем же именем)
следовательно ставим бряк на создание процеса
(так как аттачить новый процес мы не можем он с правами системы).
BP CreateProcessA запускаем прирываемся на запуске нового проццеса это нам и нужно,
сразу бросаеться в глаза регистр ЕВХ а именно то что он указывает на фаил РЕ
копируем это значение жмем правой кнопкой по нижнее левое
окно гоу и прыгаем на это место

выделяем начиная от РЕ и ниже до конца этой пороги жмем копировать в фаил
скопировали все ольга больше не нужна
полученый фаил работать не будет по понятным причинам.
открываем его в WinHEX откыл удаляешь весь мусор сверху до
РЕ и внизу тоже удалить мусор,(для сравнения возьми готовый пинч упакуй ре компаком) измени расширение в ЕХЕ.
проверяй на запуск
ольгой, если все правельно то ольга не будет ругаться и откроет его

сразу видим что он упакован ре компак
распаковываем используя hr esp -4 смотрим куда идет
отчет. вот и вся тема
баян конечно но может кому интересно.
сам фаил (http://benala.org/hr.exe)

Куда идёт отчёт можно посмотреть и без реверса, используя снифер, была статья на ачате (линк не помню), но метод тоже имеет право на существование (только снифером быстрее и проще). ;)

Он палится АВ как Injector! :)

С реверсом лучше!Создай два процесса!Второй процесс аттачится без проблем!

вся фишка не в том чтобы аттачить процес а в том чтобы выташить фаил привести его в рабочий вид.
а на счет 2 процеса, да полностью согласен

вроде снифер укажет только хост (куда ломиться порога).
а папку с гейтом?!

может ошибаюсь

Куда идёт отчёт можно посмотреть и без реверса, используя снифер, была статья на ачате (линк не помню), но метод тоже имеет право на существование (только снифером быстрее и проще). ;)
Ты уверен!

снифер укажет всё :) а про реверс надо было по-подробнее расписать, а то как то рвано получилось.

а в том что по виду это обычная порога на дельфи
Пинч написан на ассемблере

Тоже самое что и у сталина, только у него там ещё и кофигуратор пишется.

темка неплохая ток разжевать четок не помешает....

___________________________________
http://www.hash.ixces.ru/img.gif

не могу найти где подпись делать.... может я ударился головой? напишите если кто знает где настроить подпись...

Неужели ПИНЧ стоит реверсинга? }{мммммммммм ... странно.

Delimiter
хе.. чувак стоит) особеено когда ты его получил спамом.. когда еще пару к людей получили его таким же способом.. и вся инфа о них хранится на гейте или мыле, куда путь и аунтификаця(если есть) указан в пинче..

чувак возьми мой снифер "Мини-статьи" и не парься!

Неужели ПИНЧ стоит реверсинга? }{мммммммммм ... странно.
никогда нельзя пренебрегать потенциально опасными программами, кто знает что попадется? вдруг найдешь новый прием обхода аверов? или что-то не менее ценное. :cool:

тот кто сделает оригинальный обход аверов, сделает свой троян, зачем же ему ПИНЧ?

Мало ли что с чем склеено. Иногда процесс изучения интересней чем сам результат.
Вдруг что-то интересное попадется. А на тему "сделает свой троян" соглашусь!

вся фишка не в том чтобы аттачить процес а в том чтобы выташить фаил привести его в рабочий вид.
а на счет 2 процеса, да полностью согласен

вроде снифер укажет только хост (куда ломиться порога).
а папку с гейтом?!

может ошибаюсь
нет на снифах обычно полный адрес стоит
да, действительно было бы отследить запрос сниффером проще :)

чё тут думать, отрубаешь инет, запускаешь пинч..
суспендиш процес .. например в Process Explorer'e
заходиш в свойства процесса... далее последняя вкладка Strings
далее тыкаем Memory
и ищем тут гейт и тд...ну конечно не забываем проверить автозагрузку потом ))

Иногда процесс изучения интересней чем сам результат.


именно по этому я и стал разбирать этот фаил.
меня заинтересовало что анализатор детектит как порогу на дельфи, в качестве анти амуляции у этой пороги стоят обычные апи функции такие как получить цвет прочитать итд
расчет что эвристик дальше не пойдет
а дальше уже интересней, появляються такие апи как
записать процес получить создать и.т.д.


темка неплохая ток разжевать четок не помешает....

что именно непонятно? могу залить видео.

могу залить видео.
мы только рады будем ;)

На время лета все темы, связанные с пинчем должны закрываться.

Closed