реверс пинча
 

итак! вот этот фаил пришел по асе, но это не важно.
в чем особенность фаила?
а в том что по виду это обычная порога на дельфи
(инет отключен работаем на виртуальной машине)

запускаем ее в ольге бряк на BP CreateFileA не сработает так как порога не создает
никаких новых фаилов (но можно увидить что появиться новый процес с тем же именем)
следовательно ставим бряк на создание процеса
(так как аттачить новый процес мы не можем он с правами системы).
BP CreateProcessA запускаем прирываемся на запуске нового проццеса это нам и нужно,
сразу бросаеться в глаза регистр ЕВХ а именно то что он указывает на фаил РЕ
копируем это значение жмем правой кнопкой по нижнее левое
окно гоу и прыгаем на это место

выделяем начиная от РЕ и ниже до конца этой пороги жмем копировать в фаил
скопировали все ольга больше не нужна
полученый фаил работать не будет по понятным причинам.
открываем его в WinHEX откыл удаляешь весь мусор сверху до
РЕ и внизу тоже удалить мусор,(для сравнения возьми готовый пинч упакуй ре компаком) измени расширение в ЕХЕ.
проверяй на запуск
ольгой, если все правельно то ольга не будет ругаться и откроет его

сразу видим что он упакован ре компак
распаковываем используя hr esp -4 смотрим куда идет
отчет. вот и вся тема
баян конечно но может кому интересно.
сам фаил

Куда идёт отчёт можно посмотреть и без реверса, используя снифер, была статья на ачате (линк не помню), но метод тоже имеет право на существование (только снифером быстрее и проще). ;)

Он палится АВ как Injector! :)

С реверсом лучше!Создай два процесса!Второй процесс аттачится без проблем!

вся фишка не в том чтобы аттачить процес а в том чтобы выташить фаил привести его в рабочий вид.
а на счет 2 процеса, да полностью согласен

вроде снифер укажет только хост (куда ломиться порога).
а папку с гейтом?!

может ошибаюсь

Ты уверен!

снифер укажет всё :) а про реверс надо было по-подробнее расписать, а то как то рвано получилось.

Пинч написан на ассемблере

Тоже самое что и у сталина, только у него там ещё и кофигуратор пишется.

темка неплохая ток разжевать четок не помешает....

___________________________________
http://www.hash.ixces.ru/img.gif

не могу найти где подпись делать.... может я ударился головой? напишите если кто знает где настроить подпись...

Неужели ПИНЧ стоит реверсинга? }{мммммммммм ... странно.

Delimiter
хе.. чувак стоит) особеено когда ты его получил спамом.. когда еще пару к людей получили его таким же способом.. и вся инфа о них хранится на гейте или мыле, куда путь и аунтификаця(если есть) указан в пинче..

чувак возьми мой снифер "Мини-статьи" и не парься!

никогда нельзя пренебрегать потенциально опасными программами, кто знает что попадется? вдруг найдешь новый прием обхода аверов? или что-то не менее ценное. :cool:

тот кто сделает оригинальный обход аверов, сделает свой троян, зачем же ему ПИНЧ?

Мало ли что с чем склеено. Иногда процесс изучения интересней чем сам результат.
Вдруг что-то интересное попадется. А на тему "сделает свой троян" соглашусь!

нет на снифах обычно полный адрес стоит
да, действительно было бы отследить запрос сниффером проще :)

чё тут думать, отрубаешь инет, запускаешь пинч..
суспендиш процес .. например в Process Explorer'e
заходиш в свойства процесса... далее последняя вкладка Strings
далее тыкаем Memory
и ищем тут гейт и тд...ну конечно не забываем проверить автозагрузку потом ))

именно по этому я и стал разбирать этот фаил.
меня заинтересовало что анализатор детектит как порогу на дельфи, в качестве анти амуляции у этой пороги стоят обычные апи функции такие как получить цвет прочитать итд
расчет что эвристик дальше не пойдет
а дальше уже интересней, появляються такие апи как
записать процес получить создать и.т.д.

что именно непонятно? могу залить видео.

мы только рады будем ;)

Закрыто
 

На время лета все темы, связанные с пинчем должны закрываться.

Closed