реверс пинча
 

итак! вот этот фаил пришел по асе, но это не важно.
в чем особенность фаила?
а в том что по виду это обычная порога на дельфи
(инет отключен работаем на виртуальной машине)

запускаем ее в ольге бряк на BP CreateFileA не сработает так как порога не создает
никаких новых фаилов (но можно увидить что появиться новый процес с тем же именем)
следовательно ставим бряк на создание процеса
(так как аттачить новый процес мы не можем он с правами системы).
BP CreateProcessA запускаем прирываемся на запуске нового проццеса это нам и нужно,
сразу бросаеться в глаза регистр ЕВХ а именно то что он указывает на фаил РЕ
копируем это значение жмем правой кнопкой по нижнее левое
окно гоу и прыгаем на это место

выделяем начиная от РЕ и ниже до конца этой пороги жмем копировать в фаил
скопировали все ольга больше не нужна
полученый фаил работать не будет по понятным причинам.
открываем его в WinHEX откыл удаляешь весь мусор сверху до
РЕ и внизу тоже удалить мусор,(для сравнения возьми готовый пинч упакуй ре компаком) измени расширение в ЕХЕ.
проверяй на запуск
ольгой, если все правельно то ольга не будет ругаться и откроет его

сразу видим что он упакован ре компак
распаковываем используя hr esp -4 смотрим куда идет
отчет. вот и вся тема
баян конечно но может кому интересно.
сам фаил

Куда идёт отчёт можно посмотреть и без реверса, используя снифер, была статья на ачате (линк не помню), но метод тоже имеет право на существование (только снифером быстрее и проще). ;)

Он палится АВ как Injector! :)

С реверсом лучше!Создай два процесса!Второй процесс аттачится без проблем!

вся фишка не в том чтобы аттачить процес а в том чтобы выташить фаил привести его в рабочий вид.
а на счет 2 процеса, да полностью согласен

вроде снифер укажет только хост (куда ломиться порога).
а папку с гейтом?!

может ошибаюсь

Ты уверен!

снифер укажет всё :) а про реверс надо было по-подробнее расписать, а то как то рвано получилось.

Пинч написан на ассемблере

Тоже самое что и у сталина, только у него там ещё и кофигуратор пишется.

темка неплохая ток разжевать четок не помешает....

___________________________________
http://www.hash.ixces.ru/img.gif

не могу найти где подпись делать.... может я ударился головой? напишите если кто знает где настроить подпись...

Неужели ПИНЧ стоит реверсинга? }{мммммммммм ... странно.