ANTICHAT — форум по информационной безопасности, OSINT и технологиям

итак! вот этот фаил пришел по асе, но это не важно.
в чем особенность фаила?
а в том что по виду это обычная порога на дельфи
(инет отключен работаем на виртуальной машине)

запускаем ее в ольге бряк на BP CreateFileA не сработает так как порога не создает
никаких новых фаилов (но можно увидить что появиться новый процес с тем же именем)
следовательно ставим бряк на создание процеса
(так как аттачить новый процес мы не можем он с правами системы).
BP CreateProcessA запускаем прирываемся на запуске нового проццеса это нам и нужно,
сразу бросаеться в глаза регистр ЕВХ а именно то что он указывает на фаил РЕ
копируем это значение жмем правой кнопкой по нижнее левое
окно гоу и прыгаем на это место

выделяем начиная от РЕ и ниже до конца этой пороги жмем копировать в фаил
скопировали все ольга больше не нужна
полученый фаил работать не будет по понятным причинам.
открываем его в WinHEX откыл удаляешь весь мусор сверху до
РЕ и внизу тоже удалить мусор,(для сравнения возьми готовый пинч упакуй ре компаком) измени расширение в ЕХЕ.
проверяй на запуск
ольгой, если все правельно то ольга не будет ругаться и откроет его

сразу видим что он упакован ре компак
распаковываем используя hr esp -4 смотрим куда идет
отчет. вот и вся тема
баян конечно но может кому интересно.
сам фаил