Сижу, скучаю. Листаю лолз... И хоба:
Ну думаю, если тут простая проверка, то это менее секунды, но надо было внимательнее читать. Короче сегодня я разберу крипт, который очень похож на тот, что я писал.
1) Сканим через DiE:
2) Кидаем в IDA и жмем Shift F12:
На этом моменте, я все еще думал, что это проста та программа, которая чекает ввод. Но я не увидел не одной понятной мне строки. Все зашифровано, но зацепку я нашел:
Ага, RunPe, а давайте убедимся:
Но возникает вопрос: "А что инжектится?" - не сложно догадаться, что все это дело находится в ресурсах:
Естественно, я не мазохист и искать ключ через иду не буду, поэтому просто запущу на виртуалке и сдамплю attrib.exe:
Пореверсить семпл: https://www.sendspace.com/file/r42v3j , если сложно, то прочитайте мою статью про криптор, будет легче
Ну думаю, если тут простая проверка, то это менее секунды, но надо было внимательнее читать. Короче сегодня я разберу крипт, который очень похож на тот, что я писал.
1) Сканим через DiE:
2) Кидаем в IDA и жмем Shift F12:
На этом моменте, я все еще думал, что это проста та программа, которая чекает ввод. Но я не увидел не одной понятной мне строки. Все зашифровано, но зацепку я нашел:
Ага, RunPe, а давайте убедимся:
Но возникает вопрос: "А что инжектится?" - не сложно догадаться, что все это дело находится в ресурсах:
Естественно, я не мазохист и искать ключ через иду не буду, поэтому просто запущу на виртуалке и сдамплю attrib.exe:
Пореверсить семпл: https://www.sendspace.com/file/r42v3j , если сложно, то прочитайте мою статью про криптор, будет легче