DotFix :: Портал разработки и защиты программ
Главная
Программы
Статьи
Разное
Форум
Контакты
 Автор: g-l-uk. Дата публикации: 19.07.2005

Обман PeiD или скрываем сигнатуру MEW11 v1.2SE

В данной статье я расскажу вам, что надо сделать для препятствия обнаружения пакера MEW11 v1.2SE.

Для этого нам понадобятся следующие инструменты:

PeiD v0.93 (http://www.peid.tk)
Hiew v6.11

Для начала немного теории. Из моих наблюдений мне стало ясно, что PeiD пытается определять MEW по именам секций, после их переименования PeiD пишет “Nothing found *” на всех уровнях сканирования. Однако если переименовать их файл отказывается запускаться. Но можно пойти и другим путём, в коде пакера можно поставить один переход без ущерба для нашего exe файла.
Давайте посмотрим на код нашего пакера, вот что мы видим:

CODE NOW!
Address: Opcode: Asm Instruction:
00438AB3 E9 9C 76 FC FF JMP 00400154
00438AB8 0C 80 OR AL, 80
00438ABA 02 00 ADD AL, [EAX]
00438ABC 00 00 ADD [EAX], AL
00438ABE 00 00 ADD [EAX], AL
00438AC0 00 00 ADD [EAX], AL
00438AC2 00 00 ADD [EAX], AL
00438AC4 8A 8A 03 00 0C 80 MOV CL, [EDX+800C0003]
00438ACA 02 00 ADD AL, [EAX]



Посмотрев на данный код, вы можете видеть что, начиная адреса 00438ABC и до 00438AC2 у нас идут одни нули, вот это мы и будем использовать.
Теперь возьмём Hiew и откроем наш файл, перейдя на точку входа F8 => F5, начнём редактировать нашу первую инструкцию по адресу 00438AB3.
Изменим её на JMP 00438ABC, таким образом, мы перепрыгнем на пустые байты.
Теперь на месте пустых байт напишем ту инструкцию, которая находилась у нас в самом начале, т.е. JMP 00400154, а оставшийся байт заNOP’им.
Жмём F9 и выходим из Hiew.
Сканируем подопытного кролика PeiD’ом и видим “Nothing found *”. Наша работа увенчалась успехом.

Комментарии
отсутствуют

Добавление комментария

Ваше имя (на форуме):

Ваш пароль (на форуме):

Комментарии могут добавлять только пользователи,
зарегистрированные на форуме данного сайта. Если Вы не
зарегистрированы, то сначала зарегистрируйтесь тут

Комментарий:
:: Последние обновления ::
04.09.2011 Долгожданный релиз VB Decompiler. Масса улучшений декомпиляции Native Code. Значительно расширенна и обновлена справочная система на русском и английском языках.
20.12.2010 DotFix Software поздравляет наших клиентов и посетителей сайта с наступающим Новым Годом и рождеством! Желаем приятно провести праздники и успехов в новом году!
28.11.2010 Выпущена новая версия защиты DotFix NiceProtect. Основные изменения коснулись обфускатора Delphi программ. Теперь имеется полная поддержка Tab и Page контролов на формах, что обеспечивает максимальную совместимость обфускации с Delphi XE программами.
21.10.2010 Обновлен декомпилятор Visual Basic программ до версии 8.1. Декомпиляция P-Code программ становится все более идеальной, также проделана большая работа по улучшению анализа Native Code и .NET приложений.
16.09.2009 Полностью обновлен движок сайта! Теперь все ссылки имеют читаемый понятный вид, разного рода глюки на страницах убраны. И теперь сайт полноценно работает на второй версии нашего движка.
Архив новостей
Яндекс цитирования

Движок сайта: DotFix Engine v0.2
Администрация сайта: