M0rg0t, > дебаг малвари , накрытой обфускаторами и ВМ. Вот как решить? А почему вы все полагаете что для вирты всегда нужен декомпиль(свёртка),...
piligmindo, > Что значит сабж? На статическом импорте строится эмпирический детект(generic), это сигнатура. Поэтому он делается рандомным. Он...
Rel, Из за яшечки да. Как обычно за мнение что он немного не правильный" :) > покуда нет доказательств его существования. Ну нет так нет, на...
Rel, Не правда, свертку вмп выполнил дий год или более назад я не помню. Есть ведь кл дамп, там эти темы есть. M0rg0t,...
Rel, > Скажи это честным белорусским электрикам. Создай тему в хипе, что ты засираешь эту тему. Уже порядком надоел со своим спамом комерсом и...
X-Shar, Есть и в юзер шибки защиты https://wasm.in/threads/avanguard-the-win32-anti-intrusion-library.33212/page-9#post-416132 там не одна была...
M0rg0t, Очень годное дело, большое вам двоим спасибо!
rmn, Твои посты глупые на кл сохранились, как и мои примеры тут дамп выгрузили так что дружок позняк метаться как говорят.
Thetrik, > А как поступить если нужно вызывать внешнюю API Что значит внешнюю, если всё апп под трансляцией ? Внешней можно назвать только...
X-Shar, Я пока не могу загрузить, сделаю это позже тк у меня сеть с мобилки. Спасибо большое если это работает, вот только мне интересно откуда...
Rel, Так ты не про анализ говоришь, а тупо про авер детект - сигнатурный поиск в дампе. Что бы малварку и не только сдампить после распаковки...
Thetrik, > Мы его транслируем к примеру push ecx Зачем нам морф ? Транслятор(трансляция понимается адресная/бинарная) раскодирует линейный...
Thetrik, > А сам транслятор же будет виден, не так ли? Ну конечно и это сигнатура. > VirtualAlloc и далее уже работает с этой памятью. Будет...
nullPtr, > При ReadProcessMemory не позволяет читать по этому адресу Ну конечно, блока нет. Данных твоих читать нечего. Можно и не выделять...
Rel, Ну ты можешь меня говном поливать, но не важно я тебя один механизм расскажу. Дий изначально был заточен на то что ы крутить протекторы...
Rel, А зачем дамп нужен ? Софт реверсится что бы алгоритмы найти. На кл было в частности выяснение и обход механизмов защиты, дамп там причём -...
nullPtr, В системе нет метода скрыть область. Если только ядерное разграничение процессов гуя, даже из ядра память чужой сессии не прочитаешь....
rmn, Инструкция к примеру mov r,[r] - выборка линейный адрес [r]. Она изменяется, в самом простейшем случае в буфер. Без выборки [r] адреса...
Rel, Да, так почти все протекторы и крипторы делают, это тупо загрузчики о чём изначально и был вопрос. Но разве можно так просто идой открыть...
nullPtr, Так ведь просто всё. Анклав в данном случае не sgx, а софтверный. Транслируешь код, получаешь выборку. Выборку изменяешь на каждой...
Имена участников (разделяйте запятой).
