| Вопрос: Склеиватель *.exe файлов | Добавлено: 02.06.07 03:02 |
Автор вопроса:  Voucik | Web-сайт: vim.extraoffice.ru | ICQ: 237570729 |
| Ответы | Всего ответов: 48 |
|
Номер ответа: 16 Автор ответа:  AgentFire ICQ: 192496851 Вопросов: 75 Ответов: 3178 |
Профиль | | #16 | Добавлено: 02.06.07 14:48 |
|
Да сделай третью с ресурсами первых двух, извлекай и запускай. в общем весе потеряешь короше если 20 килобайт, но зато не надо париццо с джоинерами, которые еще и антивирями секуццо.
Зигазага, это почему же глупо? |
||
|
Номер ответа: 17 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #17 | Добавлено: 02.06.07 15:07 |
|
Зигазага, это почему же глупо?
ZagZag, плз. А глупо, потомучто это проще всего пропалить. Даже без антивируса. А уж, антивирус только так будет на это ругаццо. |
||
|
Номер ответа: 18 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #18 | Добавлено: 02.06.07 15:54 |
|
ZagZag
Возможно я тебе открою глаза, но большинство пользователей почему полагаются на антивирус? Потому что у самих чего-то не хватает. К примеру у меня нет антивирусов, но на его месте красуются отладчик, дизассемблер, и еще пара инструментов для анализа, обнаружения скрытых и не очень процессов. Ну так вот, вернемся же к нашим баранам... 1. ты всегда лезешь смотреть ресурсы перед запуском программы? 2. увидишь в файле ресурсы, и что? MZ заголовок можно ведь и попозжа приписать... 3. Заголовок требуется для вин лоадера, но приложение то уже загружено и если исполняться будут процессы в памяти, то PE & DOS заголовки можно напросто опустить. ZagZag, так что не стоит судить о тупости других, и да другие промолчат о твоей 
|
||
|
Номер ответа: 19 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #19 | Добавлено: 02.06.07 16:08 |
*прошу прощения, огляделся, "глупости" 
|
||
|
Номер ответа: 20 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #20 | Добавлено: 02.06.07 16:24 |
|
Всё понятно - sne наш дома -
sne наш снова на войне! А по мне - джоинер, если написан свой и со слегка изменённый - вполне обдурит антивируса. Ну, и по традиции: Смерть вирусам! |
||
|
Номер ответа: 21 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #21 | Добавлено: 02.06.07 17:27 |
|
Смерть вирусам, Жизнь их заказчикам щедрым )
|
||
|
Номер ответа: 22 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #22 | Добавлено: 02.06.07 17:50 |
|
1. ты всегда лезешь смотреть ресурсы перед запуском программы?
В большинстве случаев ДА. Особенно когда приложение небольшое. К примеру у меня нет антивирусов, но на его месте красуются отладчик, дизассемблер, и еще пара инструментов для анализа, обнаружения скрытых и не очень процессов.
Ты наивно полагаешь что отладчик с дизассемблером только у тебя? К твоему списку я бы еще добавил установленный у меня PEiD. Он отлично определяет упакована ли прога, если не по сигнатурам, то по функциям LoadLibrary etc я в 99% буду уверен что прога чем-то упакована. ZagZag, так что не стоит судить о тупости других, и да другие промолчат о твоей
Только не это! Если все будут молчать и не указывать мне на мои ошибки - чему я научусь-то? Вот и я указываю другим на из глупости (ошибки, тупости - по вкусу) И то что я написал что ресурсный джоинер спалится антивирусом быстрее - не факт конечно. Признаю. Шансов у него столько же, сколько у джоинера обычного. Кстати, какой по вашему просмотрщик ресурсов лучше? В распоряжении имею ResHaker и ExeScope. Какой из них, или есть лучше? Чем вы пользуетесь? |
||
|
Номер ответа: 23 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #23 | Добавлено: 02.06.07 18:00 |
|
по функциям LoadLibrary etc я в 99% буду уверен что прога чем-то упакована
Ну-ка поподробнее, любитель мурзилки, ты хочешь сказать, что если в PE-файле импортируется несколько функций LoadLibrary (из разных библиотек, видимо, да?), то он наверняка упакован? Или если она вообще есть? Т.е. ее использование автоматически превращает программу в упакованную? Гонят тут всякие на sne, а сами PEB от VEH отличить не могут. |
||
|
Номер ответа: 24 Автор ответа: EUGY Вопросов: 0 Ответов: 454 |
Профиль | | #24 | Добавлено: 02.06.07 18:02 |
|
...то по функциям LoadLibrary etc я в 99% буду уверен что прога чем-то упакована.
ха-ха.. А ф-ции LoadMenu, LoadString паранойю не вызывают? |
||
|
Номер ответа: 25 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #25 | Добавлено: 02.06.07 18:21 |
|
Ты наивно полагаешь что отладчик с дизассемблером только у тебя?
Причем тут только у меня? Я к тому что те, кто использует антивирусы навряд-ли опытные человеки чей мозг в состоянии отличить вирус от полезного ПО. то по функциям LoadLibrary etc я в 99% буду уверен что прога чем-то упакована.
На ассемблере можно написать программу без импорта причем PEiD умолчит и о компиляторе, ибо его нет Ну это так, лирическое отступление, а вообще многое ПО пакуется пакерами, и что)? Не показатель, имхо.
Только не это! Если все будут молчать и не указывать мне на мои ошибки - чему я научусь-то?
Терпению, умению слушать и учиться? Чаще всего самые простые решения оказываются самыми эффективными
PS vote: PE Explorer PPS EUGY, отжог
|
||
|
Номер ответа: 26 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #26 | Добавлено: 02.06.07 18:23 |
|
ха-ха..
А ф-ции LoadMenu, LoadString паранойю не вызывают? Нет. Не вызывают. Не видел еще ни одного упаковщика, который использует эти функции для передачи управления распакованному в память екзешнику. Открой любой упакованный EXE. В большинстве случаев там в импортах будет KERNEL32.DLL LoadLibraryA, GetProcAddress и ВСЁ! |
||
|
Номер ответа: 27 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #27 | Добавлено: 02.06.07 18:35 |
|
Ну если EXE будет совсем без импортов - это меня тоже насторожит. Но такого в парктической реализации я еще не встречал.
Сам пример на FASM'e компилил. Что это действительно возможно - сомнений нет. Если EXE упакован, это, конечно, не значит что он 100% вирус. Но вероятность высока, особенно когда EXE представляется как кряк, кейдер и т.п., скачанный с варезного сайта с сомнительной репутацией. Про почтовые вложения я молчу. Они - потенциальные вирусы в любом случае. PEiD умолчит и о компиляторе, ибо его нет
Более того, многие упаковщики подменяют свою сигнатуру под сигнатуру другого упаковщика. Но, какая разница? В упакованном EXE будет полюбому или 2 импорта, или вообще ничего. Т.е. его следует запускать сначала на виртуальной машине. Антивирус у меня стоит отключеный, только для проверки притащенных болванок с разной лабудой. Т.ч. можно сказать что я тоже без антивируса сижу. |
||
|
Номер ответа: 28 Автор ответа: EUGYВопросов: 0 Ответов: 454 |
Профиль | | #28 | Добавлено: 02.06.07 18:42 |
|
Функции для динамической линковки ты найдешь где-угодно. Подозревать их в передачи управления именно распакованному exe так же глупо, как, например, предполагать:
что CallWindowProc (addressof Module1.myfunc...) выполнит что-то криминальное с точки зрения антивируса |
||
|
Номер ответа: 29 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #29 | Добавлено: 02.06.07 21:06 |
|
Блин! Ну я же ясно сказал ТОЛЬКО 2 функции LoadLibrary & GetProcAddress в экзешнике (чтобы он не делал) наведут меня на мысль что он упакован!
Чтобы 100% в этом убедиться - можно запустить IDA или просто посмотреть размер секции DATA |
||
|
Номер ответа: 30 Автор ответа: GSergВопросов: 0 Ответов: 1876 
|
Профиль | | #30 | Добавлено: 02.06.07 21:18 |
|
Хм...
Чисто для интереса и статистики... У кого здесь отключен антивирус (sne, ZagZag), зайдите на сайт уважаемой строительной компании "Строймонтаж", www.s-montag.ru |
||