• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос по снятию крипта

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
первое что самое стандартное по мне это попробывать дампнуть запущеный процесс там мб вывалиться голый билд вируса
 
kotoharu сказал(а):
Не, я сам хочу, просто не. Помню как
Запускаешь иду, ставишь точку останова, запускаешь процесс. Если используешь windows, то вызываешь диспетчер задач, выбираешь процесс сэмпла, правый клик - сделать дамп.
 
Gerion сказал(а):
Запускаешь иду, ставишь точку останова, запускаешь процесс. Если используешь windows, то вызываешь диспетчер задач, выбираешь процесс сэмпла, правый клик - сделать дамп
спасибо
 
бряк на выделение памяти и изменение атрибутов памяти.
bp VirtualAlloc/VirtualProtect (NtAllocate**, NtProtect**)
в eax,rax будет адрес выделенной памяти, ставь туда железный бряк на обращение памяти.
99% крипторов снимается так
 
каждую неделю распаковываю дюжину файлов, ни разу не видел защиты. максимум были сисколы. сейчас вообще просто накрывают вмпротектом и все
 
ZAGREB2030 сказал(а):
а если стоят всякие антибряки и палево на дебаги и хуки процессов ?
тогда уже смотришь, где падает процесс и чистишь через хекс редактор, то место, которое проверяет флаги дебага
 
Последнее редактирование:
electric сказал(а):
бряк на выделение памяти и изменение атрибутов памяти.
bp VirtualAlloc/VirtualProtect (NtAllocate**, NtProtect**)
в eax,rax будет адрес выделенной памяти, ставь туда железный бряк на обращение памяти.
99% крипторов снимается так
А что если там выделяется память по 100 раз ,я так понял надо найти 4D 5A ,но никак найти не могу ,подскажите надо терпеливо всё дампить и ждать пока вывалится билд или есть какой-то секрет?)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх